WordPress: Einfach sicher bloggen

WordPress: Einfach sicher bloggen

Als beliebtestes Content Management System ist WordPress immer wieder das Ziel von Angriffen. Mit den folgenden vier Schritten machst Du Dein Blog sicherer.

1. Geheimer Benutzername

Für einen Administrator sind Standardbezeichnungen wie „admin“ oder der öffentlich sichtbare Autorenname keine gute Idee. Um es Angreifern schwerer zu machen, gibst Du Dir am besten einen geheimen Namen in Kombination mit einem sicheren Passwort. Bei den STRATO Hosting Paketen WP Starter und WP Plus kannst Du das gleich bei der Einrichtung erledigen. Wenn Du WordPress bereits installiert und einen unsicheren Admin-Benutzernamen verwendest: einfach ein neues Admin-Konto anlegen, ausloggen, mit diesem neuen Account wieder einloggen und den alten Administrator löschen.

2. So wenige Plugins wie möglich

Selbst gepflegte Plugins von erfahrenen Entwicklern sind potenzielle Sicherheitslücken. „So viel wie nötig, so wenig wie möglich“, empfiehlt deshalb WordPress-Entwickler Sergej Müller. Plugins verlangsamen ohnehin das System und erhöhen die Abhängigkeit von deren Weiterentwicklung. Wer sich auf wenige Plugins beschränkt und diese zeitnah aktualisiert, reduziert das Risiko deutlich.

3. Offizielles WordPress-Verzeichnis nutzen

Die beste Quelle für kostenlose Plugins und Themes ist das offizielle WordPress Verzeichnis. Durch die große Community werden Sicherheitslücken schneller bekannt und behoben. Achte bei der Auswahl auf das Datum der letzten Aktualisierung, die Anzahl der Downloads, Bewertungen und das Feedback in den Foren.

4. Login-Bereich schützen

Bei Brute-Force-Attacken wird versucht, durch automatisiertes Ausprobieren an Zugangsdaten zu kommen. Das Plugin WP Limit Login Attemps beschränkt die möglichen Anmeldeversuche und blockt zwischenzeitig die IPs potenzieller Angreifer. Hilfreich ist auch die Captcha-Abfrage – für Menschen zwar umständlich, für Bots aber ein Problem.
Was tun im Notfall?

5. Vorsorge ist besser

Um dennoch für den Notfall gerüstet zu sein, solltest Du regelmäßig Backups machen. Inhalte lassen sich einfach über die eingebaute Exportfunktion sichern, Bilder und Dateien per FTP. Letzteres erledigt das Feature STRATO BackupControl vollautomatisch – so lassen sich alte Speicherstände per Knopfdruck wiederherstellen. Wer hier systematisch vorgeht, hat selbst bei einem erfolgreichen Angriff wenig zu befürchten.

In dem Fall aber gilt es schnell zu handeln: FTP- und WordPress-Zugänge ändern, das letzte Backup einspielen, gegebenenfalls WordPress und Desktop-Antivirenprogramme aktualisieren. Danach ist Ursachenforschung angesagt: Sind andere Blogger ebenfalls betroffen? Ist ein installiertes Plugin für das Problem verantwortlich? Gibt es Auffälligkeiten im Verzeichnisbaum oder in den Log-Dateien? Antworten findest Du unter anderem im WordPress-Forum.

Schlagworte: , ,

Teilen

  1. Matthias sagte am

    Hallo Herr Lingnau,

    als User, dessen WordPress-Seite schon einmal wegen eines Plugins (wysija) mit Schadcode infiziert war, finde ich Sicherheitstipps ja immer wunderbar. Nach so einem Problem beschäftigt man sich natürlich etwas eingehender mit der ganzen Materie – wobei ich mir aber trotzdem eher ein gesundes Halbwissen attestieren würde.

    Aber selbst unter dem Gesichtspunkt des Halbwissens finde ich es zumindest schwierig neuen/unbedarften WordPress-Usern (und ich denke an diese richtet sich der Post eher) z.T. Snakeoil oder unvollständige Infos an die Hand zu geben, insb. unter der Überschrift „Einfach sicher bloggen“. Sonst entsteht ein Gefühl der Sicherheit – das so nur bedingt angebracht ist.

    1. Geheimer Benutzername
    Man sollte als Nutzernamen nicht „admin“ nutzen und ein sicheres Passwort wählen – so weit so gut. Nur ist auch „Gh3H3!M“ als Nutzername nicht automatisch sicherer, denn WordPress ist z.T. recht freigiebig mit den Namen. Siehe z.B. hier:
    [Link entfernt]
    Insofern: ein anderer Name als „admin“ schützt schon gegen einen gewissen Teil von Angriffen, ist aber nur ein erster Schritt und schon garnicht automatisch geheim.

    4. Login Bereich schützen
    Das Plugin halte ich größtenteils für Snakeoil – Bruteforce-Attacken erfolgen ja meist aus Netzen und nicht einer einzigen IP (wodurch das Plugin da nicht greift). Das Captcha selbst bietet auch nur noch bedingt ein Plus an Sicherheit.
    Weitere sinnvolle Möglichkeiten, neben dem Tipp von Pascal, gäbe es z.B. noch hier:
    http://www.elmastudio.de/wordpress/wordpress-login-vor-angriffen-schuetzen/
    https://www.kuketz-blog.de/serverseitiger-schutz-wordpress-absichern-teil5/
    (wie z.B. den zusätzlichen .htaccess-Schutz)

    Viele weitere Sicherheitsbausteine, wie veränderte Datenbank-Kürzel, wie schaut ein sicheres Passwort aus, etc. werden hier erst garnicht aufgeführt.

    Will heißen: Es ist ja im Interesse von Strato, dass die Seiten der Kunden möglichst sicher sind, was z.B. den Support ja sicherlich entlasten dürfte. Man könnte argumentieren, dass jemand, der von der Materie keine Ahnung hat, lieber keine Website aufsetzen sollte – geht aber nunmal an der Realität vorbei. Und gerade die WordPress-Hosting Angebote richten sich ja eher an User ohne viel Vorwissen.

    Insofern stellt doch Anfängern wirklich eine möglichst umfassende und verständliche Übersicht zur Verfügung (nicht zwingend im Blog hier) – die auch Vor- und Nachteile einzelner Ansätze aufzeigt – damit diese es nicht auf die harte Tour lernen müssen.

    LG
    Matthias

    Antworten
    • Christian Lingnau sagte am

      Hallo Matthias,

      danke für Ihr umfangreiches Feedback! Hinweis vorab: Da wir hier keine Informationen verbreiten wollen, wie man Nutzernamen ausliest, habe ich den entsprechenden Link entfernt (ich hoffe Sie haben Verständnis dafür). Der Beitrag soll in der Tat Einsteigern einfache Tipps geben, wie sie ohne technische Vorkenntnisse ihre WordPress-Installation sicherer machen können. Sie haben natürlich Recht, dass das nur ein erster Schritt sein kann.

      Zum Thema Sicherheit veröffentlichen wir regelmäßig Beiträge und das für unterschiedliche Zielgruppen. Wie man zum Beispiel Datenbank-Kürzel ändert und einen Verzeichnisschutz einrichtet, haben wir hier beschrieben: https://www.strato.de/blog/wordpress-potenzielle-sicherheitsluecken-schliessen/. Das ist komplexer und richtet sich an erfahrene Nutzer, so dass es in einem separaten Beitrag behandelt wurde. Zum Thema sichere Passwörter empfehlen wir Generatoren in Verbindung mit PW-Managern: https://www.strato.de/blog/tools-passwoerter/. Den Hinweis mit den Vor- und Nachteilen einzelner Lösungen finde ich interessant, danke dafür!

      Viele Grüße
      Christian

      Antworten
  2. Pascal sagte am

    Als sinnvolles Security Plugin würde ich noch Wordfence empfehlen. Tolle Sache!

    Antworten
  3. Prof. Kornelius Zeth sagte am

    sorry – aber es ist ziemlich doof, einen Handycode-SME zu fordern. Es soll immer noch Leute ohne Handy geben. Bitte gebt mit Bescheid, ob mir die domains nun gehören oder nicht.

    Antworten
  4. Peter sagte am

    Kleine Ergänzung von mir, die nicht nur für WP-Nutzer gilt:

    1. Regelmäßig die Logfiles auf dubiose Zugriffe kontrollieren.
    Oft sind Muster in der Art und Weise der Zugriffe auf den Server zu erkennen, die wenig bis nichts mit dem „normalen“ Surfverhalten zu tun haben und als Vorbereitung zu eventl. Hackversuchen gewertet werden können.

    2. Einzel-IPs oder IP-Bereiche, die ständig als Ausgangspunkt von suspekten Zugriffen zu erkennen sind, mittels .htaccess aussperren, sofern man auf Besucher aus diesen Regionen verzichten kann.

    In diesem Zusammenhang sind besonders der asiatische Raum und der amerikanische Kontinet (USA, Südamerika) auffälig.

    Die Strato-Logfiles, die fast in Echtzeit bereitgestellt werden, sind dabei sehr hilfreich. So kann man im Bedarfsfall zeitnah reagieren.

    Diese Art der Prävention hat sich bei mir als zuverlässig und zweckmäßig erwiesen.

    Antworten

Sie können erst kommentieren, wenn Sie unseren Datenschutzbestimmungen und den Cookies zugestimmt haben. Aus Datenschutzrechtlichen Gründen dürfen wir andernfalls keine personenbezogenen Daten von Ihnen aufzeichnen.

Klicken Sie dazu einfach unten im Browser Fenster auf den blauen Button Akzeptieren. Nach dem Neuladen der Seite können Sie Ihr Kommentar schreiben.

 

Diese Webseite verwendet Cookies, um die Nutzung der Seite zu verbessern, den Erfolg von Werbemaßnahmen zu messen und interessengerechte Werbung anzuzeigen. Durch die Nutzung dieser Seite erklären Sie sich damit einverstanden. Informationen