Das beliebte WordPress Content Management System ist mittlerweile sehr weit verbreitet. In diesem Artikel möchten wir Ihnen ein paar Tipps zur Absicherung der WordPress Installation geben.
Durch die hohe Verbreitung von wordpress ist es leider auch ein beliebtes Angriffsziel von Hackern und es gibt leider auch immer wieder automatisierte Angriffe auf die WordPress Installationen bei denen geprüft wird, ob diese bekannte Sicherheitslücken beinhalten.
Sehr wichtig ist es deshalb, dass Sie Ihr WordPress immer auf dem aktuellsten Stand halten. Für den professionellen Einsatz ist es daher auch sinnvoll eine Agentur zu beauftragen das WordPress aktuell zu halten und einen Webhoster aussuchen, der auch eine Firewall einsetzt um das System bestmöglich gegen bekannte Angriffe schützt.
Wir haben hier die wichtigsten Punkte aufgeführt, wie Sie Ihre WordPress Installation schützen.
[tie_list type=“checklist“]- WordPress immer aktuell halten
WordPress ist nicht nur eine Software für Blogs, sondern kann durch sogenannte Plug-Ins, also Erweiterungen mit den verschiedensten Funktionen ausgestattet werden. Viele Nutzer verwenden spezielle Plugins und Designs (Themes) für individuelle Websites. Das Hauptproblem der Angriffe ist die mangelnde Aktualisierung der Installationen.
Tipp: Wählen Sie für die WordPress Installation möglichst einen Webhoster mit einer Verwaltungsoberfläche die Ihnen bei der Aktualisierung von WordPress und Plugins behilflich ist. Unsere Empfehlung ist der Einsatz von Plesk als Verwaltungssoftware.
Aktivieren Sie die automatische Aktualisierung von WordPress.
Die Software wird dann immer auf dem aktuellsten Stand gehalten. Für viele Plusins ist dieses ebenfalls möglich.
Ratsam ist es sich regelmäßig in die Administrationsoberfläche von wordpress einzuloggen und den aktuellen Stand der Software zu überprüfen. WordPress zeigt direkt an, ob Aktualisierungen zur Verfügung stehen.
Problematischer sind Themes, also fertige Designs die meist kostenpflichtige Plusins beinhalten. Diese Themes werden in der Regel nicht automatisch installiert, sondern müssen manuell aktualisiert werden. Hierzu muss man die aktuelle Version des Themes vom Hersteller herunterladen und in das Themes Verzeichnis kopieren. Nach der Aktualisierung müssen in der Regel nur ein paar Einstellungen in der Theme Administrations vorgenommen werden.
[tie_list type=“checklist“]- Verschlüsselte Verbindungen verwenden.
Die WordPress Logindaten sind sehr begehrt und können leicht in einem unsicheren Netzwerk ausgespäht werden z.B. wenn Sie sich in einem offenen WLan in einem Restaurant oder Hotel einloggen.
Sie sollten daher immer für eine Homepage ein Zertfiikat verwenden. Wählen Sie am besten einen Webhoster aus, der Ihnen ein Zertifikat einrichten kann. Dieses kostet nur ein paar Euro im Jahr für einen professionellen Schutz Ihrer Installation.
Beachten Sie bitte immer, dass Sie sowohl verschlüsselt über https:// an Ihre WordPress Installation zugreifen, als auch eMails gesichert abrufen und auch sofern notwendig per FTP nut gesichert einloggen. Sobald Sie einmal eine unverschlüsselte Verbindung verwendet haben, empfehlen wir die sofortige Änderung aller Kennwörter.
[tie_list type=“checklist“]- Sichern Sie die wp-login.php Datei ab
Es gibt zwar auch eine Möglichkeit das wp-admin Verzeichnis umzubenennen, aber dies kann zu Problemen mit der WordPress Funktionalität führen. Die einfache Möglichkeit sich gegen die meisten Bruteforce Attacken bei denen einfach die Kennworter geraten werden zu schützen ist das Einbinden eines Codes in der .htaccess Datei. Dieses kann gut mit dem Kennwortschutz kombiniert werden.
[tie_list type=“checklist“]- Sichern Sie Ihr Administrationsverzeichnis mit einem Kennwort ab.
Zusätzlich sollten Sie dieses Verzeichnis mit einem Kennwort schützen. Bei Ihrem Provider gibt es die Möglichkeit für bestimmte Verzeichnisse einen Verzeichnisschutz einzurichten. Schützen Sie Ihr Administrationsverzeichnis mit einem komplizierten Benutzernamen und Kennwort das mind. 12 Zeichen lang ist und Sonderzeichen beinhalten. Wählen Sie niemals Passwörter die nur 8 Zeichen lang sind. Diese sind mittlerweile generell als unsicher anzusehen und können meist schnell geknackt werden, da sie je nach Verschlüsselungsart schon vorberechnet wurden.
Öffnen Sie im Anschluss an den Passwortschutz die .htaccess Datei und fügen Sie folgenden Code oben ein:
ErrorDocument 401 „Gesperrt“
ErrorDocument 403 „Gesperrt“
# Erlaube Zugriff für Plugins auf die admin-ajax.php trotz Passwortschutz
<Files admin-ajax.php>
Order allow,deny
Allow from all
Satisfy any
</Files>
Damit wird gewährleistet, dass die Plugins von WordPress die Dateien trotzdem aufrufen können.
[tie_list type=“checklist“]- Verwenden Sie möglichst weit verbreitete Plugins und Themes
Plugins sind in der Regel für die Sicherheitslücken in Ihrem WordPress verantwortlich. Es handelt sich bei den Plugins und Themes um kleine Softwarepakete die von Dritten Anbietern zur Verfügung gestellt werden. Prinzipiell ist die Idee gut, aber es gibt mittlerweile sehr viele dubiose Anbieter und auch Anbieter die einfach keine Kenntnis haben und somit Software erstellen die Sicherheitslöcher beinhalten. Hiergegen gibt es für den Laien praktisch keinen Schutz. Wir empfehlen daher nur Plugins zu verwenden die schon sehr oft installiert wurden und eine gute Bewertung haben.
Verwenden Sie keine kostenlosen Themes die Sie auf irgendwelchen Webseiten herunterladen können. Kaufen Sie sich ein Theme z.B. bei Themeforest oder Templatemonster von einem sog. Elite Anbieter, also professionellen Programmierteams die einen hohen Umsatz generiert haben.
Achten Sie auch darauf von wann die letzte Installation ist. Anbieter die ihre Plugins und Themes nicht aktualisieren oder die Entwicklung schon eingestellt haben sind nicht zu empfehlen.
[tie_list type=“checklist“]- Nicht genutzte Themes und Plugins löschen
Ist Ihre Website fertig uns Sie wollen starten empfehlen wir immer nicht verwendete Plugins und Themes ganz zu löschen. Das betrifft auch die WordPress eigenen Themes die sich nicht so einfach entfernen lassen. Mögliche Angreifer verstecken gerne ihre Dateien in diesen Standardverzeichnissen, daher ist es ratsam nicht verwendete Dateien ganz zu löschen. Dieses können Sie zum einen über die Administrationsoberfläche durchführen und ggf. auch per FTP. Löschen Sie einfach die Verzeichnisse aus dem themes Verzeichnis die Sie nicht verwenden.
[tie_list type=“checklist“]Verwenden Sie eine Application Firewall
[/tie_list]Sofern möglich sollten Sie eine Application Firewall nutzen. Das ist eine Software die jede Verbindung überprüft und viele Möglichkeiten bietet potentielle Angriffe zu unterbinden.
Bei vielen Anbietern gibt es kostenlose Möglichkeiten wie fail2ban (empfehlenswert), mod_security WAF einsetzen um bekannt gewordene Angriffe oder dubiose bekannte IP Adresse zu blockieren. Bei Shared Hosting Umgebungen, also kleinen Hosting Accounts ist das in der Regel nicht möglich, weil es zu viele Besonderheiten gibt die sich nicht global einstellen lassen. Für den Professionellen Einsatz empfehlen wir auf jeden Fall einen managed V-Server zu verwenden, also eine eigene Umgebung nur für Ihre Website.
Bei einigen Premium Providern können Sie für Ihre Website auch eine externe Firewalllösung nutzen. Hier bieten sich Systeme z.B. von Barracuda, Sonicwall oder Imperva an. Diese filtern den Traffic bereits bevor er den Webserver erreicht und blocken so die meisten Angriffe ab. Eine solche Lösung ist mit 50-250 Euro im Monat aber relativ teuer und bietet sich nur für den professionellen Einsatz an.
Fazit: eine Website selbst zu erstellen ist mit WordPress denkbar einfach. Auch die automatische Aktualisierung die viele Webhoster anbieten ist hilfreich im Vergleich zu anderen Content Management Systemen. Wenn Sie immer darauf achten, dass die Erweiterungen aktuell sind (mind. einmal in der Woche), dann kann Ihnen nicht viel passieren.
Was nichts kostet taugt auch nichts. Das trifft leider auf viele Plugins und Themes zu. Bitte beachten Sie, dass viele Betrüger Themes mit Schadcode infizieren und dann als eigenes Theme kostenlos vertreiben. Sobald Sie soetwas installiert haben wird Ihre Website in kürzester Zeit zum Versand von Spam oder Angriffe auf andere missbraucht.