WordPress

Sicherheit und WordPress

Sicherheit

Sobald ein Blog oder eine Website mehr Besucher hat und sichtbar in den Suchmaschinen zu finden ist, werden sie leider auch für Angreifer attraktiver. Damit muss man als Blogger und Websitebetreiber leben und sich darauf einstellen. Um rechtzeitig reagieren zu können, ist es erforderlich, regelmäßig die Website zu kontrollieren und Sicherheitsmaßnahmen zu treffen.

Ich bin viel im Internet unterwegs und ich habe festgestellt, dass viele Blogger keine oder wenig Sicherheitsmaßnahmen ergreifen. Deshalb habe ich die wichtigsten Maßnahmen zusammengestellt, die auch von technisch nicht so versierten Bloggern umgesetzt werden können.

Sicherheit im Internet

Tatsache ist, dass bei einer dynamischer Website mehr für Sicherheit gesorgt werden muss, als bei einer statischen Website. Eine dynamische Website enthält die Scriptsprache php und eine Datenbank, vorwiegend MySQL, die es zu schützen gilt. Zu den dynamischen Websiten gehören alle Content-Management-Systeme (CMS-Systeme).

WordPress ist in der Basisinstallation ein sicheres System. Sicherheitslücken können durch Erweiterungen, wie zusätzliche Plugins und Themes entstehen. Die hohe Verbreitung von WordPress ist ein lohnendes Ziel für Angreifer. Eine 100% Sicherheit gibt es für keine Website. Allerdings kann man es dem Angreifer so schwer, wie möglich machen.

Die Sicherheitsmaßnahmen fangen schon vor der WordPress Installation an. Wie sicher ist Ihr PC oder Notebook? Haben Sie eine Firewall und ein Antivirusprogramm installiert? Wie gehen Sie mit Spam bei E-Mails um? Holen Sie sich Programme aus dem Internet, ohne auf den Anbieter zu achten?

Arbeiten Sie zu Hause mit WLAN? Ist Ihr WLAN durch ein Passwort geschützt oder können Ihre Nachbarn in Ihrem Netz ungestört surfen? Denken Sie daran, dass es nicht nur nette Menschen sind, die ungehindert Einblick in Ihren PC haben.

Nach welchen Kriterien haben Sie Ihren Hoster ausgesucht? Vergleichen Sie die Angebote auch anhand der angebotenen Leistungen in Sachen Sicherheit.

Sicherheitsmaßnahmen bei der Installation

Das Wichtigste überhaupt ist die Wahl des Benutzernamens und des Passworts. Die Angreifer benutzen heute im Allgemeinen Programme, die zuerst den Benutzernamen und anschließend das Passwort knacken sollen. Am häufigsten fangen die Angreifer mit dem Benutzernamen admin an, gefolgt von demo, test, wordpress , webmaster und Ähnliches. Wählen Sie also einen ganz individuellen Benutzernamen und Passwort nach den Regeln für sichere Passwörter.

Als weitere Maßnahme ändern Sie  den Präfix, mit dem die Datenbanktabellen anfangen. Statt wp_ wählen Sie zwei eigene Buchstaben, die mit WordPress nicht in Verbindung gebracht werden können.

Um unnötigen Ballast mit zu schleppen, löschen Sie alles, was Sie nicht benötigen.

Achten Sie darauf, immer die aktuelle Version von WordPress, Plugins und Theme zeitnah zu installieren. Das erhöht die Sicherheit, da Sicherheitslücken geschlossen werden und die Angreifer sich auf neue Versionen einstellen müssen.

Sicher arbeiten mit WordPress

Wie bereits bei den Einstellungen in WordPress erläutert, ist es sinnvoll sich noch zwei weitere Benutzer anzulegen. Auch dann, wenn Sie der alleinige Betreiber des Blogs bzw. Website sind. Einen zweiten Administrator für alle Fälle und einen Redakteur oder Autor zum Schreiben der Beiträge.

Schreiben Sie Beiträge von unterwegs? Im öffentlichen WLAN oder an einem fremden PC oder Notebook sollten Sie sich nach Möglichkeit nie mit den Administratorechten anmelden. Zum Schreiben von Beiträgen reicht ein Autor bzw. Redakteur aus. Im Falle eines Falles hat dann der Angreifer nur Zugriff auf Ihre Inhalte. Der entstandene Schaden ist schnell behoben, falls Sie für regelmäßige Backups sorgen. Sind Sie als Administrator eingeloggt, hat der Angreifer Zugriff auf das ganze System und kann erheblich mehr Schaden anrichten.

An regelmäßige Datensicherungen wird meistens erst dann gedacht, wenn schon einmal ein Schaden entstanden ist. Diese Sicherheitsmaßnahme wird von vielen Websitebetreibern übersehen oder unterschätzt. Auf jeden Fall kann man besser schlafen, wenn man weiß, dass durch regelmäßige Backups nur ein minimaler Schaden entstehen kann.

Sicherheitslücken: Plugins und Themes

Wie bereits erwähnt, können Plugins und Themes Sicherheitslücken bieten. Je mehr Plugins installiert sind, desto mehr Sicherheitslücken kann es geben.

Deshalb empfiehlt es sich Plugins und Themes nur von vertrauenswürdigen Quellen zu beziehen. Im offiziellen WordPress Verzeichnis finden sich mehr als 33.000 kostenlose Plugins und mehr als 2.600 Themes von registrierten Autoren. Außerdem gibt es eine Vielzahl von Premium Themes mit gutem Support.

Ein sinnvolles Sicherheitsplugin ist Limit Login Attempts, das die Anzahl der Login Versuche einschränkt und bei ungültigen Anmeldeversuchen den Account sperrt.

 

Ein unerlässliches Plugin ist eines für den Backup. Suchen Sie sich eines, das Ihren Bedürfnissen entgegen kommt. Auf jeden Fall darauf achten, dass die Plugins aktuell sind und die neueste WordPress Version unterstützen.

Zusätzliche Maßnahmen für Fortgeschrittene

Eine wirkungsvolle Maßnahme gegen zu viele Anmeldeversuche ist ein zusätzliches Passwort, dass in .htaccess eingerichtet wird. Dadurch wird der WordPress-Login serverseitig geschützt. Ein Angreifer muss sich dann mit zwei Benutzernamen und Passwörtern auseinandersetzen. Eine genaue Anleitung dazu ist im Blog von Elmastudio beschrieben.

Um mögliche Angriffe zu erschweren, kann auch die WordPress Versionsnummer entfernt werden. Bei fehlender Versionsnummer sind möglicherweise verschiedene Angreiferprogramme notwendig. Um die Versionsnummer zu entfernen, wird in der functions.php des Child-Themes Folgendes eingefügt:

/* wordpress versionsnummer entfernen */
remove_action(‚wp_head‘,’wp_generator‘);

Normalerweise erscheint in der Anmeldemaske eine Fehlermeldung, wenn ein falscher Benutzername oder Passwort eingegeben wurde. Diese Meldung kann man in der functions.php des Child-Themes aussschalten.

/* schaltet die Fehlermeldung in der Anmeldemaske aus */
add_filter(‚login_errors‘,create_function(‚$a‘, „return null;“));

Werden die Anpassungen direkt in die functions.php eingefügt, gehen sie bei einem update des Themes verloren.

Fazit

Entwickeln Sie ein Gespür für Sicherheitsmaßnahmen. Sicherheit und WordPress schließt sich nicht aus. Ich habe bei meinen Blogs diese Maßnahmen bisher erfolgreich eingesetzt.

Zusammenfassend sind die wichtigsten Maßnahmen:

  1. Sicherer Benutzername
  2. Sicheres Passwort
  3. Anzahl Login Versuche einschränken
  4. Von unterwegs sich nicht als Administrator einloggen
  5. Regelmäßige Backups der Datenbank und der WordPress Installation
  6. Immer aktuelle Versionen benutzen

Diese Sicherheitsmaßnahmen gelten nicht nur für WordPress sondern für alle CMS-Systeme.

Habe ich etwas Wichtiges vergessen?

Ich bin gespannt auf Ihr Feedback.

Foto: ©mikkolem – Fotolia.com

Hat dir der Beitrag gefallen? Dann bitte teilen!

Kategorie: WordPress

von

Avatar

Kristina hat mehrere Blogs mit WordPress aufgebaut und viele Erfahrungen als Blogger gesammelt. In diesem Blog gibt sie Tipps für erfolgreiches Bloggen mit WordPress. Hat dir der Beitrag gefallen? Dann verpasse keinen Artikel und abonniere den Newsletter