Ein Viertel aller Webseiten basieren auf dem Wordpress Blogsystem. Es ist daher ein sehr lohnendes Ziel für Angriffe und die automatisierten Attacken gegen Sicherheitslücken und schwache Passwörter nehmen ständig zu.
Mit den folgenden Informationen sichern Sie Ihr Webseite ab:
Halten Sie Ihre Wordpress- Installation auf dem aktuellen Stand
Das System wird von den Entwicklern regelmäßig aktualisiert und Sicherheitslücken werden sehr schnell behoben, sobald sie entdeckt werden. Um diese Aktualisierungen möglichst schnell zu erhalten, ist es am Einfachsten, automatische Updates zu aktivieren. Die Webseite updated sich dann selbstständig ohne weitere manuelle Eingriffe. DIes funktioniert in der Regel sehr zuverlässig. Sobald Sie eine Email- Benachrichtigung erhalten, daß Ihre Webseite aktualisiert wurde, sollten Sie dennoch die Webseite besuchen und durchschauen, ob noch alles funktioniert.
Wenn automatische Updates deaktiviert sind, müssen Sie die Updates selbst starten. Es gibt hierfür einen Button in der Administration. Informationen zu Updates erhalten Sie über den Wordpress Newsletter oder über Newsseiten, wie z.B. http://www.heise.de.
VIele Angriffe finden über fehlerhafte Plugins statt. Es ist daher auch sehr wichtig, diese auf dem aktuallen Stand zu halten. Leider gibt es hierfür keine Automatik. In der Administrationsoberfläche von Wordpress wird angezeigt, wenn neue Versionen für Plugins zur Verfügung stehen. Wenn Ihr Webserver vollständig mit FTP- Zugang eingerichtet ist, ist die Aktualiserung eines Plugins mit 2 Klicks erledigt.
Deinstallieren Sie unnötige Plugins
Die meisten Einbrüche in Webseiten finden über veraltete oder fehlerhafte Plugins statt. Wenn Sie bestimmte Plugins nicht (mehr) benötigen, deinstallieren Sie diese in der Administration. Sie sollten die Plugins auch direkt löschen, da unter Umständen auch deaktivierte Plugins für Angriffe genutzt werden können.
Sichern Sie den Loginbereich ab
Es finden ständig sogenannte "Brute Force" Angriffe auf das Loginformular von Wordpress Seiten statt. Hierbei werden automatisiert Passwörter durchprobiert. Ohne besondere Schutzmaßnahmen können je nach Serverleistung etliche 1000 Passwörter pro Stunde durchprobiert werden, so daß auch relativ starke Passwörter gefährdet sind. Insbesondere Passwörter, die im Wörterbuch stehen, werden mit Sicherheit nach relativ kurzer Zeit erwischt. Außerdem kann es sein, daß die Webseite durch die Last der automatisierten Angriffe nur noch schlecht oder gar nicht erreichbar ist. Zur Sicherung empfehlen wir, die Loginversuche einzuschränken, so daß die IP-Adresse des Angreifers z.B. nach 3 Fehlerversuchen für eine Stunde gesperrt wird. Ein einfaches, gut funktionierendes Plugin für diesen Zweck ist hier zu finden: https://de.wordpress.org/plugins/wp-limit-login-attempts
Die passenden Benutzernamen finden sich meist auf der Webseite. Die Autorennamen sollten daher nicht mit den Loginnamen übereinstimmen.
Eine weitere, sinnvolle Schutzmaßnahme ist es, den Loginbereich zu verlegen, so daß dieser nicht unter /wp-login.php und /wp-admin/ erreichbar ist, sondern unter einer unbekannten Adresse, wie zum Beispiel /eingang/ oder /tor/.
Als zusätzliche Absicherung kann der Webserver so konfiguriert werden, daß ein weiteres Loginformular vor dem Wordpress- Login angezeigt wird. Dies blockt Angriffe effizient ab, ohne daß nennenswerte Serverlast entsteht und ist besonders bei verteilten Attacken sehr sinnvoll, bei denen die Angriffe von vielen unterschiedlichen IP-Adressen kommen, da diese nicht durch einen einfachen Brute-Force-Schutz blockiert werden können.
Weitere Sicherheitsmaßnahmen
- Es sollte keine Benutzer mit den Namen "admin" oder "administrator" geben.
- Deinstallieren Sie unbenutzte Themes.
- Sichern Sie das Dateisystem mit sinnvollen Berechtigungseinstellungen.
- Der Prefix der Datenbanktabellen sollte nicht "wp_" sein, sondern eine zufällige Zeichenkette.
- Deaktivieren Sie die Registrierung von neuen Benutzern oder sichern Sie diese ab.
- Deaktivieren Sie Kommentare oder sichern Sie diese z.B. mit Captchas.
- Richten Sie eine Firewall in Wordpress ein, die Zugriffe auf sicherheitsrelevante Dateien wie z.B. wp-config.php zusätzlich verhindert.
- Richten Sie einen Dateisystem- und Malware- Scanner ein, der Veränderungen an Dateien erkennt und Alarm schlägt, wenn seltsame Dateien auftauchen.
- Erstellen Sie regelmäßig vollständige Backups!
Bei der Einrichtung dieser Sicherheitsmaßnahmen unterstützen wir Sie gerne. Wir bieten auch einen Rundum- Sicherheitscheck und die Konfiguration sämtlicher Schutzvorkehrungen an. Kontaktieren Sie uns für weitere Informationen!