WordPress? Mit Sicherheit!

Weiterlesen

Das WordPress CMS legt in seiner Verbreitung mächtig zu. Bei mittlerweile mehr als 48% aller Websites auf der Welt verwenden WordPress als CMS. Wir fühlen uns bestätigt, bei unserer CMS Evaluation auf das richtige Pferd gesetzt zu haben. Nun, einerseits freut es uns, dass WordPress immer beliebter wird, andererseits ruft dies natürlich auch eine Menge böswilliger Hacker auf den Plan. Das ist aber alles andere als ein Grund zur Panik. Mit einer handvoll Massnahmen und Disziplin kann man bereits einen hohen Grad an Sicherheit erreichen. In diesem Beitrag möchten wir Ihnen die wichtigsten Massnahmen aufzeigen, wie Sie Ihre WordPress-Installation effektiv absichern können. 

 Gelegenheit macht Diebe

Kein Tag vergeht, an dem keine neue Sicherheitslücke in Software aufgedeckt wird. Sogenannte Skriptkiddies haben es sich zur Aufgabe gemacht, mittels breitflächig angelegten Scans automatisch das Internet nach Websites abzutasten, um diese per automatischen Checks auf Sicherheitslücken, schwachen Passwörtern oder Konfigurationsfehler hin zu überprüfen. Ist der Zugriff auf ein CMS erstmal erfolgt, kann sehr viel Schaden entstehen. Man bedenke den eigenen Imageschaden, wenn die Website plötzlich nicht mehr erreichbar ist oder gar ungewollte oder unseriöse Inhalte auftauchen. Der Server kann aber auch mit schädlicher Software infiziert werden und für Angriffe auf weitere Server missbraucht werden. Sehr fatal ist es, wenn z.B. Kundendaten (z.B. Datenbanken, Bestellungen, usw.) oder vertrauliche Informationen dem Angreifer in die Hände fallen. 

Das gute alte Passwort

Sicher die erste wichtige Massnahme seine Website zu schützen ist die Verwendung eines starken Passwortes. Sowohl für Ihren WordPress-Zugang aber auch für alle  Zugangsdaten zum  Server. Uns ist bewusst, dass es so manch einem schwer fällt, die Übersicht über all seine langen und komplexen Passwörter zu wahren. Wir wissen, die Anzahl unserer Logins für immer mehr Portale, Applikationen, Social Media Anwendungen etc. nimmt stetig zu. Doch gerade deshalb ist es so wichtig, dass wir unsere digitale Identität ausreichend schützen. Auf dieser Website finden Sie weitere Informationen, woraus ein starkes Passwort besteht und wie Sie es sich besser merken können. Wir empfehlen nebenbei auch die Verwendung eines Passwort-Safe Tools, in welchem man all seine Passwörter in verschlüsselter Form verwalten kann. (z.B. KeePass Password Safe)

Login-Bereich unter Beschuss

Am exponiertesten ist sicherlich der Login-Bereich von WordPress. Das „Tor zum Backend“ steht oft regelrecht unter Beschuss von feindlich gesinnten Roboter-Passwortattacken. Doch vor diesem Beschuss kann man sich schützen. Einfache und sehr effektive Methode ist, das Login-Verzeichnis (meist /wp-admin) mit einem Verzeichnisschutz (.htaccess) zu versehen. In der Regel kann dies bequem im Adminbereich Ihres Providers erledigt werden. Der zweite Schutz bietet die Verwendung eines Plugins, dass die Anzahl Login-Versuche stark begrenzt. Wenn man es dem Angreifer noch schwieriger machen möchte, kann man die Standard-Login Adresse (/wp-admin) in eine andere Adresse abändern (z.B. mittels Custom-Login Plugin). 

Keine Macht dem Admin

Was in früheren WordPress-Versionen leider nicht möglich war, sollte jetzt unbedingt gemacht werden: Löschen Sie den Benutzer mit dem Namen Admin. Weisen Sie stattdessen einem anderen Benutzer die Administrator-Berechtigungen zu. Auf diese Weise schlagen böswillige Loginversuche mit dem Standard Admin-Benutzer nämlich sofort ins Leere.

Vorsicht bei Themes und Plugins

Benutzen Sie nur Plugins und Themes, die Sie wirklich benötigen. Hier gilt der Grundsatz „weniger ist mehr“. Fragen Sie sich, ob Sie wirklich alle Plugins schlussendlich brauchen, die Sie aktiviert haben. Prüfen Sie ungedingt die Quelle, von denen Plugins und Themes stammen. Wer ist der Autor? welche Firma steckt dahinter? Welche User-Bewertungen sind vorhanden und wie oft wird es aktualisiert? Kostenlose Plugins sind zum Teil schlecht programmiert und bergen Gefahren für Sicherheitslücken. Überprüfen Sie diese deshalb noch genauer auf die vorher genannten Kriterien. 

Updates

Aktualisieren Sie regelmässig Ihre WordPress-Version aber auch ihre Theme und ihre Plugins. Sicherheitslücken werden geschlossen und Fehler behoben. Machen Sie keine grösseren Updates, ohne dass Sie ein Backup ihrer WordPress-Installation gemacht haben (Datenbank-Backup nicht vergessen!).  Mittels des Plugins WP Updates Notifier können Sie sich über zur Verfügung stehenden Updates Ihrer WordPress-Installation (WordPress-Core, Themes, Plugins) per E-Mail informieren lassen. 

Security Plugins

Es gibt unzählig verschiedene Sicherheitsplugins, die man installieren kann. Doch, welches macht Sinn und welches nicht? Und woher nehme ich die Zeit, diese alle zu prüfen und zu installieren? Keine Angst, das müssen Sie nicht unbedingt. Mit den bereits beschriebenen Massnahmen haben Sie schon sehr viel für Ihre Sicherheit unternommen. Wenn man gerne doch noch mehr Sicherheit haben möchte, empfehlen wir das Plugin  iThemes Security. Dieses bietet über 30 Sicherheits-Verbesserungsmassnahmen an und neben unserer guten Erfahrung mit dem Plugin bewerten auch 3000 andere User dieses Plugin mit 5 von 5 Sternen. 

Fazit

Wenn Sie Ihr WordPress inkl. den Themes und Plugins aktuell halten, deren Bewertungen und Quellen berücksichtigen, den Admin-User nicht verwenden und den Loginbereich absichern, haben Sie schon das Wichtigste gemacht.  Fragen Sie sich auch, welche Folgen ein erfolgreicher Angriff auf Ihr CMS haben würde und wie wichtig Ihnen Ihre Website ist. 

„Der Samurai, Beschützer und Begleiter ..“

In seiner ursprünglichen Form steht der japanische Begriff Samurai für Diener, Beschützer und Begleiter. Getreu diesen Eigenschaften stehen wir Ihnen zur Seite, um die  Sicherheit Ihrer Website zu gewährleisten. Gerne prüfen wir Ihr WordPress bezüglich Sicherheit und empfehlen geeignete Verbesserungsassnahmen. Kontaktieren Sie uns ungeniert. Wenn Sie Fragen haben, wir stehen Ihnen zur Verfügung. 

Antworten

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.