[sam_zone id=“3″ codes=“true“]
WordPress ist das meist benutzte CMS auf der Welt. Das bedeutet natürlich auch, das es das meist angegriffene Content Management System der Welt ist. Immer wieder versuchen Hacker die Kontrolle von WordPress-Installationen an sich zu reißen, um Schadcode einzuschleusen. Wie man mit einfachen Mitteln WordPress sicherer machen kann möchte ich in diesem Beitrag erläutern.
Ausgangssituation
Jeder kennt die normale Ausgangslage. Man hat ein WordPress für ein neues Web-Projekt aufgesetzt. Schnell noch ein paar Plugins installiert, ein neues Theme ausgesucht und schon kann es losgehen mit dem Beiträge schreiben.
Im Normalfall sollte hier nichts passieren. Die WordPress-Installation läuft wie man es auch von Ihr erwartet. Wenn die Beiträge gut sind und man an Bekanntheitsgrad gewinnt ruf das aber auch die Hacker auf den Plan. Die versuchen dann sich Zugriff zum System zu verschaffen. Warum machen die sowas und wo kommen die denn überhaupt her?
Die Gründe dafür sind vielfältig. Die Einen machen das nur aus Spaß, um zu sehen was Sie denn so drauf haben. Die Anderen möchten einfach nur Schaden anrichten und finden das toll wenn sich jemand ärgert. Und dann sind da noch die Hacker, welche die gehackten Seiten für Spam und Links missbrauchen, um damit auf viele andere Angebote aufmerksam zu machen oder unlautere Backlinks zu generieren.
Wie geht ein Hacker vor
Es gibt mehrere Methoden um in ein System einzubrechen. Als erste Methode währe da das Ausprobieren zu nennen. Hierbei versucht der Eindringling den Benutzernamen und das Passwort durch simples probieren herauszufinden. Oft sind diese Personen im näheren persönlichen Umfeld der Webseiten-Betreibers zu finden, weil man dazu wenigstens den Benutzernamen und eine Idee für das Passwort haben muss.
Die zweite Methode ist das Passwort durch Zufall herauszufinden. Dazu nutzt der Hacker ein Programm, welches zufällige Passwörter im Login-Bereich automatisiert durchprobiert, bis es das richtige gefunden hat.
Etwas besser versierte Hacker schauen in der Update-Liste von WordPress nach und versuchen dann einen bekannten Bug oder eine bekannte Sicherheitslücke für den Einbruch ins System auszunutzen. Diese Angriffe, werden oft von Kindern durchgeführt, die irgendwo im Internet eine ausführliche Beschreibung über eine solche Sicherheitslücke gefunden haben.
Die meisten dieser Dinge können durch einfache Mittel vermieden oder wenigstens sehr erschwert werden.
Einfache Gegenmaßnamen
Grundsätzlich liegen die meisten Schwachstellen beim Einem selber. Wenn man sich an ein paar kleine Regelen kontinuierlich hält, kann man schon hier eine Menge für die Sicherheit von WordPress tun. Auch mit Boardmitteln ist viel zu bewerkstelligen.
1. Bei der Installation
Schon während der Installation von WordPress kann man einige Grundsätze beachten um das Einbrechen zu erschweren. Zum einen empfehle ich für die WordPress-Datenbank mindestens ein 12 Zeichen langes und vor allem kryptischen Passwort zu verwenden. Weiterhin fragt WordPress während der Installation nach einem Präfix für die Datenbanktabellen. Hier empfehle ich vom Standard abzuweichen und ein anderes Präfix zu wählen. Grund dafür ist, das die Namen für die Datenbanktabellen kein Geheimnis sind und bei einer SQL Code Einschleusung nicht so einfach funktionieren.
2. Die Benutzerkonten
Als weiterer großer Punkt sind die Benutzerkonten zu nennen. Auch hier gelten die gleichen Passwort-Regeln wie schon bei dem Datenbank-Passwort. Auf keinen Fall Passwörter wie „123456“ oder „klaus76“ vergeben. Weit verbreitet ist auch der Standard Benutzer des Administrators. In sehr vielen Installationen heißt dieser einfach nur „admin“. Hier ist auf jeden Fall ein andere Benutzername zu wählen, sonst muss der Angreifer nur noch das Passwort herausfinden, denn den Namen des Hauptadmins hat er ja schon.
- Kryptische Passwörter verwenden, möglichst mit Groß und Kleinschreibung sowie Ziffern und Sonderzeichen
- Standard Benutzernamen wie „admin“ unterlassen und einen Ordentlichen Benutzernamen wählen z.B. „Mustermann76“
3. Plugins und Updates
Ein ganz großer Punkt sind auch die Updates. Mit der aktuellen WordPress Version 3.7.1 ist da ja schon ein Schritt in die richtige Richtung getan wurden. Hier kann man über eine Autoupdate Funktion aktuelle Patches automatisch einspielen lassen. Damit werden dann schnellstmöglich die Sicherheitslöcher geschlossen. Wer diese Funktion nicht nutzt sollte in regelmäßigen Abständen diese Updates von Hand installieren.
Gleiches muss auch für die installierten Plugins ebenfalls durchgeführt werden. Hier gibt es aber keine Autoupdate-Funktion. Aber aufpassen, das die Plugins auch für die aktuellste WordPress Version getestet und freigegeben sind. Für Sicherheitslücken in den Plugins sind nämlich die Entwickler der Plugins zuständig.
4. Den Server selber sicher machen.
Auch der Server selber birgt ein Sicherheitsrisiko. Für ein Shared-Housting Paket ist für die Software auf dem Server der Admin des Hosting-Anbieters verantwortlich. Hier kann man nicht viel selber machen.
Allerdings müssen hier die Schreib und Leserechte per FTP richtig gesetzt sein. Vor allem die wp-config.php muss die richtigen Dateirechte bekommen. So das diese Datei eben nur für WordPress (PHP des Servers) lesbar ist und kein Schreibrecht hat. Wenn man an dieser Datei Änderungen vornehmen will, müssen die Schreibrechte eben kurzfristig wieder geändert werden.
Fazit
Es ist gar nicht so schwer WordPress sicher zu machen, wenn man sich an einige Richtlinien hält. Zur Unterstützung kann man natürlich noch einige Plugins zu Hilfe nehmen. Im Teil 2 zum Thema Sicherheit werde ich dann einige dieser Plugins vorstellen. Wenn du noch einige Tipps hast oder ich etwas im Beitrag vergessen habe, würde ich mich über eine Ergänzung oder einen Kommentar freuen.
Ich bin auch schon öfter Opfer von Hackern geworden … ! Jedes Mal ein großes Ärgernis! Ich nutze jetzt ein Plugin, und zwar Plugin Login-Lockdown. Damit werden Logins gezählt und IPs bei zu vielen fehlerhaften Login-Versuchen gesperrt. Wirklich praktisch. Kann ich Euch nur empfehlen.
Schaut mal hier, auf dem Blog Sir Apfelot gibt es einen schönen Bericht http://www.sir-apfelot.de/wordpress-sicherheit-wp-login-php-umbenennen-und-vor-hackern-schuetzen-1746/
Hallo,
vielen Dank für diesen Beitrag. Vielleicht findest Du in meinem Beitrag noch ein paar Ergänzungen dazu:
LG