Wordpress, Themes und Plugins Mehr Sicherheit für WordPress – Teil1/2

Mehr Sicherheit für WordPress – Teil1/2

24. November 2013 | Wordpress, Themes und Plugins | 2 Kommentare

[sam_zone id=“3″ codes=“true“]

WordPress ist das meist benutzte CMS auf der Welt. Das bedeutet natürlich auch, das es das meist angegriffene Content Management System der Welt ist. Immer wieder versuchen Hacker die Kontrolle von WordPress-Installationen an sich zu reißen, um Schadcode einzuschleusen. Wie man mit einfachen Mitteln WordPress sicherer machen kann möchte ich in diesem Beitrag erläutern.

Ausgangssituation

Jeder kennt die normale Ausgangslage. Man hat ein WordPress für ein neues Web-Projekt aufgesetzt. Schnell noch ein paar Plugins installiert, ein neues Theme ausgesucht und schon kann es losgehen mit dem Beiträge schreiben.

Im Normalfall sollte hier nichts passieren. Die WordPress-Installation läuft wie man es auch von Ihr erwartet. Wenn die Beiträge gut sind und man an Bekanntheitsgrad gewinnt ruf das aber auch die Hacker auf den Plan. Die versuchen dann sich Zugriff zum System zu verschaffen. Warum machen die sowas und wo kommen die denn überhaupt her?

Die Gründe dafür sind vielfältig. Die Einen machen das nur aus Spaß, um zu sehen was Sie denn so drauf haben. Die Anderen möchten einfach nur Schaden anrichten und finden das toll wenn sich jemand ärgert. Und dann sind da noch die Hacker, welche die gehackten Seiten für Spam und Links missbrauchen, um damit auf viele andere Angebote aufmerksam zu machen oder unlautere Backlinks zu generieren.

Wie geht ein Hacker vor

Es gibt mehrere Methoden um in ein System einzubrechen. Als erste Methode währe da das Ausprobieren zu nennen. Hierbei versucht der Eindringling den Benutzernamen und das Passwort durch simples probieren herauszufinden. Oft sind diese Personen im näheren persönlichen Umfeld der Webseiten-Betreibers zu finden, weil man dazu wenigstens den Benutzernamen und eine Idee für das Passwort haben muss.

Die zweite Methode ist das Passwort durch Zufall herauszufinden. Dazu nutzt der Hacker ein Programm, welches zufällige Passwörter im Login-Bereich automatisiert durchprobiert, bis es das richtige gefunden hat.

Etwas besser versierte Hacker schauen in der Update-Liste von WordPress nach und versuchen dann einen bekannten Bug oder eine bekannte Sicherheitslücke für den Einbruch ins System auszunutzen. Diese Angriffe, werden oft von Kindern durchgeführt, die irgendwo im Internet eine ausführliche Beschreibung über eine solche Sicherheitslücke gefunden haben.

Die meisten dieser Dinge können durch einfache Mittel vermieden oder wenigstens sehr erschwert werden.

Einfache Gegenmaßnamen

Grundsätzlich liegen die meisten Schwachstellen beim Einem selber. Wenn man sich an ein paar kleine Regelen kontinuierlich hält, kann man schon hier eine Menge für die Sicherheit von WordPress tun. Auch mit Boardmitteln ist viel zu bewerkstelligen.

1. Bei der Installation

Schon während der Installation von WordPress kann man einige Grundsätze beachten um das Einbrechen zu erschweren. Zum einen empfehle ich für die WordPress-Datenbank mindestens ein 12 Zeichen langes und vor allem kryptischen Passwort zu verwenden. Weiterhin fragt WordPress während der Installation nach einem Präfix für die Datenbanktabellen. Hier empfehle ich vom Standard abzuweichen und ein anderes Präfix zu wählen. Grund dafür ist, das die Namen für die Datenbanktabellen kein Geheimnis sind und bei einer SQL Code Einschleusung nicht so einfach funktionieren.

Sicheres Passwort mit kryptischen Zeichen kann man an besten mit einem Passwortgenerator erzeugen. Hierbei sollte das Passwort aus einem Mix aus Kleinbuchstaben, Großbuchstaben, Ziffern und Sonderzeichen bestehen.

 2. Die Benutzerkonten

Als weiterer großer Punkt sind die Benutzerkonten zu nennen. Auch hier gelten die gleichen Passwort-Regeln wie schon bei dem Datenbank-Passwort. Auf keinen Fall Passwörter wie „123456“ oder „klaus76“ vergeben. Weit verbreitet ist auch der Standard Benutzer des Administrators. In sehr vielen Installationen heißt dieser einfach nur „admin“. Hier ist auf jeden Fall ein andere Benutzername zu wählen, sonst muss der Angreifer nur noch das Passwort herausfinden, denn den Namen des Hauptadmins hat er ja schon.

  • Kryptische Passwörter verwenden, möglichst mit Groß und Kleinschreibung sowie Ziffern und Sonderzeichen
  • Standard Benutzernamen wie „admin“ unterlassen und einen Ordentlichen Benutzernamen wählen z.B. „Mustermann76“

 

3. Plugins und Updates

Ein ganz großer Punkt sind auch die Updates. Mit der aktuellen WordPress Version 3.7.1 ist da ja schon ein Schritt in die richtige Richtung getan wurden. Hier kann man über eine Autoupdate Funktion aktuelle Patches automatisch einspielen lassen. Damit werden dann schnellstmöglich die Sicherheitslöcher geschlossen. Wer diese Funktion nicht nutzt sollte in regelmäßigen Abständen diese Updates von Hand installieren.

Gleiches muss auch für die installierten Plugins ebenfalls durchgeführt werden. Hier gibt es aber keine Autoupdate-Funktion. Aber aufpassen, das die Plugins auch für die aktuellste WordPress Version getestet und freigegeben sind. Für Sicherheitslücken in den Plugins sind nämlich die Entwickler der Plugins zuständig.

4. Den Server selber sicher machen.

Auch der Server selber birgt ein Sicherheitsrisiko. Für ein Shared-Housting Paket ist für die Software auf dem Server der Admin des Hosting-Anbieters verantwortlich. Hier kann man nicht viel selber machen.

Allerdings müssen hier die Schreib und Leserechte per FTP richtig gesetzt sein. Vor allem die wp-config.php muss die richtigen Dateirechte bekommen. So das diese Datei eben nur für WordPress (PHP des Servers) lesbar ist und kein Schreibrecht hat. Wenn man an dieser Datei Änderungen vornehmen will, müssen die Schreibrechte eben kurzfristig wieder geändert werden.

Fazit

Es ist gar nicht so schwer WordPress sicher zu machen, wenn man sich an einige Richtlinien hält. Zur Unterstützung kann man natürlich noch einige Plugins zu Hilfe nehmen. Im Teil 2 zum Thema Sicherheit werde ich dann einige dieser Plugins vorstellen. Wenn du noch einige Tipps hast oder ich etwas im Beitrag vergessen habe, würde ich mich über eine Ergänzung oder einen Kommentar freuen.

Wie hat dir dieser Beitrag gefallen?

Klicke auf die Sterne um zu bewerten!

Durchschnittliche Bewertung 0 / 5. Anzahl Bewertungen: 0

Bisher keine Bewertungen! Sei der Erste, der diesen Beitrag bewertet.

Hier schreibt: Thomas

Hier schreibt: Thomas

Ich heiße Thomas und bin Inhaber einer Agentur für eCommerce und Online Marketing. Zusätzlich interessiere ich mich für CMS Systeme, Wordpress, Drupal, Grafik und Multimedia. Ihr findet mich auf Twitter und Facebook. Über einen Kommentar zu diesem Beitrag würde ich mich freuen.

2 Kommentare

  1. MegaMila

    Ich bin auch schon öfter Opfer von Hackern geworden … ! Jedes Mal ein großes Ärgernis! Ich nutze jetzt ein Plugin, und zwar Plugin Login-Lockdown. Damit werden Logins gezählt und IPs bei zu vielen fehlerhaften Login-Versuchen gesperrt. Wirklich praktisch. Kann ich Euch nur empfehlen.

    Schaut mal hier, auf dem Blog Sir Apfelot gibt es einen schönen Bericht http://www.sir-apfelot.de/wordpress-sicherheit-wp-login-php-umbenennen-und-vor-hackern-schuetzen-1746/

    Antworten
  2. Wordpress Sicherheit

    Hallo,

    vielen Dank für diesen Beitrag. Vielleicht findest Du in meinem Beitrag noch ein paar Ergänzungen dazu:

    LG

    Antworten

Einen Kommentar abschicken

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Blog via E-Mail abonnieren

Gib Deine E-Mail-Adresse an, um diesen Blog zu abonnieren und Benachrichtigungen über neue Beiträge via E-Mail zu erhalten.

Schließe dich 2.832 anderen Abonnenten an

In eigener Sache

Mit einem Stern (*) markierten Links sind Affiliate-Links. Wenn du einen Kauf über diese Links tätigst, bekomme ich eine Provision und du unterstützt aktiv diesen Blog. Für dich ändert sich der Preis nicht.

Wichtig: Ich empfehle nur Produkte, die ich selbst verwende und/oder von denen ich überzeugt bin. Vielen Dank für deine Unterstützung!