Die wichtigsten Sicherheits-Regeln für Ihre WordPress-Website
Zuletzt aktualisiert am 11. August 2019 um 07:17 Uhr
WordPress ist ein großartiges System zur Erstellung von Websites. Vor einer Weile habe ich eine Statistik gesehen, dass zwischenzeitlich mehr als 70 Millionen Websites weltweit auf WordPress basieren – Tendenz steigend. Leider finde ich den Link zu dieser Statistik nicht mehr, sonst würde ich sie hier gern verlinken.
Diese große Popularität hat jedoch einen großen Haken: Da das System so weit verbreitet ist, ist es auch ein beliebtes Ziel für Angriffe. Zwar bemühen sich die Entwickler redlich, alle bekannt werdenden Sicherheitslücken zügig zu schließen und machen dabei auch einen ausgesprochen guten Job.
Aber WordPress-Anwender lassen häufig – oft unfreiwillig – einige Türen für Angreifer weit offen stehen.
Die wichtigsten Regeln, um diese Türen zu schließen und Ihre WordPress-Website oder Ihren Blog vor Angriffen besser schützen können möchte ich in diesem Artikel kurz erläutern:
Inhaltsverzeichnis
Benutzername des Administrators sollte nicht „Admin“ sein
In früheren WordPress-Versionen war „Admin“ der Standard-Benutzername für den ersten Administrator einer WordPress-Seite. In den aktuellen Versionen kann der Name zwar frei gewählt werden, aber die Verlockung, „Admin“ zu wählen ist doch recht groß.
Das wissen auch potenzielle Angreifer, die daher gern versuchen, sich mit diesem Benutzernamen in das Backend der WordPress-Installation einzuwählen. Oft werden dann ganze Salven von zufälligen Buchstabenkombinationen auf die LogIn-Seite geschickt und/oder ganze Wörterbücher durchgeprüft. Wenn der Benutzername passt ist die Chance so relativ groß, dass das richtige LogIn erraten wird und so die WordPress-Installation für den Angreifer „offen“ ist.
Wenn Sie einen Blog haben und bereits den Nutzer „Admin“ eingerichtet haben, können Sie das jedoch relativ einfach ändern:
- Erstellen Sie einen neuen Benutzer mit Administrator-Rechten
- Loggen Sie sich aus Ihrem WordPress-Backend aus und mit den Zugangsdaten des neuen Administrators wieder ein
- Löschen Sie den Benutzer „Admin“
Hinweis: Die bisherigen von diesem Nutzer verfassten Artikel werden nicht einfach gelöscht sondern können auf einen anderen Nutzer übertragen werden. Bitte beachten Sie dafür den nächsten Punkt.
Der Benutzer, unter dem Sie bloggen sollte nicht identisch sein mit Ihrem Administrator
Der Grund dafür ist derselbe wie für den Benutzer-Namen „Admin“: Der Name, unter dem gebloggt wird, wird in der Regel auch im Blog öffentlich angezeigt. Angreifer müssen auch hier nur noch das passende Passwort erraten, um Zugriff auf das WordPress-Backend zu erhalten.
Sie sollten daher einen Benutzer anlegen, der lediglich Redaktionsrechte hat (d.h. verfassen und freigeben von Artikeln und Seiten) und diesen Benutzer verwenden, um Artikel für den Blog zu schreiben und zu veröffentlichen.
Wenn Sie aktuell nur einen Benutzer „Admin“ nutzen, dann legen Sie bitte den Redaktions-Benutzer ebenfalls an, bevor Sie den Benutzer „Admin“ löschen. Dann können Sie alle bestehenden Blogartikel direkt auf den neuen Redaktions-User verschieben.
Ein sicheres Passwort verwenden
Aus den beiden vorgenannten Punkten ergibt es sich, dass selbstverständlich auch das Passwort für WordPress ein sicheres Passwort sein sollte. Beliebte Kombinationen wie 1234, passwort oder ähnliches sind schnell geknackt.
Ein sicheres Passwort
- Hat mindestens 8 Zechen
- Enthält Groß- und Kleinbuchstaben
- Beinhaltet mindestens eine Zahl
- und im Idealfall auch mindestens ein Sonderzeichen (&, @ oder ähnliches)
Solche Passwörter müssen gar nicht schwer zu merken sein, wenn Sie folgenden „Trick“ verwenden: Wählen Sie einen Satz, den Sie sich gut merken können, z.B. „Meine Großmutter lebt in der Tuntukullerstraße 7 in Altstadt“ und nehmen Sie davon jeweils die Anfangsbuchstaben. Daraus wird dann das sichere und ganz leicht zu merkende Passwort: „MGlidT7iA“.
WordPress, PlugIns und Themes immer auf dem aktuellsten Stand halten
Die größte Sicherheitslücke in WordPress sind veraltete WordPress-Versionen. Die Entwickler von WordPress veröffentlichen bei jedem Sicherheitsupdate welche Lücken geschlossen wurden. Wenn Sie also eine veraltete Version verwenden, dann wissen potenzielle Angreifer ganz genau, wo die Schwachstellen sind.
Daher ist es absolut wichtig, dass Sie alle Sicherheitsupdates immer möglichst zeitnah durchführen.
Bei Versions-Updates (z.B. von Version 3.4 auf 3.5) dürfen Sie sich ein paar Tage Zeit lassen, um ggfs. mögliche „Kinderkrankheiten“ der neuen Version zu überspringen, aber innerhalb von etwa zwei bis drei Wochen sollten Sie dann auch updaten.
Bitte erstellen Sie in jedem Fall vor dem Update ein komplettes BackUp Ihrer WordPress-Installation (Dateien und Datenbank), denn in seltenen Fällen kann es vorkommen, dass beim Update etwas schief geht. Mit einem aktuellen Backup hat man die Website dann aber schnell wieder repariert.
Ich verwende für BackUps immer das PlugIn „BackUpWordPress“.
Nicht nur WordPress selbst, sondern auch alle PlugIns und Themes sollten immer auf dem aktuellsten Stand gehalten werden. Auch hier gilt: Bitte erstellen Sie vor dem Update immer eine Sicherungskopie.
Wenn Sie das verwendete Theme aktualisieren und dieses individuell angepasst haben, sollten Sie unbedingt die style.css dieses Themes sichern, sonst sind alle manuellen Anpassungen nach dem Update verschwunden. Noch besser ist es natürlich, immer ein Child-Theme anzulegen, wenn ein Theme individuell angepasst werden soll.
Datenbankpräfix _wp bei der Installation abändern
Hintergrund für diesen Hinweis ist, dass der Präfix „_wp“ standardmäßig von WordPress vorgegeben wird. Und alles, was Standard ist, kann leicht erraten werden.
Für Ihr individuelles Präfix können Sie jede beliebige Buchstabenkombination verwenden.
Der tatsächliche Nutzen dieser Maßnahme istzweifelhaft und wird von einigen Experten als unsinnig bezeichnet wird. Ich bin jedoch der Meinung, dass es auch nicht schadet, das Präfix individuell zu vergeben – Sicher ist sicher ☺.
Die oben erwähnten Punkte sind die grundlegendsten Regeln für die Sicherheit Ihrer WordPress-Website.
Darüber hinaus empfehle ich noch einige PlugIns, die die Sicherheit von WordPress noch einmal zusätzlich erhöhen:
Block Bad Queries (BBQ)
Dieses PlugIn verhindert Angriffe über die URL. Es wird einfach installiert und aktiviert. Manuelle Einstellungen sind nicht erforderlich.
Bulletproof Security
Bulletproof Security legt kurz gesagt eine Firewall um die .htaccess-Datei Ihrer WordPress-Installation. Nach der Installation wird mit Hilfe des PlugIns eine sichere .htaccess-Datei angelegt.
Ich gebe zu, die Einrichtung ist auf den ersten Blick sehr verwirrend und einschüchternd, dafür erhält man einen relativ umfassenden Schutz, sobald das PlugIn korrekt installiert und aktiviert ist. Ich plane, für die Einrichtung von Bulletproof Security demnächst ein Videotutorial zu erstellen. Wenn es fertig ist, werde ich dieses hier im Blog zur Verfügung stellen.
Limit Login Attempts
WordPress selbst kennt keine Beschränkung der LogIn-Versuche, dadurch können Angreifer beliebig viele Benutzernamen / Passwort-Kombinationen ausprobieren, um Zugriff auf das WordPress-Backend zu erhalten.
Limit Login Attemps begrenzt die Anzahl der möglichen Login-Versuche und sperrt den Nutzer dann für einen festen Zeitraum, bevor ein neuer Einwahlversuch möglich ist. Das erhöht die Sicherheit der Website erheblich.
Antivirus
Dieses PlugIn prüft den Quellcode der verwendeten Template-Dateien auf möglichen Schadcode und sendet eine E-Mail, wenn es Auffälligkeiten gibt. So bekommt man sehr schnell mit, wenn die Theme-Dateien manipuliert wurden.
Wichtig dabei zu wissen: Nicht jede identifizierte Auffälligkeit ist auch wirklich ein Virus. Manchmal verwenden die Programmierer eines Themes Codezeilen, auf die Antivirus „anschlägt“, die aber harmlos sind. In diesen Fällen empfiehlt sich im Zweifel eine Rückfrage beim Entwickler des jeweiligen Themes.
Timthumb Vulnerabiltiy Checker
Ein großes Einfallsloch für Hacker ist ein PHP-Script namens timthumb.php.
Um zu testen, ob eines der von Ihnen verwendeten Templates oder PlugIns timthumb.php in einer unsicheren Version verwendet, können Sie das PlugIn „Timthumb Vulnerability Checker“ verwenden.
Fazit
Wenn Sie diese Sicherheitsmaßnahmen für Ihre WordPress-Installation umsetzen, haben Sie einen sehr großen Schritt in Richtung einer sicheren Website bzw. eines sicheren Blogs getan.
Welche Erfahrungen haben Sie bisher gemacht? Welche Sicherheitsmaßnahmen verwenden Sie für Ihre WordPress-Seite? Ich freue mich auf Ihre Kommentare!
Wenn Sie Fragen zum Thema haben, stellen Sie diese gern in den Kommentaren. Ich helfe gern weiter.
Bildquellen
© maxkabakov – Fotolia.com
© pn_photo – Fotolia.com