WordPress sinnvoll absichern

Die Absicherung von WordPress gegenüber Angreifern ist simpel, da der Großteil der Arbeit von kostenlosen Tools übernommen wird. Mit ein bisschen Köpfchen, 15 Minuten Zeit zum Einrichten der Absicherung und immer mal wieder ein paar Aktualisierungen durchführen, wird WordPress relativ sicher sein und bleiben. Nichts desto trotz: Jede Software, egal ob online oder offline hat Fehler und damit Sicherheitslücken, da sie von Menschen geschrieben wurde – das ist normal.

Updates, Updates!

Installiert Updates für Plugins, Themes und WordPress, wenn Sie erscheinen. Wie viele Menschen Angst davor haben, Updates für die Webseite zu machen, ist faszinierend, aber genauso frustrierend: Fehlende Updates sind das erste und beste Tor für potentielle Hacks.

Aber was wenn meine Webseite danach nicht mehr geht? Mach ein Backup vor der Aktualisierung (siehe weiter unten)! Wenn nach einem Update nichts mehr gehen sollte, nutze unseren Rescue Service. Wenn deine Webseite sinnvoll erstellt wurde und nirgends in den Plugins und Themes auf Dateiebene rumgebastelt wurde, wird danach alles wie gehabt funktionieren. Dass sich mit einem Update auch mal ein Fehler in der Software einschleichen kann, passiert, aber man kann über die WordPress Repository jederzeit wieder auf die alte Version zurückspringen und sollte auch die Supportforen bei den jeweiligen Plugins nutzen.

Plugins und Themes

WordPress macht erst dann richtig Spaß, wenn es genug Features hat und die Inhalte auch entsprechend designed sind. Doch all diese Dinge erledigen weitere Plugins und Themes, die eine Menge an Code mitbringen, der teilweise Lücken und Fehler enthalten wird. Die erste Grundregel lautet daher: Nur so viele Plugins installieren, wie es unbedingt erforderlich ist.

Achtet bei der Auswahl von Plugins auf: bisherige Downloadanzahl, letztes Update, Reviews, Aktivität im Support und werft vielleicht einen kurzen Blick auf das Autorenprofil. Das heißt nicht, dass nicht auch Plugins und Themes mit vielen Downloads genauso schwere Lücken enthalten können. Im Gegenteil: Diese Plugins werden häufig ausgenutzt, da sie bei einer Vielzahl von Seiten eingesetzt werden und ein Hack immer darauf abzielt, möglichst viele Seiten übernehmen zu können. Wenn das nicht der Fall ist, ist ein solcher Angriff meist persönlich motiviert.

Innerhalb von Kundenprojekten beobachte ich auch immer wieder, dass drei verschiedene Plugins installiert wurden, die leicht unterschiedliche Features anbieten, wovon es aber genug Erweiterungen gäbe, die alle Features in einem Plugin beinhalten. Daher sucht euch bitte Plugins, die mehrere Funktionen abdecken und installiert nicht für jede Funktion ein Plugin. Beispiel: SEO, Social Meta, Sitemap.

Löscht alle Plugins, die ihr nicht braucht – ebenso alle Themes. Verzichtet auch mal auf ein Plugin im Zuge der Performance eurer Seite. Beispielsweise setze ich auf manchen Seiten WP Piwik zur Verbindung von Piwik (Analyticssoftware) mit WordPress ein, so dass automatisch der Tracking Code eingefügt wird und ich im Dashboard tolle Statistiken sehe. Bei genauerer Analyse habe ich allerdings bemerkt, dass WP Piwik meine Seite beim Laden stark verlangsamt. In einem solchen Fall dann lieber den Tracking Code direkt im Theme einfügen und auf ein Plugin verzichten.

Testet neue Plugins und Themes auf Fehler! Es gibt z.B. ein Plugin, das andere Plugins auf bekannte Schwachstellen testet: Plugin Vulnerabilities. Themes können z.B. via themecheck.org getestet werden. Innerhalb eines Jahres solltet ihr euch außerdem einmal Zeit nehmen und alle Plugins und Themes durchsehen, ggf. löschen und durch neue ersetzen oder ganz weglassen – wie der Frühjahrsputz.

Konfigurieren!

Plugins und Themes bringen meist jede Menge Features mit, die aber auch konfiguriert werden sollten: Schaut euch genau an, welche Features wo aktiv sind und deaktiviert die Features, die ihr nicht braucht. Das ist auch für die Seitenladezeit wichtig!

Brute Force und Userenumeration

Die zwei gängigsten Mittel einen Login zu knacken, egal ob WordPress oder eine andere Plattform ist die Brute Force Attacke: Hier wird so oft mit verschiedenen Passwortkombinationen herumprobiert, bis das Passwort herausgefunden ist. Ähnlich zu einem Zahlenschloss am Koffer, bei dem jede Kombination systematisch durchprobiert wird. Allerdings dauert das im Web nur ein paar Sekunden, wenn nicht sogar noch kürzer – schaut euch dazu die Tabelle von Wikipedia an, wie lange Programme bei welcher Passwortlänge und Zeichensatz brauchen, um ein Passwort zu ermitteln. Daher: NUTZT SICHERE PASSWORTE oder Tools wie KeyPass, OnePass etc.

Um bei WordPress den richtigen Benutzernamen ermitteln zu können, nutzen Programme die Userenumeration, d.h. sie versuchen den Benutzernamen anhand des Autorenlinks zu ermitteln, da das Kürzel im Link zur Autorenseite meist der Benutzername ist. Das alles lässt sich abstellen: Ich persönlich setze iThemes Security ein und würde euch dieses Plugin ans Herz legen. Wenn ihr ein Profitool braucht, das WordPress komplett verstecken sollte, probiert mal Hide my WP. Beide Plugins lösen eine Vielzahl von Sicherheitsrichtlinien neben Brute Force Attacken.

Bei erfolgreicher Userenumeration kann es euch allerdings passieren, dass euer Account durch iThemes Security gesperrt wird, wenn zu oft jemand probiert, mit eurem Account reinzukommen. Um das zu verhindern, gibt es zwei Wege:

  • Am besten das komplette Backend mit einer HTTP Authentification sperren, so dass niemand auf /wp-admin zugreifen darf, außer er gibt Benutzername und Passwort ein. Es gibt sowohl ein Plugin dafür als auch Regeln zum selbst definieren.
  • Einsatz von Captchas oder Two Factor Authentification. Ich empfehle ersteres, denn das lässt sich einfach deaktivieren, wenn nichts mehr geht.

Testet eure WordPress Installation auf Probleme!

Backups

Macht regelmäßig Backups von eurer Seite und der Datenbank. Klare Empfehlung: UpdateDraftPlus. Wenn nach einem Update nichts mehr geht oder ihr wirklich ein Sicherheitsproblem hattet, könnt ihr so wieder zurückspringen. Wer viel bloggt, sollte täglich ein Datenbankbackup machen und mindestens einmal pro Woche ein volles Backup mit allen Dateien aus der Mediathek. Mit diesem Plugin lässt sich das alles wunderbar planen.

Wichtig: Die Backup-Dateien immer versuchen außerhalb des WordPress Ordners abzulegen. Zwar sichert UpdateDraftPlus den Zugriff auf die Backupdateien mit einer .htaccess Datei, aber die sicherste Variante ist, die Dateien dort abzulegen, wo sie von außen via Domainaufruf nicht erreichbar sind.

Ausgemustert

Ihr braucht euren Blog nicht mehr und habt keine Zeit mehr, euch darum zu kümmern? Löscht ihn! Laut einer Studie von Cisco werden durch verwaiste Blogs, die gehackt wurden, jede Menge Malware verschickt – die berühmten Spammails mit .docm Anhang, die dann euren Computer verschlüsseln, wenn ihr sie ausführt.

Wenn ihr ihn trotzdem behalten wollt, aber keine Zeit habt, euch um Updates zu kümmern, nutzt unsere Wartungsflatrate.

absichernAnleitungBackupsBrute ForceChecksEmpfehlungenhow toMultisitePluginPluginsSecuritySicherheitSSLTestsThemesTippsUserenumerationwordpress
Comments (0)
Add Comment