
Mehr Sicherheit für Ihre WordPress Installation
Die heutige vorgestellte Lösung:
Erweiterungen und Plugins sowie Verbesserung allgemeiner Einstellungen für
mehr WordPress Sicherheit
geschrieben von Sascha Wenzel
Angriffe auf WordPress Installationen
Unser Mitarbeiter Christian hat in einem Facebook Post bereits auf das Problem hingewiesen. Derzeit läuft nach Aussagen einiger Major-Hoster ein groß angelegter Versuch WordPress Installationen zu hacken. Diese soll dem Ziel dienen, die gekaperten Webseiten zu übernehmen um von dort aus Malware und andere schädliche Software zu verbreiten. Die Überlegung dahinter ist simpel: Blogs, allen voran solche mit .de Endungen, gelten in der Regel als vertrauenswürdig und werden nur selten in Verbindung mit Malware oder anderen Schadprogrammen gebracht. Wer also Betreiber eines WordPress Systemes ist, und dazu zählen heute nicht mehr nur persönliche Blogs allein, und seine System sicherer gestalten will, dem sei dieser Artikel empfohlen.
Schwachstellen von WordPress erkennen
Um ein System zu sichern, muss man vorher wissen wo die Einfallstore sind die es abzusichern gilt. Auch neue WordPress Versionen sind nicht zu 100% gegen Angriffe gefeit und so gilt es herausfinden welche Schwachstellen von Hackern genutzt werden können. Wer sich nicht näher mit WordPress beschäftigt und einfach eine schnelle Webseite einrichten oder einen persönlichen Blog aufsetzen will, beschäftigt sich in der Regel nicht mit der Sicherheit. Dabei können manchmal einige kleine Kniffe genügen um es den Angreifern zu erschweren. Alle Tipps sind chronologisch vom Aufsetzen von WordPress bis hin zum Backup synchronisiert, sodass Sie einfach diesen Artikel bereitlegen können, sobald Sie WordPress installieren. Haben Sie die Installation bereits hinter sich und schon eine fertige Webseite vorliegen, steigen Sie einfach an der entsprechenden Stelle ein. Manchen Tipp können Sie aber auch im Nachhinein noch anwenden, wenn die Seite bereits installiert ist.
1. Verwenden Sie einen Major Hoster
Die Verwendung eines großen Hosters hat zum Vorteil, dass die Wahrscheinlichkeit, dass dort qualifiziertes Personal sitzt, höher ist, als bei kleinen oder möglicherweise kostenlosen Hostern. Auch ist bei vielen Paketen ist bereits ein automatisches Backup von SQL und FTP-Inhalt gegeben, sodass Sie im Ernstfall auf eine saubere Installation zurückgreifen können.
2. Installieren Sie immer die neueste WordPress Version
Bei manch einer Software mag man sich denken, lieber eine etwas ältere aber dafür praxiserprobte Softwareversion installieren und so auf der sicheren Seite sein. Nicht so bei WordPress: auch die neueste Softwareversion ist hier immer ausgiebig auf Funktionalität und Sicherheit getestet und kann ohne Bedenken installiert werden. Vergessen Sie nicht, dass WordPress zu den größten Open Source Projekten gehört.
3. Installieren Sie nicht den Standard admin User
Leider schlägt WordPress bei der Installation immer noch als Benutzernamen den „admin“ vor. Vergessen Sie diesen und geben Sie hier einen individuellen Benutzernamen ein. Je ausgefallener desto besser, lautet hier die Devise. Gleiches gilt selbstverständlich auch für das Passwort. Groß-und Kleinbuchstaben, Sonderzeichen und Zahlen – all das sollte in Ihrem Passwort vorkommen. Aber: vergessen Sie es nicht :-)
4. Die Datei wp-config.php nicht vernachlässigen
Die „salt-keys“ genannten Sicherheitskeys sind ab den neueren WordPress Versionen Standard und werden automatisch per random, also per Zufall vergeben. Rüsten Sie aber Versionen von 2.7 – 2.9 noch mit diesen Keys aus, sofern Sie nicht ihre Installation nicht updaten möchten. Entsprechende Keys bekommen Sie hier. Vergessen Sie bitte auch das von WordPress voreingestellte Prefix „wp_“ – je besser und kryptischer das Prefix, desto schwieriger machen Sie einen Einbruch in die SQL-Datenbank. Diesen Wert brauchen Sie sich auch nicht zu merken, da er nur für die WordPress Engine selbst benötigt wird. Nach der Installation von WordPress können Sie die wp-config.php sowie zusätzlich die wp-admin.php schützen indem Sie folgende Codezeilen in die .htaccess schreiben:
# to protect wp-config.php
<files wp-config.php>
order allow,deny
deny from all
</files>
# to protect install.php
<files wp-install.php>
order allow,deny
deny from all
</files>
5. Installieren Sie nur was nötig ist
Wenn Sie googeln, erhalten Sie noch zahlreiche weitere Tipps wie Sie bestimmte Dateien und Verzeichnisse absichern können. Suchbegriffe wie Verzeichnisschutz für wp-login.php oder Verschiebung der Datei wp-config.php geben hier weitere Hinweise.
Haben Sie nun die Installation erfolgreich überstanden, gibt es noch den einen oder anderen Kniff den es zu beachten gilt. Einer davon lautet: Installieren Sie nur soviel wie nötig. Speziell sind hier die Plugins gemeint, deren Aspekt oftmals nicht die WordPress Sicherheit sondern eine Funktionaliät innerhalb von WordPress sein sollte. Aus diesem Grund sind schon so manche Plugins Einfalltor für Schadsoftware gewesen, wie das Beispiel des timthump.php Scriptes zeigte.
6. Halten Sie WordPress und WordPress Plugins aktuell
Ein Punkt der nicht viel Erklärungsbedarf hat.
7. Sichern Sie Ihre Dateien und Datenbanken
Prüfen Sie, ob Ihr Hoster Backups der Datenbank und des FTP-Inhaltes anbietet. Aktivieren Sie diese Funktion falls vorhanden und deaktiviert. Meist wird bis zu 14 Tage zurück Sicherungen für SQL und FTP angelegt, die Sie dann bei Bedarf wiederherstellen können. Da dies nicht ganz trivial ist, geben wir auch gerne Hilfestellung zu WordPress Backups.
Zusätzliche Plugins
Im WordPress Plugin Verzeichnis existieren einige Plugins (z.B. limit login attemps) die verhindern, dass sich jemand mittels Brute-Force-Attacke ihrer Webseite bemächtigt. Dieses Plugin lässt nur drei Fehlversuche bei der Anmeldugn ins Backend zu.
Fazit
Seine WordPress Installation kann man innerhalb von wenigen Minuten zumindest etwas sicherer machen. Unsere Tipps sind auch von Laien realisierbar. Wenn Sie einen erweiterten, individuellen Schutz möchten, sprechen Sie uns an!
digital branding ? die WordPress Experten
Haben Sie schon Erfahrungen mit Hackern gemacht? Kennen Sie noch weitere Tipps für mehr WordPress Sicherheit? Schreiben Sie uns einen Kommentar: