Die eigene Webseite vor Zugriffen schützen
Ich habe in den vergangenen Tagen zahlreiche Angriffe auf diese meine Webseite erlebt, und da es sicher nicht nur mir so geht – viele Angriffe dieser Art laufen automatisch und betreffen zahlreiche IP-Adressen -, möchte ich allen Webseiten-Betreibern, die WordPress benmutzen, zwei wichtige Tipps geben.
Nummer 1: Schließen Sie die XML-RPC Sicherheitslücke, die Pingbacks und DDos-Angriffe ermöglicht. Dass lässt sich ganz einfach mit dem WordPress-Plugin »Disable XML-RPC« bewerkstelligen.
Nummer 2 und noch viel wichtiger: Schließen Sie das offene Scheunentor namens JSON-API. Ob es bei Ihnen geöffnet ist, können Sie leicht feststellen. Rufen Sie in einem Browser »wwww.NameIhrerWebseite/wp-json« auf, ohne dass Sie auf Ihrer Webseite angemeldet sind. Wenn Sie dann eine JSON-Struktur sehen, ist Ihr System offen. Probieren Sie es mal mit den Erweiterungen »…/wp-json/wp/v2/« und dann »users«, »media« oder »comments«. Wenn Sie dann wichtige Informationen angezeigt bekommen, sollten Sie diese Sicherheitslücke sofort schließen. Wie? Normalerweise wäre es am besten, die JSON-API ganz abzuschalten, doch leider wird sie vom modernen Gutenberg-Editor benutzt. Aber es geht auch so: Fügen Sie der Datei »functions.php« Ihres WordPress-Themes eine Filter-Funktion hinzu:
add_filter( ‘rest_authentication_errors’, function( $result ) {
if ( ! empty( $result ) ) {
return $result;
}
if ( ! is_user_logged_in() ) {
return new WP_Error( ‘401’, ‘not allowed.’, array(‘status’ => 401) );
}
return $result;
});
Kopieren Sie dieses Snippet in die Datei »functions.php«. Nachdem Sie den Filter hinzugefügt haben, können Sie obigen Test wiederholen. Sie werden feststellen, dass keine Infos aus dem Innern Ihrer Webseite mehr angezeigt werden.
