Für diese Seite existieren Kommentare. Diese befinden sich auf So sicherst du deinen WordPress Blog ab.
WordPress-Blogs sind nicht immer von vorne herein sicher. In diesem Artikel erkläre ich, wie du deine eigene WordPress-Installation sicherer machen kannst.
Grundsätzlich ist WordPress eines der sichersten Conent Managemant Systeme, die es derzeit auf dem Markt gibt. Durch Fehlkonfiguration der Administratoren können WordPress Blogs aber schnell unsicher werden und die Türen für Angreifer öffnen. Mit einigen hilfreichen Tipps kannst du aber erfolgreiche Angriffe auf dein System aber ganz einfach vermeiden.
Erstelle täglich Backups deines Blogs
Um wirklich sicher vor Angreifern zu sein, ist es wichtig jederzeit ein Backup in der Hinterhand zu haben, mit welchem du deine Seite wiederherstellen kannst. Oft kommt es bei Angriffen nämlich vor, dass Schadcode in die Installation eingefügt wird, der nicht so einfach wieder zu entfernen ist. Um nach einem Angriff außerdem eine saubere Grundlage zu haben, ist ein komplettes Backup von Datenbank- und File-Ebene die beste Lösung. Eine saubere Lösung bietet hierbei BackWPup, welches ich hier auch schon einige male erwähnt habe.
Aktualisiere deine WordPress-Installation regelmäßig
Wie auch zum Beispiel bei Windows ist ein nicht aktuelles System ein großes Sicherheitsrisiko. Die Macher von WordPress patchen mit jeder Aktualisierung weitere Sicherheitslücken im System und machen es hierdurch Angreifern deutlich schwerer, in WordPress-Blog einzudringen. Sicherheits-Lücken in alten Systemen werden von Angreifern hingegen schamlos ausgenutzt und machen diese Installationen zu einem enormen Sicherheitsrisiko für jeden Besucher, der eine solche Seite betritt.
Noch größere Sicherheitsrisikos stecken nur in Plugins und Themes für WordPress. Achte beim Kauf von WordPress-Themes vor allem darauf, dass regelmäßig Updates vom Entwickler herausgebracht werden und kein aufgeblasenes Framework in das Theme integriert ist.
Auch bei Plugins gilt, dass der Entwickler an dem eingesetzten Plugin festhält. Ist ein Plugin schlecht entwickelt und wird eher sporadisch gepflegt, dann kann dies ein Einfalltor für Angreifer sein. Im schlimmsten Fall können Angreifer über ein nicht abgesichertes Feld SQL-Injections ausführen und Vollzugriff auf euer Backend erhalten.
Grundsätzlich solltest du deshalb folgendes beachten: Sobald ein Plugin/Theme viele Installationen vorweisen kann und der Entwickler regelmäßig (min. monatlich) eine Aktualisierung raushaut, kannst du die Erweiterung meist ohne Bedenken einsetzen. Im Zweifelsfall lohnt sich außerdem ein Blick in die Bewertungen anderer User und in das Support-Forum der Erweiterung im WordPress Plugin Directory.
Begrenze die maximalen Logins
Sicherheits-Plugins für WordPress gibt es viele. Sicherheit selbst wird aber durch Einsatz dieser Erweiterungen kaum gewährt. Ganz im Gegenteil. Die Sicherheit wird oftmals sogar herabgesetzt. Aus diesem Grund gibt es derzeit nur zwei Plugins, die ich wirklich empfehlen kann.
Eines davon ist Limit Login Attempts. Der Entwickler hat zwar seit mehr als zwei Jahren kein Update mehr veröffentlicht, das Plugin funktioniert aber weiterhin ohne Probleme und im entsprechenden Support-Forum, wird auch weiterhin Hilfe angeboten. Zudem wurde die Funktionalität bereits mehrfach überprüft, ohne dass Bugs festgestellt wurden.
Aktiviere die Zwei-Faktor Authentifizierung
Ebenfalls kann ich jedem Blogger wärmstens Two-Factor empfehlen. Two-Factor ermöglicht es Benutzern, den Login über eine Bestätigungs-Email mit einem Code (ähnlich wie auch bei vielen anderen großen Diensten) verifizieren zu lassen. Neben Benutzername und Passwort wird somit auch ein Code abgefragt, der einen Angriff über Brute-Force Angriffe deutlich sicherer macht.
Dieses Plugin wurde von Entwicklern des WordPress Core Teams entwickelt und wird regelmäßig aktualisiert. Auch wenn die Erweiterung derzeit noch im Beta-Status ist und noch Funktionen hinzukommen, erfüllt es bereits jetzt seinen Zweck zu meiner vollsten Zufriedenheit.
Blogge niemals über den Administrator-Account
Ein weiterer Fehler, der leider auf zu vielen Blogs Verwendung findet ist das Bloggen über den Administratoren-Account. Problem dabei ist, dass bei jedem Beitrag der Benutzername im Klartext mit ausgegeben wird. Somit ist es für Bots extrem leicht, ein Angriffsziel festzumachen, über welches man in die Installation eindringen kann.
Sinnvoller ist es, dem Autoren die Benutzerrolle Redakteur zuzuweisen und die Administration über einen geheimen Account laufen zu lassen, der keine Beiträge oder Seiten bearbeitet und somit auch nicht im Frontend sichtbar ist. Beachte hierbei außerdem, dass der Benutzername nicht einfach zu erraten ist. Verwende deshalb auf keinen fall leicht zu erratende Begriffe wie deinen Domainnamen, Admin, Administrator, deinen eigenen Namen usw. Füge dehalb am besten auch in den Benutzernamen Zahlen mit ein.
Vergebe sichere Passwörter
Wenn du kein sicheres Passwort verwendest kannst du das übrige Sicherheitskonzept gleich vergessen. Einfache Standard-Passwörter ohne Sonderzeichen und mit geringer Länge lassen sich auch mit Einsatz von Limit Login Attempts ohne großen Aufwand per Brute Force knacken. Achte deshalb besonders darauf, dass große und kleine Buchstaben, Zahlen und Sonderzeichen in deinem Passwort vorhanden sind und die Passwortlänge nicht unter 8 Zeichen liegt. Hilfreich kann in diesem Zusammenhang auch die entsprechende Anzeige in den aktuellen WordPress-Versionen sein.
Schütze dein Backend
Wenn du auf Nummer sicher gehen möchtest, empfiehlt sich außerdem die Sicherung des Backend-Verzeichnisses /wp-admin. Viele Webhoster bieten einen Verzeichnisschutz bereits in den Einstellungen des gebuchten Webspaces an. Alternativ lohnt sich auch ein Blick in das Wiki des Hosters Thomas Krenn.
Fazit
Sobald dein Blog wächst, werden auch gleichzeitig schwarze Schafe auf dich aufmerksam. Aus diesem Grund ist es wichtig, besonders den Sicherheitsaspekt nicht aus dem Auge zu lassen. Dabei ist nur ein geringer Aufwand nötig, um die oben aufgeführten Punkte in die Tat umzusetzen. Wer weitere Anregungen zu Sicherheit rund um WordPress erhalten möchte, dem empfehle ich einen Blick in die Facebook Gruppe WordPress & SEO.
Der Beitrag So sicherst du deinen WordPress Blog ab erschien zuerst auf WPTIMES.
