WordPress
Veröffentlicht am 27. August 2014

Wie sicher ist dein WordPress-Blog?

von Kristina
Sicherheit

Sobald ein Blog oder eine Website mehr Besucher hat und sichtbar in den Suchmaschinen zu finden ist, werden sie leider auch für Angreifer attraktiver. Damit muss man als Blogger und Websitebetreiber leben und sich darauf einstellen. Um rechtzeitig reagieren zu können, ist es erforderlich, regelmäßig die Website zu kontrollieren und Sicherheitsmaßnahmen zu treffen. Ein Beitrag in dem es um Sicherheit und WordPress geht.

Ich bin viel im Internet unterwegs und ich habe festgestellt, dass viele Blogger keine oder wenig Sicherheitsmaßnahmen ergreifen. Deshalb habe ich die wichtigsten Maßnahmen zusammengestellt, die auch von technisch nicht so versierten Bloggern umgesetzt werden können.

Sicherheit im Internet

Tatsache ist, dass bei einer dynamischer Website mehr für Sicherheit gesorgt werden muss, als bei einer statischen Website. Eine dynamische Website enthält die Scriptsprache php und eine Datenbank, vorwiegend MySQL, die es zu schützen gilt. Zu den dynamischen Websites gehören alle Content-Management-Systeme (CMS-Systeme).

WordPress ist in der Basisinstallation ein sicheres System. Sicherheitslücken können durch Erweiterungen, wie zusätzliche Plugins und Themes entstehen. Die hohe Verbreitung von WordPress ist ein lohnendes Ziel für Angreifer. Eine 100% Sicherheit gibt es für keine Website. Allerdings kann man es dem Angreifer so schwer, wie möglich machen.

Die Sicherheitsmaßnahmen fangen schon vor der WordPress Installation an. Wie sicher ist dein PC oder Notebook? Hast du eine Firewall und ein Antivirusprogramm installiert? Wie gehst du mit Spam bei E-Mails um? Holst du dir Programme aus dem Internet, ohne auf den Anbieter zu achten?

Arbeitest du zu Hause mit WLAN? Ist das WLAN durch ein Passwort geschützt oder können die Nachbarn in deinem Netz ungestört surfen? Denke daran, dass es nicht nur nette Menschen sind, die ungehindert Einblick in deinen PC haben.

Nach welchen Kriterien hast du dir deinen Hoster ausgesucht? Hast du die Angebote auch anhand der angebotenen Leistungen in Sachen Sicherheit verglichen?

Sicherheitsmaßnahmen bei der Installation

Das Wichtigste überhaupt ist die Wahl des Benutzernamens und des Passworts. Der Benutzername kann im Gegensatz zum Passwort nicht mehr geändert werden. Die Angreifer benutzen heute im Allgemeinen Programme, die zuerst den Benutzernamen und anschließend das Passwort knacken sollen. Am häufigsten fangen die Angreifer mit dem Benutzernamen admin an, gefolgt von demo, test, wordpress, webmaster und Ähnliches. Wähle also einen ganz individuellen Benutzernamen und Passwort nach den Regeln für sichere Passwörter.

Als weitere Maßnahme kannst du den Präfix ändern, mit dem die Datenbanktabellen anfangen. Statt wp_ wähle zwei eigene Buchstaben, die mit WordPress nicht in Verbindung gebracht werden können.

Um unnötigen Ballast mit zu schleppen, löschen alles, was nicht benötigt wird.

Achte darauf, immer die aktuelle Version von WordPress, Plugins und Theme zu verwenden und immer zeitnah zu installieren. Das erhöht die Sicherheit, da Sicherheitslücken geschlossen werden und die Angreifer sich auf neue Versionen einstellen müssen.

Sicher arbeiten mit WordPress

Wie bereits bei den Einstellungen in WordPress erläutert, ist es sinnvoll sich noch zwei weitere Benutzer anzulegen. Auch dann, wenn du der alleinige Betreiber des Blogs bzw. Website bist. Richte dir einen zweiten Administrator für alle Fälle und einen Redakteur oder Autor zum Schreiben der Beiträge.

Schreibst du Beiträge von unterwegs? Im öffentlichen WLAN oder an einem fremden PC oder Notebook solltest du nach Möglichkeit nie mit den Administratorechten anmelden. Zum Schreiben von Beiträgen reicht ein Autor bzw. Redakteur aus. Im Falle eines Falles hat dann der Angreifer nur Zugriff auf die Inhalte. Der entstandene Schaden ist schnell behoben, falls du für regelmäßige Backups sorgst. Wenn du als Administrator eingeloggt bist, hat der Angreifer Zugriff auf das ganze System und kann erheblich mehr Schaden anrichten.

An regelmäßige Datensicherungen wird meistens erst dann gedacht, wenn schon einmal ein Schaden entstanden ist. Diese Sicherheitsmaßnahme wird von vielen Websitebetreibern übersehen oder unterschätzt. Auf jeden Fall kann ich besser schlafen, wenn ich weiß, dass durch regelmäßige Backups nur ein minimaler Schaden entstehen kann.

Sicherheitslücken: Plugins und Themes

Wie bereits erwähnt, können Plugins und Themes Sicherheitslücken bieten. Je mehr Plugins installiert sind, desto mehr Sicherheitslücken kann es geben.

Deshalb empfiehlt es sich Plugins und Themes nur von vertrauenswürdigen Quellen zu beziehen. Im offiziellen WordPress Verzeichnis finden sich mehr als 58.078 kostenlose Plugins und mehr als 8.156 Themes von registrierten Autoren. Außerdem gibt es eine Vielzahl von Premium Themes mit gutem Support. (Stand März 2021)

Ein sinnvolles Sicherheitsplugin ist Limit Login Attempts, das die Anzahl der Login Versuche einschränkt und bei ungültigen Anmeldeversuchen den Account sperrt.

Ein unerlässliches Plugin ist eines für den Backup. Suche dir eines aus, das deinen Bedürfnissen entgegen kommt. Auf jeden Fall darauf achten, dass die Plugins aktuell sind und die neueste WordPress Version unterstützen.

Zusätzliche Maßnahmen für Fortgeschrittene

Eine wirkungsvolle Maßnahme gegen zu viele Anmeldeversuche ist ein zusätzliches Passwort, dass in .htaccess eingerichtet wird. Dadurch wird der WordPress-Login serverseitig geschützt. Ein Angreifer muss sich dann mit zwei Benutzernamen und Passwörtern auseinandersetzen. Eine genaue Anleitung dazu ist im Blog von Elmastudio beschrieben.

Um mögliche Angriffe zu erschweren, kann auch die WordPress Versionsnummer entfernt werden. Bei fehlender Versionsnummer sind möglicherweise verschiedene Angreiferprogramme notwendig. Um die Versionsnummer zu entfernen, wird in der functions.php des Child-Themes Folgendes eingefügt:

/* wordpress versionsnummer entfernen */
remove_action(‚wp_head‘,’wp_generator‘);

Normalerweise erscheint in der Anmeldemaske eine Fehlermeldung, wenn ein falscher Benutzername oder Passwort eingegeben wurde. Diese Meldung kann man in der functions.php des Child-Themes aussschalten.

/* schaltet die Fehlermeldung in der Anmeldemaske aus */
add_filter(‚login_errors‘,create_function(‚$a‘, „return null;“));

Werden die Anpassungen direkt in die functions.php eingefügt, gehen sie bei einem update des Themes verloren.

Fazit

Entwickle ein Gespür für Sicherheitsmaßnahmen. Sicherheit und WordPress schließt sich nicht aus. Ich habe bei meinen Blogs diese Maßnahmen bisher erfolgreich eingesetzt.

Zusammenfassend sind die wichtigsten Maßnahmen:

  1. Sicherer Benutzername
  2. Sicheres Passwort
  3. Anzahl Login Versuche einschränken
  4. Von unterwegs sich nicht als Administrator einloggen
  5. Regelmäßige Backups der Datenbank und der WordPress Installation
  6. Immer aktuelle Versionen benutzen

Diese Sicherheitsmaßnahmen gelten nicht nur für WordPress sondern für alle CMS-Systeme.

Foto: ©mikkolem – Fotolia.com

Hat Dir der Beitrag gefallen? Dann bitte teilen!

Weitere Blog + WordPress Tipps:

Kategorie: WordPress
Schlagwort: , ,

von

Ich habe mehrere Blogs mit WordPress aufgebaut und viele Erfahrungen als Blogger gesammelt. In diesem Blog gebe ich Tipps für erfolgreiches Bloggen mit WordPress. Hat dir der Beitrag gefallen? Dann verpasse keine neuen Beiträge und abonniere sie per E-Mail