WordPress ist in den letzten Jahren zu einem der Content-Management-Systeme herangereift. Dies hat einen guten Grund: Es bietet sehr viele Möglichkeiten. Durch die enorme Popularität ist es ebenfalls für Hacker interessant geworden. Wenn sie einmal in das System eingedrungen sind, bietet es den Angreifern die Möglichkeit, weiteren schädlichen Code zu installieren und Deine Website zum Versenden von SPAM oder anderen Maßnahmen zu nutzen. Wie Du Dich besser vor solchen Angriffen schützen kannst, möchte ich hier vorstellen:
Welche Maßnahmen können zur besseren Absicherung von WordPress getroffen werden?
Benutze NICHT den Benutzer admin
WordPress liefert als ersten Benutzer den Namen admin. Dieser ist weltweit bekannt und wird von den Hackern als erstes benutzt. Ändere den Benutzernamen. Hier hilft die Seite http://www.sicherespasswort.com/
Benutze keine Wörterbuch Passwörter
Hacker benutzen bei Ihren Angriffen unter anderem Wörterbücher, um Passwörter zu knacken. Der Trick mit ersetzen von „e“ durch 3 oder dem „l“ durch 1 ist auch leicht zu durchschauen. Hier nutzen Hacker sogenannte Brute Force Methoden auf speziellen Rechnern, um an diese Passwörter zu kommen. Zum Generieren von sicheren Passworten nutzt Du wie bei den Nutzernamen die Seite http://www.sicherespasswort.com/
Dass Nutzername und Passwort verschieden sein sollten, ist doch wohl klar, oder?
Werde zur gespaltenen Persönlichkeit!
Trenne für Dich den Redakteur vom Admin. Wie einfach ist das: Der „Admin“ kann auch Redakteur sein, also schreibe gleich einen Artikel in Deinem Blog als „Admin“. Leider ist bei den meisten Themes der Name des Redakteurs nach Außen sichtbar („verfasst von admin“) und damit auch für die Außenwelt und Hacker erkennbar. Somit haben sie schon mal einen Angriffspunkt – der Benutzername ist bekannt. Was ist aber, wenn der Admin-Name nie nach Außen in Erscheinung tritt und Du Dir einen zweiten Zugang als Redakteur zulegst? Der Redakteur tritt nach Außen in Erscheinung, hat aber weniger Rechte und kann zum Beispiel keine Plugins installieren. Falls es also Hackern gelingt, Dein Passwort als Redakteur zu knacken, können sie ins System kommen, können aber nicht direkt alles ändern. Also trenne hier die Aufgaben von Redakteur und Admin und mache dadurch Dein System sicherer.
Installiere ein Captcha Plugin für den Login Bereich
Wenn ein Roboter Deine Site angreift, dann erstmal mit den Standard-Methoden. Was ist aber, wenn Deine Login-Seite mit einem Captcha abgesichert ist? Dann fällt es den meisten automatischen Angreifern schwerer, dies gleich zu erkennen. Also nutze die Funktion, die leicht über ein Plugin nachrüstbar ist:
http://wordpress.org/extend/plugins/si-captcha-for-wordpress/
Nach der Installation erscheint das Plugin unter Plugins „SI Captcha Options“ und kann dort entsprechend konfiguriert werden. Wichtig ist es, hier das Häkchen bei „Enable CAPTCHA on the login form“ zum Schutz des Backends setzen. Erst dann ist der Login durch ein Captcha geschützt.
WordPress updaten!
Es gibt nichts Schlimmeres als eine alte WordPress Installation. Nutze bitte die Update-Funktion und halte Dein WordPress und die Plugins auf aktuellem Stand. Durch die neuen Versionen werden Lücken bei der Sicherheit geschlossen.
HTTPS ist ein Muss
HTTPS überträgt Webseiten sicher im Netz. Und ist nicht nur auf der Datenschutzgrundordnung seit Mai 2018 Pflicht für Webseiten. Nur mit HTTPS wird das Passwort bei der Anmeldung in WordPress verschlüsselt übertragen. Viele Hoster bieten inzwischen kostenfreien SSL Zertifikate von LetsEncrypt an, danach benötigt WordPress noch eine Umstellung (Forcehttps und RealSimpleSSL) und ihre Website ist etwas sicherer.
Wordfence (oder ein anderes Sicherheits-Plugin) installieren
In Wordfence lässt sich WordPress gegen eventuelle Angriffe absichern und bietet per Klick diverse Einstellungen an. Typische Attacken können so wirksam gestoppt werden
Regelmäßig Backups machen
Backup kannst Du regelmäßig via Plugin (z.B. WPDB Backup) automatisiert machen: Bitte bewahre Datenbank und Dateien mindestens über einen Zeitraum von einem Jahr(!) auf. Warum? Hacker installieren den Schadcode und machen dann erstmal nichts, gar nichts. Erst nach einer Weile (wenn genug Rechenpower in möglichst vielen gehackten Installationen zusammenkommt) werden die Schläfer aufgeweckt und der Angriff geht los. Aus diesem Grund sind die üblichen Sicherheits-Kopien von vielen Hosting-Anbietern nutzlos, da alle Versionen bereits infiziert sind. Ein Aufspüren des schadhaften Codes ist mühselig, da meist der Hack verschlüsselt und an verschiedenen Stellen (in Dateien und der Datenbank) gespeichert werden.
Backups über einen längeren Zeitraum sind also eine gute Maßnahme!
Das waren meine Tipps und Ideen zur aktuellen Sicherheitsdebatte um WordPress. Ich wünsche allen, dass ihre Seite nicht angegriffen wird und Du die entsprechenden Maßnahmen ergriffen hast. Mehr dazu gibt es auch bei t3n.