Wer seit vielen Jahren WordPress betreibt kennt die eine oder andere Lücke die es gab oder gerade gibt. Doch das hindert niemand daran WordPress zu nutzen. Es tut einfach was es soll.
Man kann sich jetzt zu tode suchen um alle Lücken zu finden oder sich damit verrückt machen.
Wer die Möglichkeit hat (und das hat jeder) kann sich mal mit dem wpscan anfreunden. Wenn man ihn gleich über git installiert kann man die Installation immer wieder recht bequem up to date halten.
http://wpscan.org/
Ist eigentlich recht selbst erklärend. Man scanned damit sein WordPress und sieht was das Ding so zu meckern hat. Das ist wahrscheinlich nicht alles, ABER läßt ein doch schonmal recht schnell wissen was ein anderer auf die Schnelle so entdecken kann. Jetzt hat man die chance schonmal das offensichtliche Loch zu stopfen.
Wer eine feste IP hat sollte sein „wp-admin“ noch zusätzlich absichern mit einer dementsprechenden .htaccess Datei.
SelfHTML erkärt das recht einfach.
Wer das nicht kann sollte die BruteForce Angriffe auf den Admin Bereicht wenigstens mit einem fail2ban im Griff halten. (wer Hilfe braucht nutzt die Suchmaschine und findet recht schnell ne Ladung Anleitungen – die hier ist recht einfach gehalten zum Beispliel).
Wer es jetzt noch dem Angreifer etwas zusätzlich erschweren will macht die WP Version unsichtbar (unsichtbarer). Dafür gibt es natürlich schon einen PlugIn namens Meta Generator and Version Info Remover.
Leider immer mal wieder beliebt sind sogenannte xmlrpc Angriffe. Wer einen echten Blog betreibt wird das nicht ganz ausschalten können. ABER wer WordPress als CMS nutzt ganz ohne Blog und PingBack Funktion, der kann die xmlrpc.php Datei einfach rauswerfen (muss das natürlich bei jedem WP Update wiederholen. Aber die eine Datei ist ja gleich gelöscht).
Wer die Funktion wirklich nutzt muss da schon tiefer in die Kiste greifen. Damit hab ich mich leider noch nicht zu viel beschäftigt. Insteressant wäre hier vielleicht gar ein fail2ban Filter, theoretisch möglich doch da hab ich noch nicht die Zeit dafür gehabt.
Aber nicht vergessen, Updates sind natürlich nicht aus den Augen zu lassen. Oben viel zu kurz erwähnt, aber am ende ist wpscan euer Freund.