Mehr Sicherheit für WordPress – Teil1/2

24. November 2013 | Wordpress, Themes und Plugins | 2 Kommentare

WordPress ist das meist benutzte CMS auf der Welt. Das bedeutet natürlich auch, das es das meist angegriffene Content Management System der Welt ist. Immer wieder versuchen Hacker die Kontrolle von WordPress-Installationen an sich zu reißen, um Schadcode einzuschleusen. Wie man mit einfachen Mitteln WordPress sicherer machen kann möchte ich in diesem Beitrag erläutern.

Ausgangssituation

Jeder kennt die normale Ausgangslage. Man hat ein WordPress für ein neues Web-Projekt aufgesetzt. Schnell noch ein paar Plugins installiert, ein neues Theme ausgesucht und schon kann es losgehen mit dem Beiträge schreiben.

Im Normalfall sollte hier nichts passieren. Die WordPress-Installation läuft wie man es auch von Ihr erwartet. Wenn die Beiträge gut sind und man an Bekanntheitsgrad gewinnt ruf das aber auch die Hacker auf den Plan. Die versuchen dann sich Zugriff zum System zu verschaffen. Warum machen die sowas und wo kommen die denn überhaupt her?

Die Gründe dafür sind vielfältig. Die Einen machen das nur aus Spaß, um zu sehen was Sie denn so drauf haben. Die Anderen möchten einfach nur Schaden anrichten und finden das toll wenn sich jemand ärgert. Und dann sind da noch die Hacker, welche die gehackten Seiten für Spam und Links missbrauchen, um damit auf viele andere Angebote aufmerksam zu machen oder unlautere Backlinks zu generieren.

Wie geht ein Hacker vor

Es gibt mehrere Methoden um in ein System einzubrechen. Als erste Methode währe da das Ausprobieren zu nennen. Hierbei versucht der Eindringling den Benutzernamen und das Passwort durch simples probieren herauszufinden. Oft sind diese Personen im näheren persönlichen Umfeld der Webseiten-Betreibers zu finden, weil man dazu wenigstens den Benutzernamen und eine Idee für das Passwort haben muss.

Die zweite Methode ist das Passwort durch Zufall herauszufinden. Dazu nutzt der Hacker ein Programm, welches zufällige Passwörter im Login-Bereich automatisiert durchprobiert, bis es das richtige gefunden hat.

Etwas besser versierte Hacker schauen in der Update-Liste von WordPress nach und versuchen dann einen bekannten Bug oder eine bekannte Sicherheitslücke für den Einbruch ins System auszunutzen. Diese Angriffe, werden oft von Kindern durchgeführt, die irgendwo im Internet eine ausführliche Beschreibung über eine solche Sicherheitslücke gefunden haben.

Die meisten dieser Dinge können durch einfache Mittel vermieden oder wenigstens sehr erschwert werden.

Einfache Gegenmaßnamen

Grundsätzlich liegen die meisten Schwachstellen beim Einem selber. Wenn man sich an ein paar kleine Regelen kontinuierlich hält, kann man schon hier eine Menge für die Sicherheit von WordPress tun. Auch mit Boardmitteln ist viel zu bewerkstelligen.

1. Bei der Installation

Schon während der Installation von WordPress kann man einige Grundsätze beachten um das Einbrechen zu erschweren. Zum einen empfehle ich für die WordPress-Datenbank mindestens ein 12 Zeichen langes und vor allem kryptischen Passwort zu verwenden. Weiterhin fragt WordPress während der Installation nach einem Präfix für die Datenbanktabellen. Hier empfehle ich vom Standard abzuweichen und ein anderes Präfix zu wählen. Grund dafür ist, das die Namen für die Datenbanktabellen kein Geheimnis sind und bei einer SQL Code Einschleusung nicht so einfach funktionieren.

Sicheres Passwort mit kryptischen Zeichen kann man an besten mit einem Passwortgenerator erzeugen. Hierbei sollte das Passwort aus einem Mix aus Kleinbuchstaben, Großbuchstaben, Ziffern und Sonderzeichen bestehen.

 2. Die Benutzerkonten

Als weiterer großer Punkt sind die Benutzerkonten zu nennen. Auch hier gelten die gleichen Passwort-Regeln wie schon bei dem Datenbank-Passwort. Auf keinen Fall Passwörter wie „123456“ oder „klaus76“ vergeben. Weit verbreitet ist auch der Standard Benutzer des Administrators. In sehr vielen Installationen heißt dieser einfach nur „admin“. Hier ist auf jeden Fall ein andere Benutzername zu wählen, sonst muss der Angreifer nur noch das Passwort herausfinden, denn den Namen des Hauptadmins hat er ja schon.

  • Kryptische Passwörter verwenden, möglichst mit Groß und Kleinschreibung sowie Ziffern und Sonderzeichen
  • Standard Benutzernamen wie „admin“ unterlassen und einen Ordentlichen Benutzernamen wählen z.B. „Mustermann76“

 

3. Plugins und Updates

Ein ganz großer Punkt sind auch die Updates. Mit der aktuellen WordPress Version 3.7.1 ist da ja schon ein Schritt in die richtige Richtung getan wurden. Hier kann man über eine Autoupdate Funktion aktuelle Patches automatisch einspielen lassen. Damit werden dann schnellstmöglich die Sicherheitslöcher geschlossen. Wer diese Funktion nicht nutzt sollte in regelmäßigen Abständen diese Updates von Hand installieren.

Gleiches muss auch für die installierten Plugins ebenfalls durchgeführt werden. Hier gibt es aber keine Autoupdate-Funktion. Aber aufpassen, das die Plugins auch für die aktuellste WordPress Version getestet und freigegeben sind. Für Sicherheitslücken in den Plugins sind nämlich die Entwickler der Plugins zuständig.

4. Den Server selber sicher machen.

Auch der Server selber birgt ein Sicherheitsrisiko. Für ein Shared-Housting Paket ist für die Software auf dem Server der Admin des Hosting-Anbieters verantwortlich. Hier kann man nicht viel selber machen.

Allerdings müssen hier die Schreib und Leserechte per FTP richtig gesetzt sein. Vor allem die wp-config.php muss die richtigen Dateirechte bekommen. So das diese Datei eben nur für WordPress (PHP des Servers) lesbar ist und kein Schreibrecht hat. Wenn man an dieser Datei Änderungen vornehmen will, müssen die Schreibrechte eben kurzfristig wieder geändert werden.

Fazit

Es ist gar nicht so schwer WordPress sicher zu machen, wenn man sich an einige Richtlinien hält. Zur Unterstützung kann man natürlich noch einige Plugins zu Hilfe nehmen. Im Teil 2 zum Thema Sicherheit werde ich dann einige dieser Plugins vorstellen. Wenn du noch einige Tipps hast oder ich etwas im Beitrag vergessen habe, würde ich mich über eine Ergänzung oder einen Kommentar freuen.

Wenn dir dieser Beitrag gefallen hat, bewerte jetzt diesen Beitrag!
[Gesamt Bewertungen: 0 Durchschnittlich bewertet: 0]
Hier schreibt: Thomas

Hier schreibt: Thomas

Ich heiße Thomas und bin Inhaber einer Agentur für eCommerce und Online Marketing. Zusätzlich interessiere ich mich für CMS Systeme, Wordpress, Drupal, Grafik und Multimedia. Ihr findet mich auf Twitter und Facebook. Über einen Kommentar zu diesem Beitrag würde ich mich freuen.

2 Kommentare

  1. MegaMila

    Ich bin auch schon öfter Opfer von Hackern geworden … ! Jedes Mal ein großes Ärgernis! Ich nutze jetzt ein Plugin, und zwar Plugin Login-Lockdown. Damit werden Logins gezählt und IPs bei zu vielen fehlerhaften Login-Versuchen gesperrt. Wirklich praktisch. Kann ich Euch nur empfehlen.

    Schaut mal hier, auf dem Blog Sir Apfelot gibt es einen schönen Bericht http://www.sir-apfelot.de/wordpress-sicherheit-wp-login-php-umbenennen-und-vor-hackern-schuetzen-1746/

    Antworten
  2. Wordpress Sicherheit

    Hallo,

    vielen Dank für diesen Beitrag. Vielleicht findest Du in meinem Beitrag noch ein paar Ergänzungen dazu:

    LG

    Antworten

Einen Kommentar abschicken

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Benachrichtige mich über neue Beiträge via E-Mail.

ALLE NEWS UND UPDATES DIREKT IN DEIN POSTFACH

ALLE NEWS UND UPDATES DIREKT IN DEIN POSTFACH

Immer bestens Informiert und keinen Beitrag mehr verpassen. Es gibt Infos, Tutorials und Angebote rund um das Thema WordPress, PC, Smart-Home und Online-Marketing.

Der Newsletter von Blogs54 kann jeder Zeit und kostenfrei wieder abbestellt werden.

Du hast dich erfolgreich angemeldet. Schau in dein Postfach wir haben eine Bestätigungsmail gesendet.

Divi-Theme Schnellstart Videokurs
Videokurs - 100%Gratis

Du lernst in diesem E-Mail Video Kurs:

- Wie du das Wordpress Divi Theme installierst.
- Die Grundeinrichtung und Aktualisierungen.
- Die Erstellung von OptIn und Kontaktformularen.
- Verwendung der Plugins Bloom und Monarch.

Trage dich jetzt hier 100% kostenlos zu dem Video-Kurs ein. Du erhällst insgesamt 6 Lektionen + 1 Bonus + Rabatt per E-Mail zugesandt.

Du hast dich erfolgreich angemeldet. Schau in dein Postfach ich haben eine Bestätigungsmail gesendet.

Pin It on Pinterest