Vorsicht Falle

Mausefalle

Fallen in WordPress finden und beheben

WordPress ist als Content Management System nicht nur bei Bloggern sehr beliebt. Mit steigender Verbreitung steigt jedoch auch immer direkt proportional das Interesse von Betrügern, Script Ciddies und Kriminellen. Doch eine gewisse Vorkehr ist auch ohne Spezialwissen und großen Aufwand möglich. Die folgenden 12 Tipps sollen helfen, Kosten, Zeit und Nerven zu sparen. Sie machen aus der WordPress-Installation kein Ford Knox, tragen jedoch ihren Anteil zur Abrsicherung bei.

Keine Zeit zum Lesen? > GoTo Fazit


Tipp No. 1 – Ein sicherer Webhoster

Es ist von immenser Bedeutung, dass der Webhoster, dessen Server Sie für Ihre WordPress-Installation nutzen für eine gewisse Sicherheit garantiert. Manchmal erkauft man sich diese Sicherheit mit einem gewissen Verlust an Komfort, doch dies zahlt sich in der Mehrzahl der Fälle aus.

Sicherlich gibt es auch ein Übermaß an Abriegelung, die dazu führen kann, dass diverse Plugins nicht funktionieren. Hier muss man einen gesunden Kompromiss finden. Oftmals hilft der Erfahrungsaustausch in Foren und Facebook-Gruppen.

Ist man bereits bei einem Webhoster und möchte wechseln, ist dies meist nicht sehr schwierig, der Beitrag „Website Umzug“ beschreibt in einfach nachvollziehbaren Schritten die Vorgehensweise.

Tipp No. 2 – WordPress und Plugins aktualisieren

Es gibt keine fehlerfreie Software. Und auch WordPress ist es nicht. In WordPress entdeckte Sicherheitslücken werden zuumeist sehr schnell geschlossen, Plugins sollte man nur aus vertrauenswürdigen Quellen beziehen. Auch hier hilft der Erfahrungsaustausch in Foren und das Lesen sicherheitsrelevanter Beiträge, zum Beispiele auf heise.de und des sucuri-Blog.

Empfehlenswert ist es zumindest vor jeder WordPress-Aktualisierung und Aktualisierung großer Plugins wie WooCommerce oder BuddyPress ein Backup anzulegen, zum Beispiel mit dem Plugin BackWPup.

Bedenken sollten Sie, dass ein Update des Theme eventuell die bisherigen Änderungen überschreibt. Es empfiehlt sich das Arbeiten mit Child-Themes.

Tipp No. 3 – Regelmäßige Backups durchführen

Es gibt für WordPress eine große Menge guter Backup-Plugins. Ich benutze seit meinen ersten Schritten mit diesem CMS das bereits genannte BackWPup. Es sichert Daten und SQL-Dump zuverlässig auf diverse Medien (ich lasse in meine Dropbox sichern) und erhält gerade eine restore-Funktion. Zudem bewahre ich drei jeweilige Backups auf, die zudem einen Datumsstempel im Dateinamen tragen.

Für die Puristen unter uns, das Ziehen eines SQL-Dumps mitels phpMyAdmin und Kopieren des wordpress-Verezichnisses (zum Beispiel mit FileZilla) genügt auch. Man muss dann eben regelmäßig daran denken.

Vermieden werden sollte in jedem Fall die Speicherung der Backup-Daten an gleicher Stelle wie die Originaldateien. Also bitte nicht auf dem Webspce und schon gar nicht innerhalb von WordPress speichern. Hat man keinen Zugriff auf den Webspace mehr, hat man sonst auch keinen Zugriff auf das Backup.

Tipp No. 4 – Schwachstellensuche

Viele Sicherheits-Plugins bieten eine Suche nach bekannten Schwachstellen und auch gleich eine Lösungsmöglichkeit an. Vor allem für Blogs mit vielen Kommentaren oder der Möglichkeit des File Uploads – zum Beispiel in BuddyPress-Communities – sollte ein AntiVirus-Plugin wie zum Beispiel WordPress AntiVirus zum Installationsumfang gehören.

Eine Suche beinhaltet unter anderem das Security-Plugin iThemes Security.

Auch der regelmäßige Check mit Tools wie dem sucuri sitecheck sollte zur Routine der Websitepflege gehören.

Tipp No. 5 – WordPress Version verbergen

Jede Software-Version hat ihre eigene Schwachstelle – und die sind bekannt. Machen Sie es Angreifern nicht zu einfach, indem sie es zulassen die Version aus dem Quelltext auszulesen.

In der header.php sollte der Eintrag

<meta name="generator" content="WordPress<?php bloginfo(Version);?>" />

durch

<meta name=generator" content="Irgendeine Zahl" />

ersetzt werden. Auch Plugins erledigen dies für Sie. Sie sollten jedoch immer bedenken, dass jedes zusätzliche Plugin zuzätzlichen Code und somit auch zusätzliche Risiken bedeutet (vom Geschwindigkeitverlust durch Software Overhead mal ganz zu schweigen).

Tipp No. 6 – Keine Themes und Plugins aus dubiosen Quellen nutzen

Hier gilt das Gleiche wie beim Smartphone: was nicht aus seriösen Quellen stammt kann mit Schädlingen verseucht sein. Plugins sollten nur über das WordPress-Repository bezogen werden indem man die Plugin-Suche innerhalb der WordPress-Installation nutzt.

Themes aus kostenlosen Quellen klingt verlockend, sind es jedoch auch für Entwickler mit unlauteren Absichten. Und wenn es kein im Quellcode versteckter Affiliate-Link oder eine Backdoor ist, so merkt man meistens erst nach der Installation, dass der gewünschte Funktionsumfang dann doch wieder kostenpflichtig ist.

Auch für Themes bietet WordPress ein eigenes Repository an: https://de.wordpress.org/themes/

Tipp No. 7 – Nicht benötigte Softwarekomponenten entfernen

Direkt nach der Installation der WordPress Software beinhaltet Ihr Content Management System bereits zwei Plugins, von denen das eine nicht bzw. nur schwer mit dem deutschen Datenschutz vereinbar ist und eines, von dem sich mir schlicht und ergreifend auch nach 5 Jahren WordPress-Praxis der Sinn nicht erschließt. Keine seriöse Website benötigt über den Monitor huschende Schafe. Das ist keine Kunst – kann also weg!

Wie bereits angemerkt bringt zusätzliche Software zusätzliche Risiken und immer auch eine Erhöhung der Ladezeit mit sich (ausgenommen Cache-Plugins). Enstcheiden Sie also verantwortungsbewusst, ob und welches Plugin Sie benötigen..

Tipp No. 8 – Kommentar-Spam blocken

Dialog und Interakion ist wichtig, doch nicht mit jedem, der seine Spuren auf Ihrer Website hinterlässt möchten Sie auch koomunizieren. Teils werden Deeplinks gepostet, die ein Skript aufrufen, SQL-Injections werden probiert oder Ihr Blog quillt einfach nur mit nur schwer identifizierbaren Schriften über. Für mich gilt: was ich nicht mit vertretbaren Aufwand übersetzen kann, lösche ich.

Gegen all zu viel Spam helfen Plugins, das bereits nach Installation vorhandene Akismet ist leider nicht datenschutzkonform.

Alternativen sind zum Beispiel Anti SpamBee

Tipp No. 9 – Verwendung starker Passwörter

Das Kompromitieren von Websites durch gecrackte Passwörter kommt häufiger vor als durch das Einschleusen von Schadcode.

WordPress selbst schlägt sowohl bei der Installation als auch beim Anlegen eines Benutzers ein sicheres Passwort vor. Anhand eines Farbbalkens wird Ihnen die Stärke des Passwortes angezeigt.

Mein Tipp: Auch mir fallen nur selten brauchbare Passwörter ein, die vielfach empfohlene Methode die Anfangsbuchstaben der Wörter eines Zitates zu nutzen sagt mir nicht zu. Deshalb nutze ich häufig das Geburtsdatum mir bekannter Personen in hexadezimaler Schreibweise, beim Umrechnen hilft zum Beispiel der Binär-Dezimal-Hexadezimal Umrechner: so ergibt sich für das heutige Datum (08.07.2016) die Zeichenfolge 7B2B50. Nun noch Sonderzeichen an Anfang und Ende: #7B2B50! und wir haben ein sicheres Passwort mit 8 Zeichen. In einer Tabelle notiere ich mir lediglich den Namen der Person, dessen Geburtstag ich zur Erzeugung des Passwortes genutzt habe.

Tipp No. 10 – Beiträge nicht als Admin veröffentlichen

Bei nahezu allen verwendeten Themes erscheint der Name des Autors ober- oder unterhalb des Artikels. Wenn dort nun das – früher auch von WordPress bei der Installation vorgeschlagene ‚admin‘ prangt, hat ein potentieller Angreifer bereits 50% der benötigten Informationen.

Der Name eines Autors lässt sich ändern (ein anderer Name dem Inhalt zuweisen), ein Benutzername jedoch nicht. haben Sie nun lediglich einen Benutzer mit dem Namen ‚admin‘, so können Sie dessen Anmeldenamen nicht ändern. Legen Sie einen neuen Benutzer mit Adminstrationsrechten an, melden sich als dieser Benutzer an und löschen den ‚admin‘. Dies hat zudem den Vorteil, dass der ‚admin‘ zumeist die Benutzer-ID ‚1‘ hat, auch dieses ist eine den Script Kiddies wohl bekannte Tatsache.

Zwar kann der Autorname auch nachträglich geändert werden, Sie sollten es sich dennoch zu eigen machen mit zwei unterschiedlichen Rollen zu arbeiten.

Ein weiterer positiver Aspekt des rollenbasierten Arbeitens ist, dass Sie sich vor versehentlich vorgenommenen Konfigurationsänderungen schützen. Als Autor besitzen Sie weit weniger Möglichkeiten zum „kaputt machen“.

Tipp No. 11 – Kein Administrator namens ‚admin‘

Dazu wurde in Tipp 10 bereits nahezu alles gesagt. Sollten Sie dennoch nicht auf den ‚admin‘ verzichten wollen, so vergeben Sie zumindest in den Benutzereinstellungen Vor- und Zunamen, dann kann beim Schreiben eines Artikels dieser Name als Autor zur Anzeige ausgewählt werden. Wird diese Auswahlmöglichkeit nicht angezeigt, so schallten Sie diese in der WordPress-Oberfläche rechts oben im Bereich „Anzeige anpasssen“ ein-

Tipp No. 12 – Limitieren möglicher Anmeldeversuche

Sie kennen das Prinzip vom Geldautomaten: nach einer definierten Anzahl von Anmeldeversuchen wird der Zugang gesperrt. Leider besteht bei WordPress diese Möglichkeit nicht von haus aus, es ist sinnvoll sie nachzurüsten.

Diese Funktion ist Bestandteil unter anderem des bereits erwähnten iThemes Secure Plugins, ein einfach zu konfigurierenden Plugin einzig und allein zu diesem Zweck ist Limit Login Attempts.

Bonus-Tipp:

Überdenken Sie ihre eigene Einstellung zur Sicherheit. Sein Sie vorsichtig jedoch nicht paranoid. Es gilt einen gesunden Kompromiss zwischen Sicherheit und Benutzbarkeit zu finden. Dieser Kompromiss ist von vielerlei Faktoren abhängig. Um nur einige Beispiele zu nennen: Thematik des Blog – PPP-Themen sind wesentlich häufiger Angriffsziel als eine Info-Seite zu Ayuveda-Produkten ohne eigenen Shop. Diese Bedrohungslage müssen Sie einschätzen.

Zu überdenken ist auch der allgemeine Umgang mit Kundendaten, Mails, Anhängen, Weitergabe von Logindaten etc.

Machen Sie sich ruhig die Mühe – ist das Kind erst in den Brunnen gefallen, ist es meist zu spät-

Fazit / Zusammenfassung:

  1. Sicherer Webhoster – sichere Installationsumgebung
  2. WordPress und Plugins auf aktuellem Stand halten
  3. Regelmäßig Backups durchführen
  4. Schwachstellensuche
  5. WordPress Version verbergen
  6. Keine Themes und Plugins aus dubiosen Quellen
  7. Nicht benötigte Software-Komponenten entfernen
  8. Kommentar Spam blocken
  9. Verwendung starker Passwörter
  10. Beiträge nicht als ‚admin‘ veröffentlichen
  11. Kein Admisnitrator namens ‚admin‘
  12. Limitieren möglicher Anmeldeversuche
  13. Bonus: Überdenken der eigenen Einstellung zur Sicherheit

Bildquelle: Pixabay

Merken

Merken

Merken

Merken

Merken

Merken

Merken

Merken

Merken

Merken

Merken

Merken

Merken

Merken

Merken

Merken

Merken

Merken

Merken

Merken

0 Kommentare

Dein Kommentar

Want to join the discussion?
Feel free to contribute!

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.