WordPress ist in den letzten Jahren zu einem der Content-Management-Systeme herangereift. Dies hat einen guten Grund: Es bietet sehr viele Möglichkeiten. Durch die enorme Popularität ist es ebenfalls für Hacker interessant geworden. Wenn sie einmal in das System eingedrungen sind, bietet es den Angreifern die Möglichkeit, weiteren schädlichen Code zu installieren und Ihre Website zum Versenden von SPAM oder anderen Maßnahmen zu nutzen. Gerade tobt wieder so eine Angriffswelle, sodass sogar Spiegel Online davon berichtet. Wie du dich besser vor solchen Angriffen schützen können, möchte ich dir hier vorstellen:
Welche Maßnahmen können zur besseren Absicherung von WordPress getroffen werden?
- Benutze NICHT den Benutzer admin
WordPress liefert als ersten Benutzer den Namen admin. Dieser ist weltweit bekannt und wird von den Hackern als Erstes benutzt. Ändere den Benutzernamen. Hier hilft die Seite http://www.sicherespasswort.com/
Warum nicht ein „Passwort“ als Benutzername nutzen? - Benutze keine Wörterbuch Passwörter
Hacker benutzen bei Ihren Angriffen unter anderem Wörterbücher, um Passwörter zu knacken. Der Trick mit ersetzen von „e“ durch 3 oder dem „l“ durch 1 ist auch leicht zu durchschauen. Hier nutzen Hacker sogenannte Brute Force Methoden auf speziellen Rechnern, um an diese Passwörter zu kommen. Zum Generieren von sicheren Passworten nutze wie bei den Nutzernamen http://www.sicherespasswort.com/. Das Nutzername und Passwort verschieden sein sollten, ist doch wohl klar, oder? - Werden zur gespaltenen Persönlichkeit: Trennen für dich den Redakteur vom Admin
Wie einfach ist das: Der „Admin“ kann auch Redakteur sein, also schreibst Du gleich einen Artikel in deinem Blog als „Admin“. Leider ist bei den meisten Themes der Name des Redakteurs nach Außen sichtbar („verfasst von admin“) und damit auch für die Außenwelt und Hacker sichtbar. Somit haben die schon mal einen Angriffspunkt – der Benutzername ist bekannt. Was ist aber wenn der Admin-Name nie nach Außen in Erscheinung tritt und du dir einen zweiten Zugang als Redakteur zulegst? Der Redakteur tritt nach Außen in Erscheinung, hat aber weniger Rechte und kann zum Beispiel keine Plugins installieren. Falls es also Hackern gelingt, dein Passwort als Redakteur zu knacken, können sie ins System kommen, können aber nicht direkt alles ändern. Also trenne hier die Aufgaben von Redakteur und Admin und mache dadurch dein System sicherer. - Installiere ein Captcha Plugin für den Login Bereich
Wenn ein Roboter Ihre Site angreift, dann erstmal mit den Standard-Methoden. Was ist aber, wenn Ihre Login-Seite mit einem Captcha abgesichert ist?Dann fällt es den meisten automatischen Angreifern schwer, dies gleich zu erkennen. Also nutze die Funktion, die leicht über ein Plugin nachrüstbar ist:
http://wordpress.org/extend/plugins/si-captcha-for-wordpress/
Nach der Installation erscheint das Plugin unter Plugins „SI Captcha Options“ und kann dort entsprechend konfiguriert werden. Wichtig ist es, hier das Häkchen bei „Enable CAPTCHA on the login form“ zum Schutz des Backends setzen. Erst dann ist dein Login durch ein Captcha geschützt. - WordPress updaten!
Es gibt nichts Schlimmeres als eine alte WordPress Installation. Nutze bitte die Update Funktion und halten Sie WordPress und die Plugins auf aktuellem Stand. Durch die neuen Versionen werden Lücken bei der Sicherheit geschlossen.
Mit dem Plugin: ‚Auto Updates geht dies sogar wie von selbst - https ist ein Muss
Https überträgt Webseiten sicher im Netz. Und ist nicht nur auf der Datenschutzgrundordnung seit Mai 2018 Pflicht für Webseiten. Nur mit https wird das Passwort bei der Anmeldung in WordPress verschlüsselt übertragen. Viele Hoster bieten inzwischen kostenfreien SSL Zertifikate von LetsEncrypt an, danach benötigt WordPress noch eine Umstellung (Forcehttps und RealSimpleSSL) und deine Website ist etwas sicherer.
Das waren meine Tipps und Ideen zur aktuellen Sicherheitsdebatte um WordPress. Mehr dazu gibt es auch bei t3n.