Kundenbereich

Sie sind hier: Startseite | Howto | WordPress sicher betreiben

27.03.2015
ThomasM

WordPress sicher betreiben

 

Wer die CMS-App WordPress oder eine ähnliche App nutzt , sollte sich auch um das Thema Sicherheit kümmern. Es kommt vor, dass Blogbetreibern und kommerziellen Unternehmen, die Ihre Webseite über ein solches System laufen lassen, Schaden zugefügt und der Ruf in Mitleidenschaft gezogen wird, weil bestimmte Sicherheitslücken unbeachtet blieben.

Nach Schätzungen laufen ca. 20% der weltweiten Internetseiten auf WordPress. Wir möchten in diesem Beitrag die gängigsten Sicherheitslücken aufzeigen, die man teilweise selbst schnell und einfach beheben kann. Jedoch möchten wir erwähnen, dass es keine hundertprozentige Sicherheit vor Angriffen gibt.

 

Unsere Top 10 WordPress-Sicherheitstipps

 

Nutzername
Der Standard-Benutzername „Admin“ oder „Administrator“ ist von Brute-Force-Attacken sehr häufig betroffen und sollte deshalb aus einem Fantasie-Nutzernamen oder kryptischer Zeichenfolge bestehen. Am besten ist eine Kombination aus beidem. Ein solcher Nutzername könnte z.B. „Leonida&458?“ lauten. Beim Passwort sollte man ähnlich verfahren. Dabei sollte das Passwort möglichst viele Zeichen beinhalten und sowohl Klein- als auch Großbuchstaben, sowie Sonderzeichen und Zahlen beinhalten.

 

Passwort
Passwörter sollten immer, und das gilt nicht allein nur für WordPress, sicher sein. Hier gilt die Regel „Je mehr umso besser“; soll heißen, je mehr Klein- und Großbuchstaben, Sonderzeichen und Zahlen in einem Passwort vereint sind, desto sicherer wird Ihr Passwort. Man sollte keinesfalls ausschließlich Zahlenketten z.B. „123456“, oder gar den Nutzernamen als Passwort verwenden wie z.B. „User: Admin, Passwort: Admin“. Wichtig zu erwähnen ist, dass Brute-Force-Attacken nicht nur den WordPress-Login angreifen, sondern alle anderen Logins auch (z.B. FTP Zugänge). Jeder Zugang zur Webseite sollte mit anderen Passwörtern ausgestattet sein. Nach Möglichkeit sollte es auch nur einen Admin-Account geben.

 

Backups
Achten Sie auf  vollständige und regelmäßige Backups der WordPress Installation, samt MySQL -Dump und FTP. Sollte es einmal soweit sein, dass ein Hacker sich Zugriff auf ihre Seite verschafft und Schaden anrichtet, der wie auch immer geartet ist, können Sie die gesamte Webseite inkl. Datenbank und Webspace löschen. Danach spielen Sie einfach die Installation mit neuem Nutzernamen und Kennwort wieder auf. Wir wollen hier kurz erwähnen, dass wir Backups Ihrer Projekte regelmäßig vornehmen, sofern Sie Kunde bei uns sind – jedoch sollte jeder zusätzlich eigene Backups vornehmen, da eine 100% Datenwiederherstellung aufgrund diverser Faktoren (z.B. vollständiger Stromausfall) nicht immer gewährleistet ist. Auf Anfrage legen wir euch unser Backup auf euer FTP Konto ab.

 

WordPress und PlugIns aktualisieren
WordPress und PlugIn-Entwickler schließen kontinuierlich Sicherheitslücken und weisen im Backend auf ein verfügbares Update hin. Es wird empfohlen diese regelmäßig zu installieren. Ein recht bekanntes PlugIn-Sicherheitsproblem war der Fall vom “Slider Revolution” – PlugIn. Dieses PlugIn wird genutzt um Videos, Bilder und Slides darzustellen.

Bei dieser Sicherheitslücke war es möglich mit Hilfe einer Local File Inclusion (LFI) Attack, die wp-config.php über einen Browser auszulesen und herunterzuladen. In dieser Datei sind empfindliche Daten enthalten wie z.B. die Zugänge für die Datenbank der jeweiligen Webseite.

Aus diesem Grund ist es wichtig, die “Changelogs” und die verfügbaren Updates für WordPress PlugIns im Auge zu behalten und ggf. zu aktualisieren. Ein Changelog enthält in der Regel einen Hinweis, welche Sicherheitslücke geschlossen wurde und gibt somit potenziellen Angreifern Hinweise auf eine Schwachstelle. Wer also nicht updated macht sich automatisch  angreifbar! Generell wird von WordPress empfohlen, nicht benutzte oder nur einmal verwendete PlugIns zu löschen oder zu deaktivieren.

 

Verwendung vertrauenswürdiger Quellen!
Egal ob Sie WordPress oder PlugIns downloaden; man sollte nie fremde Bezugsquellen nutzen um sich WordPress oder die entsprechenden PlugIns zu besorgen. Die von den Entwicklern empfohlenen Seiten sind z.B. http://www.wordpress.org. Das Risiko gecrackte Theme- oder PlugIn-Dateien zu laden und somit Schadsoftware zu installieren ist sehr hoch. Große Portale wie Envato, die einen Großteil der angebotenen PlugIns anbieten, sind vertrauenswürdig und sollten genutzt werden, wenn man keine anderen sicheren Quellen kennt. Wer sich WordPress oder PlugIns von nicht verifizierten Seiten beschafft, hat selbst Schuld und kann keinen Support vom Entwickler erwarten. Generell sollte man nur die nötigsten PlugIns verwenden um Sicherheitslücken zu minimieren und zudem nur auf Premium PlugIns zurückgreifen, bei denen man vom Entwickler auch Support und Updates erwarten kann.

 

Lese- und Schreibrechte prüfen!
Es kommt häufig vor die Lese- und Schreibrechte von Ordnern, die sich auf dem Webserver befinden, aufgrund von Fehleranalysen und PlugIn-Installationen zu ändern. Häufiger kommt es dazu, dass man dazu neigt alle Ordner auf 777 zu setzen – und genau da setzen Hacker und Schadsoftware an.  Hier findet man eine Auflistung darüber, welche Ordner und Dateien welche Rechte bekommen sollten. Es kann vorkommen, dass z.B. Theme- oder CSS-Dateien nicht mehr in WordPress veränderbar sind, jedoch kann man ebenso über FTP die Änderungen vornehmen. Man sollte sich generell Gedanken darüber machen, ob FTP-Zugangsdaten notwendig in der wp-config.php hinterlegt sein sollten und nicht besser manuell alle Änderungen vorzunehmen sind. Somit kann z.B. eine gehackte WordPress Installation keine Dateien mehr ändern.

 

WordPress Security PlugIns
Man kann auf PlugIns zurückgreifen, die WordPress sicherer machen. Bevor man jedoch ein solches PlugIn nutzt, sollte vorher ein gründlicher Scan laufen gelassen werden, damit weder Schadcode noch Malware durch das Security-PlugIn „eingeschlossen“ werden.

Es gibt viele gute “All-in-One” – Security PlugIns. z.B. Sucuri Security. Es ist ein kostenloses WordPress PlugIn, dass die WordPress Installation auf Schwachstellen und Malware scannt und die Fehler namentlich ausgibt. Das Tool loggt auch die WordPress LogIns mit und liefert somit bei jeder Änderung, und sei es nur ein Bild-Upload, eine E-Mail mit Informationen (Welcher Account, welche IP Adresse, etc).
Hier gibt es den Link zum WordPress PlugIn.

 

WordPress LogIn Bereich verstecken / Hintertüren abschließen

Eine Brute-Force-Attack läuft bekanntlich so ab, dass der Angreifer zum Teil mit tausenden aufeinander folgenden LogIns versucht, Zugang zum WordPress Backend zu bekommen. Mit den folgenden PlugIns begrenzt man die Anzahl der möglichen LogIn Versuche und ändert sogar die Art des Zugangs auf Pincode-Ebene.

 

LogIn Lockdown


Mit Login Lockdown für WordPress beschränken Sie die LogIn Versuche und können Angreifer IPs sperren. Link zum WordPress PlugIn LogIn Lockdown.

 

Stealth


Mit Stealth könnt Ihr das Einloggen nur noch mit Pincode / Autorisationscode ermöglichen. Link zum WordPress PlugIn Stealth.

 

Die beiden eben genannten PlugIns bringen aber nur etwas, wenn sie auch richtig konfiguriert sind.

 

 

WordPress LogIn Bereich mit Passwort schützen
Hier sollte zu allererst der jeweilige Provider befragt werden und keine Experimente gemacht werden, wenn Ihr nicht genau wisst wie man den Bereich mit .htaccess entsprechend schützt. Bei jedem Anbieter läuft es erfahrungsgemäß immer ein wenig anders. Bei uns kann man es mit folgender Anleitung recht simpel einrichten, ohne dass man auf den Support angewiesen ist.

 

1. Man loggt sich im Kundeninterface der TwooIT ein

 

2. Man wählt seinen Webhostingvertrag aus, den man mit einem .htaccess-Schutz versehen möchte.

 

3. Auf der linken Seite wählt man .htaccess und legt mit der Schaltfläche „Neuer .htaccess-Schutz“ einen entsprechenden .htaccess-Schutz an.

Wichtig: Stellt sicher, dass ihr das richtige Unterverzeichnis in eurem html-Verzeichnis ausgewählt habt. Nach Belieben können weitere Benutzer hinzugefügt werden, die jeweils einen eigenen .htaccess-Zugang mit User-Name und Passwort erhalten.

 

 

Standard WordPress Tabellenpräfix ändern
Mit hoher Wahrscheinlichkeit sind die meisten WordPress Installationen mit einem Tabellenpräfix “_wp” gekennzeichnet. Hier wird es Angreifern natürlich einfach gemacht. Abhilfe leistet ein WordPress PlugIn mit dem Namen „Change DB Fix“. Dieses PlugIn kann nach der Verwendung wieder bedenkenlos gelöscht werden. Ihr könnt dort (siehe Abbildung) auch eine längere Zeichenkette angeben. Bitte macht Euch unbedingt mit den Installationshinweisen und der PlugIn FAQ vertraut. Wenn z.B. Eure wp-config.php nicht beschreibbar ist, dann müsst ihr das Präfix manuell ändern.

 

Kommentare

Es sind 2 Kommentare vorhanden
  • Hallo Habe alle "Anweisungen" durchgeführt. Hoffe nun, dass mir die Seite nicht wieder flöten geht... Danke für die Tipps!
    gepostet am 30.03.2015 um 17:12:12 Uhr
  • Eine schöne und wertvolle Zusammenfassung der wichtigsten Tipps. Vielen Dank dafür. Ich freue mich immer über neue Blog-Posts von Euch. Peter
    gepostet am 03.04.2015 um 14:12:20 Uhr

Kommentar verfassen

<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>

* Pflichtfelder