Als beliebtestes Content Management System ist WordPress immer wieder das Ziel von Angriffen. Mit den folgenden vier Schritten machst Du Dein Blog sicherer.
1. Geheimer Benutzername
Für einen Administrator sind Standardbezeichnungen wie „admin“ oder der öffentlich sichtbare Autorenname keine gute Idee. Um es Angreifern schwerer zu machen, gibst Du Dir am besten einen geheimen Namen in Kombination mit einem sicheren Passwort. Bei den STRATO Hosting Paketen WP Starter und WP Plus kannst Du das gleich bei der Einrichtung erledigen. Wenn Du WordPress bereits installiert und einen unsicheren Admin-Benutzernamen verwendest: einfach ein neues Admin-Konto anlegen, ausloggen, mit diesem neuen Account wieder einloggen und den alten Administrator löschen.
2. So wenige Plugins wie möglich
Selbst gepflegte Plugins von erfahrenen Entwicklern sind potenzielle Sicherheitslücken. „So viel wie nötig, so wenig wie möglich“, empfiehlt deshalb WordPress-Entwickler Sergej Müller. Plugins verlangsamen ohnehin das System und erhöhen die Abhängigkeit von deren Weiterentwicklung. Wer sich auf wenige Plugins beschränkt und diese zeitnah aktualisiert, reduziert das Risiko deutlich.
3. Offizielles WordPress-Verzeichnis nutzen
Die beste Quelle für kostenlose Plugins und Themes ist das offizielle WordPress Verzeichnis. Durch die große Community werden Sicherheitslücken schneller bekannt und behoben. Achte bei der Auswahl auf das Datum der letzten Aktualisierung, die Anzahl der Downloads, Bewertungen und das Feedback in den Foren.
4. Login-Bereich schützen
Bei Brute-Force-Attacken wird versucht, durch automatisiertes Ausprobieren an Zugangsdaten zu kommen. Das Plugin WP Limit Login Attemps beschränkt die möglichen Anmeldeversuche und blockt zwischenzeitig die IPs potenzieller Angreifer. Hilfreich ist auch die Captcha-Abfrage – für Menschen zwar umständlich, für Bots aber ein Problem.
Was tun im Notfall?
5. Vorsorge ist besser
Um dennoch für den Notfall gerüstet zu sein, solltest Du regelmäßig Backups machen. Inhalte lassen sich einfach über die eingebaute Exportfunktion sichern, Bilder und Dateien per FTP. Letzteres erledigt das Feature STRATO BackupControl vollautomatisch – so lassen sich alte Speicherstände per Knopfdruck wiederherstellen. Wer hier systematisch vorgeht, hat selbst bei einem erfolgreichen Angriff wenig zu befürchten.
In dem Fall aber gilt es schnell zu handeln: FTP- und WordPress-Zugänge ändern, das letzte Backup einspielen, gegebenenfalls WordPress und Desktop-Antivirenprogramme aktualisieren. Danach ist Ursachenforschung angesagt: Sind andere Blogger ebenfalls betroffen? Ist ein installiertes Plugin für das Problem verantwortlich? Gibt es Auffälligkeiten im Verzeichnisbaum oder in den Log-Dateien? Antworten findest Du unter anderem im WordPress-Forum.
Matthias sagte am
Hallo Herr Lingnau,
als User, dessen WordPress-Seite schon einmal wegen eines Plugins (wysija) mit Schadcode infiziert war, finde ich Sicherheitstipps ja immer wunderbar. Nach so einem Problem beschäftigt man sich natürlich etwas eingehender mit der ganzen Materie – wobei ich mir aber trotzdem eher ein gesundes Halbwissen attestieren würde.
Aber selbst unter dem Gesichtspunkt des Halbwissens finde ich es zumindest schwierig neuen/unbedarften WordPress-Usern (und ich denke an diese richtet sich der Post eher) z.T. Snakeoil oder unvollständige Infos an die Hand zu geben, insb. unter der Überschrift „Einfach sicher bloggen“. Sonst entsteht ein Gefühl der Sicherheit – das so nur bedingt angebracht ist.
1. Geheimer Benutzername
Man sollte als Nutzernamen nicht „admin“ nutzen und ein sicheres Passwort wählen – so weit so gut. Nur ist auch „Gh3H3!M“ als Nutzername nicht automatisch sicherer, denn WordPress ist z.T. recht freigiebig mit den Namen. Siehe z.B. hier:
[Link entfernt]
Insofern: ein anderer Name als „admin“ schützt schon gegen einen gewissen Teil von Angriffen, ist aber nur ein erster Schritt und schon garnicht automatisch geheim.
4. Login Bereich schützen
Das Plugin halte ich größtenteils für Snakeoil – Bruteforce-Attacken erfolgen ja meist aus Netzen und nicht einer einzigen IP (wodurch das Plugin da nicht greift). Das Captcha selbst bietet auch nur noch bedingt ein Plus an Sicherheit.
Weitere sinnvolle Möglichkeiten, neben dem Tipp von Pascal, gäbe es z.B. noch hier:
http://www.elmastudio.de/wordpress/wordpress-login-vor-angriffen-schuetzen/
https://www.kuketz-blog.de/serverseitiger-schutz-wordpress-absichern-teil5/
(wie z.B. den zusätzlichen .htaccess-Schutz)
Viele weitere Sicherheitsbausteine, wie veränderte Datenbank-Kürzel, wie schaut ein sicheres Passwort aus, etc. werden hier erst garnicht aufgeführt.
Will heißen: Es ist ja im Interesse von Strato, dass die Seiten der Kunden möglichst sicher sind, was z.B. den Support ja sicherlich entlasten dürfte. Man könnte argumentieren, dass jemand, der von der Materie keine Ahnung hat, lieber keine Website aufsetzen sollte – geht aber nunmal an der Realität vorbei. Und gerade die WordPress-Hosting Angebote richten sich ja eher an User ohne viel Vorwissen.
Insofern stellt doch Anfängern wirklich eine möglichst umfassende und verständliche Übersicht zur Verfügung (nicht zwingend im Blog hier) – die auch Vor- und Nachteile einzelner Ansätze aufzeigt – damit diese es nicht auf die harte Tour lernen müssen.
LG
Matthias
Christian Lingnau sagte am
Hallo Matthias,
danke für Ihr umfangreiches Feedback! Hinweis vorab: Da wir hier keine Informationen verbreiten wollen, wie man Nutzernamen ausliest, habe ich den entsprechenden Link entfernt (ich hoffe Sie haben Verständnis dafür). Der Beitrag soll in der Tat Einsteigern einfache Tipps geben, wie sie ohne technische Vorkenntnisse ihre WordPress-Installation sicherer machen können. Sie haben natürlich Recht, dass das nur ein erster Schritt sein kann.
Zum Thema Sicherheit veröffentlichen wir regelmäßig Beiträge und das für unterschiedliche Zielgruppen. Wie man zum Beispiel Datenbank-Kürzel ändert und einen Verzeichnisschutz einrichtet, haben wir hier beschrieben: https://www.strato.de/blog/wordpress-potenzielle-sicherheitsluecken-schliessen/. Das ist komplexer und richtet sich an erfahrene Nutzer, so dass es in einem separaten Beitrag behandelt wurde. Zum Thema sichere Passwörter empfehlen wir Generatoren in Verbindung mit PW-Managern: https://www.strato.de/blog/tools-passwoerter/. Den Hinweis mit den Vor- und Nachteilen einzelner Lösungen finde ich interessant, danke dafür!
Viele Grüße
Christian
Pascal sagte am
Als sinnvolles Security Plugin würde ich noch Wordfence empfehlen. Tolle Sache!
Prof. Kornelius Zeth sagte am
sorry – aber es ist ziemlich doof, einen Handycode-SME zu fordern. Es soll immer noch Leute ohne Handy geben. Bitte gebt mit Bescheid, ob mir die domains nun gehören oder nicht.
Christian Lingnau sagte am
Hallo, bitte schreiben Sie eine Mail mit Ihrem Anliegen und Ihrer Kundennummer an facebook@strato.de. Die Kollegen vom Kundenservice melden sich dann bei Ihnen. Vielen Dank!
Peter sagte am
Kleine Ergänzung von mir, die nicht nur für WP-Nutzer gilt:
1. Regelmäßig die Logfiles auf dubiose Zugriffe kontrollieren.
Oft sind Muster in der Art und Weise der Zugriffe auf den Server zu erkennen, die wenig bis nichts mit dem „normalen“ Surfverhalten zu tun haben und als Vorbereitung zu eventl. Hackversuchen gewertet werden können.
2. Einzel-IPs oder IP-Bereiche, die ständig als Ausgangspunkt von suspekten Zugriffen zu erkennen sind, mittels .htaccess aussperren, sofern man auf Besucher aus diesen Regionen verzichten kann.
In diesem Zusammenhang sind besonders der asiatische Raum und der amerikanische Kontinet (USA, Südamerika) auffälig.
Die Strato-Logfiles, die fast in Echtzeit bereitgestellt werden, sind dabei sehr hilfreich. So kann man im Bedarfsfall zeitnah reagieren.
Diese Art der Prävention hat sich bei mir als zuverlässig und zweckmäßig erwiesen.
Christian Lingnau sagte am
Hallo Peter, danke für deine Hinweise!