Ein Gastbeitrag von WordPress-Experte Andreas Hecht
Die große Beliebtheit von WordPress ist Fluch und Segen zugleich. Auf der einen Seite sorgt sie für eine riesige Auswahl an Themes und Plugins. Auf der anderen Seite stehen die Sicherheitsmängel des CMS und die daraus resultierende Summe an Websites, die gehackt werden können.
Der Sicherheitsdienstleister Wordfence zählte allein im Mai 2017 die unglaubliche Anzahl von einer Milliarde Brute-Force-Attacken auf WordPress-Websites. Dabei geht es darum, die Zugangsdaten zum Adminbereich herauszufinden, indem immer neue Kombinationen von Benutzername und Passwort ausprobiert werden. Die Angriffe laufen dabei vollautomatisch ab.
Als User bekommst du diese Angriffe im Allgemeinen nicht mit. Doch du kannst sie in deinen Server-Logs deutlich sehen. Vielleicht wunderst du dich auch, dass deine Website plötzlich so langsam geworden ist. Das passiert bei wirklich heftigen Angriffen.
#WordPress Sicherheit: Sicherheitslücken erkennen und beheben! @AndreasHecht_HH Klick um zu TweetenDu solltest dein WordPress absichern
Dein Auto schließt du doch auch ab, warum nicht deine Website? Wenn du einen Shop betreibst oder eine Mehr-Autoren-Website besitzt, dann bist du sogar verpflichtet, die sensiblen Daten deiner Benutzer oder Kunden zu schützen. Davon abgesehen wäre es doch schade, womöglich die Arbeit von einigen Jahren zu verlieren. Investiere daher etwas Zeit in die Absicherung deines WordPress.
WordPress-Sicherheit: die Sicherheitslücken
Um WordPress effektiv absichern zu können, musst du zuerst verstehen, über welche Bereiche deine Website gehackt werden kann. Vier Bereiche sind hier besonders gefährdet:
1 – Der WordPress Core
WordPress gilt grundsätzlich als sicher, wenn es immer zeitnah aktualisiert wird. Alte Versionen des CMS jedoch können sehr einfach gehackt werden, weil mit jeder neuen Version von WordPress auch die Sicherheitslücken der vorigen Version bekannt gegeben werden.
2 – Die Plugins
WordPress-Plugins sind immer ein Sicherheitsrisiko. Das liegt daran, dass jedermann ohne große Kontrolle der Code-Qualität ein Plugin schreiben und in das offizielle Plugin-Verzeichnis hochladen kann. Du kannst also entweder ein sehr gut programmiertes Plugin bekommen oder aber ein miserabel programmiertes. Gute Programmierer schließen bereits mit ihrem Code potenzielle Sicherheitslücken.
Davon abgesehen sind veraltete Plugins ein großes Problem, weil sich auch in ihnen mit der Zeit Sicherheitslücken finden werden. Nutze daher nur Plugins, die ständig gepflegt und weiterentwickelt werden.
Was macht das Plugin Blog2Social so sicher?
- ein hoher Anspruch an die Qualität des verwendeten Codes
- ständige Updates für eine optimale Sicherheit
- persönliche Daten für soziale Netzwerke werden nicht gespeichert
- Support für alle Fragen und Anliegen
3 – WordPress-Themes
Auch Themes können Sicherheitslücken aufweisen. Zum Beispiel können sie für manche Funktionen auf Drittanbieter-Funktionalitäten zurückgreifen, die dann irgendwann Sicherheitslücken aufweisen. Man denke da an das Timthumb-Script für das Zuschneiden von Bildern.
4 – Zu einfache Passwörter
Viele User verwenden viel zu einfache Passwörter und spielen den Hackern dadurch in die Hände. Dein Benutzername kann von jedem halbwegs intelligenten Menschen innerhalb einer halben Minute herausgefunden werden. Nur dein Passwort sorgt daher für den Erfolg oder Misserfolg eines Hacks. Nutze daher ein wirklich starkes Passwort für deinen Adminzugang.
WordPress-Sicherheit: Das kannst du tun
1 – Sorge für ein Backup
Ein jederzeit aktuelles Backup ist das Wichtigste überhaupt! Ist das nicht gegeben, brauchst du nicht weiterzulesen. Es reicht übrigens keinesfalls, einfach ein kostenloses Backup-Plugin zu installieren und dann zu denken, dass du ja ein Backup gemacht hast.
Wo wird das Backup gespeichert? Und vor allem: kannst du es selbst wieder einspielen, hast du die Fachkenntnisse dafür? Wenn nicht, hast du im Fall eines Falles ein ernstes Problem.
Ich nutze bereits seit etlichen Jahren den Dienstleister VaultPress für meine Website-Backups. Es werden tägliche Backups erstellt, die nicht auf dem eigenen Server gespeichert werden. Die Backups lassen sich mit nur zwei Klicks wiederherstellen. Auch einzelne Dateien kann man wieder einspielen. Ich kann dir diesen Backup-Dienst uneingeschränkt empfehlen.
VaultPress kostet monatlich 3,50 USD. Jeder einzelne Cent lohnt sich.
2 – Nutze ein sicheres und starkes Passwort
Ein schwaches Passwort ist die größtmögliche Sicherheitslücke. Schließe sie. Besser heute als morgen. Ein sicheres Passwort ist die wirksamste Methode gegen das Hacking. Da kann Dein Benutzername auch »Admin« heißen. Wenn Dein Passwort sicher ist, stehst Du jede Brute-Force-Attacke locker durch. Doch was ist wirklich sicher?
Passwort123? Schütze deinen #Blog mit einem sicheren Passwort. Tipps von @AndreasHecht_HH Klick um zu TweetenEin sicheres Passwort ist mindestens 15-stellig und sollte aus Buchstaben, Groß- und Kleinschreibung, Zahlen und Sonderzeichen bestehen. Es gibt gute Generatoren dafür im Netz, doch du kannst auch die WordPress-Funktion (Benutzer => Dein Profil) nutzen.
Dieses neue Passwort ist wirklich sicher und nur unter größtem Aufwand zu knacken.
3 – Nutze eine 2-Faktor Authentifizierung für den Adminzugang
Der Administratorbereich ist das Herz und die Lunge deines WordPress. Wer hier Zugang hat, kann alles Denkbare mit deiner Website anstellen. Zum Beispiel kann ein Hacker Schadsoftware über deine Website verbreiten, sie komplett löschen oder verunstalten. Daher ist es besonders wichtig, diesen sensiblen Bereich besonders zu schützen.
Am wirkungsvollsten ist eine sogenannte 2-Faktor Authentifizierung. Gleich zwei Faktoren sorgen dafür, dass nur berechtigte User Zugriff auf dein Dashboard bekommen können.
Ich habe allerbeste Erfahrungen mit dem SecSign ID Plugin gemacht.
SecSign bietet eine 2048-Bit Verschlüsselung und nutzt für den Zugang entweder ein Smartphone oder eine Apple Watch.
Das Prinzip ist einfach: Auf deiner Website gibst du deinen zuvor generierten Benutzernamen ein und es erscheint ein Bild. Danach rufst du die App auf deinem Smartphone auf, gibst deine vierstellige ID ein und klickst danach auf das Bild, dass auf der Website angezeigt wird. Dadurch wird der Adminbereich freigegeben und du wirst eingeloggt.
Das Video macht das Prinzip deutlich:
Da die meisten Menschen heute stets ihr Handy in der Nähe haben, ist diese Art des sicheren Zugangs ideal.
Hier kannst du mehr über SecSign ID erfahren.
4 – Nutze eine sicherheitsoptimierte .htaccess Datei
Die Serversteuerungsdatei .htaccess ist ein wichtiges Werkzeug gegen das Hacken einer WordPress-Website. Eine gut durchdachte Datei verbietet den Zugriff auf wichtige WordPress-Dateien und Ordner, schaltet bekannte Sicherheitslücken ab und schützt die Website durch eine „Firewall“ gegen das Einschleusen von Schadcode.
Ein weiterer Pluspunkt einer wirklich guten .htaccess ist ein wirksames Browser-Caching, durch das deine Website noch richtig schnell wird. Ich nutze seit Jahren eine von mir stets weiterentwickelte Datei, die auch in allen meinen Kundenprojekten zum Einsatz kommt. Dir empfehle ich ebenfalls diese .htaccess zu nutzen.
Der obere Bereich der Datei beschäftigt sich mit dem optimalen Browser-Caching aller Ressourcen einer WordPress-Website. Der mittlere Bereich ist der hervorragenden 6G-Firewall von WordPress-Altmeister Jeff Starr vorbehalten. Die Firewall wehrt das Einschleusen von Code über URLS und Formulare ab.
Der untere Bereich sperrt wichtige Dateien und Ordner von WordPress gegen den Zugriff von außen ab. Darunter befindet sich noch der Standard-Code von WordPress. Solltest du eine spezielle Konfiguration oder gar eine Multisite einsetzen, so muss der unterste Teil durch deinen bisherigen Code ersetzt werden. Er ist gekennzeichnet durch #BEGINN WordPress.
Wichtig:
Bevor du an deiner .htaccess Datei Änderungen vornimmst, solltest du ein Backup dieser Datei erstellen.
5 – Mache Updates. Sofort und immer
Viele Sicherheitslücken lassen sich durch sehr zeitnahe Updates von WordPress, den Plugins und den Themes schließen. Sobald du eine Benachrichtigung im Adminbereich bekommst, solltest du die Updates sofort ausführen. Halte die Software stets auf dem neuesten Stand. Je länger du mit den Updates wartest, desto unsicherer wird dein WordPress und desto eher kann es gehackt werden.
Du bist dir nicht sicher, ob deine Plugins oder dein Theme mit der neuesten Version von WordPress kompatibel ist? Kein Problem, du kannst es gefahrlos testen. Erstelle dir für solche Zwecke eine sogenannte Staging-Seite. Das ist eine eins zu eins Kopie deiner Website. Mit dem Plugin „WP Staging“ ist das mit nur wenigen Klicks erledigt.
Auf dieser Kopie deiner Website kannst du nun die Updates von WordPress, den Plugins und den Themes testen. So kannst du im Anschluss vollkommen sicher sein, das alles miteinander kompatibel ist.
#Updates nicht vergessen! Optimale Sicherheit durch aktuelle #Plugins! @AndreasHecht_HH Klick um zu TweetenFazit
Mit wenig Aufwand und Arbeit kannst du sicher sein, dass deine Website nur noch von absoluten Spezialisten gehackt werden kann. Doch keine Angst, diese Spezialisten werden an deiner Website kein Interesse haben. Allen anderen Hackern signalisierst du sehr deutlich: Du kommst hier nicht rein! Weitere spannende Informationen zum Thema WordPress Sicherheit findet ihr im Tutorial von checkdomain.
Mehr Beiträge zum Thema Sicherheit:
- Blog2Social Sicherheit: Persönliche Daten werden nicht gespeichert
- 5 Tipps zur Auswahl eines sicheren WordPress Themes
- Das große WordPress Tutorial von checkdomain
ist WordPress-Entwickler und bietet dir WordPress-Sicherheit für deine Website. Zudem entwickelt er WooCommerce Shops mit Ladezeiten von unter einer Sekunde. Auf seinem Blog veröffentlicht er unter anderem nützliche WordPress-Snippets.
Danke für den super Beitrag, Andreas Hecht! Ich arbeite schon seit vielen Jahren mit WordPress für Kundenprojekte im Blog-Marketing. Die Sicherheitsprobleme in der Praxis muss ich leider bestätigen. Danke für die Checkliste zur Sicherheitsprüfung! Vielleicht ist mein Whitepaper dazu interessant: Corporate Blogs für Unternehmen http://blog.hilker-consulting.de/whitepaper-corporate-blog-fuer-unternehmen
Hi Claudia, vielen Dank für Deinen Kommentar! Das Whitepaper schaue ich mir mal an.
Vielen Dank, Herr Hecht, für den interessanten Beitrag!
Ich bin bereits seit Jahren ein WP-Benutzer und nutze die Passwörter, die mir vom System, bzw. vom Safari und Co. vorgeschlagen werden. Damit bin ich mit meiner Seite https://schloss-expert.de bislang gut gefahren und hatte noch nie Probleme gehabt!
Hallo,
danke für den Kommentar! Die Passwörter, die von WordPress vorgeschlagen werden, sind mittlerweile richtig gut und dürfen durchaus als sehr sicher betrachtet werden. Ich selbst nutze sie ebenfalls. Da mir Safari auf meinem MacBook zu langsam ist, habe ich keinerlei Erfahrung mit den vorgeschlagenen PWs..