WordPress-Hardening im Theme

Wenn du dir den Quellcode einer Standard-WordPress-Seite anschaust, findest du darin die WordPress-Versionsnummer. Gut sichtbar im <head>-Bereich. Für einen Angreifer ist das wie ein Schild, auf dem steht: "Hier läuft WordPress 6.4.2, bitte prüfe die bekannten Schwachstellen dieser Version."

Das Foodblogliebe Theme entfernt diese Versionsnummer aus dem HTML-Quellcode. Das ist keine Revolution, aber es nimmt Angreifern eine Information weg, die sie sonst kostenlos bekommen.

XML-RPC ist die nächste Baustelle. Diese Schnittstelle stammt aus einer Zeit, als man WordPress-Beiträge mit externen Desktop-Editoren schreiben wollte. Heute braucht das praktisch niemand mehr. Dafür wird XML-RPC aktiv für Angriffe genutzt: Über eine einzige Anfrage lassen sich hunderte Passwort-Kombinationen gleichzeitig testen. Das Theme deaktiviert XML-RPC komplett.

Dann gibt es die Möglichkeit, Plugin- und Theme-Uploads über das WordPress-Backend zu blockieren. Warum sollte man das wollen? Weil ein Angreifer, der sich Administrator-Zugang verschafft hat, über den Plugin-Upload beliebigen PHP-Code auf deinen Server bringen kann. Wenn diese Funktion deaktiviert ist, kann auch ein kompromittierter Admin-Account keinen Schadcode hochladen.

Klingt radikal, hat aber im Alltag kaum Nachteile. Updates für bereits installierte Plugins und Themes funktionieren weiterhin. Nur das Hochladen komplett neuer Plugins oder Themes über das Backend wird unterbunden. Wer ein neues Plugin braucht, installiert es per SFTP oder WP-CLI, also bewusst und kontrolliert.

All diese Maßnahmen einzeln betrachtet sind nicht spektakulär. Zusammen reduzieren sie die Angriffsfläche deines Blogs deutlich. Ein Angreifer, der keine Versionsnummer findet, kein XML-RPC nutzen kann und keine Plugins hochladen darf, muss deutlich mehr Aufwand betreiben.

Unser Tipp: Wenn du XML-RPC noch aktiv hast und keine externe Software nutzt, die darauf angewiesen ist, deaktiviere es. Es gibt keinen guten Grund, diese Schnittstelle offen zu lassen.