WordPress ist ein tolles System, wenn Ihr schnell und ohne große Umstände Inhalte ins Netz stellen wollt. Aber dieses Maß an Bequemlichkeit und Komfort hat auch seinen Preis. Eine WordPress-Installation muss gegen fremden Zugriff abgesichert werden. Welche einfachen Möglichkeiten WordPress von Haus aus bietet und welche Plugins Ihr zusätzlich einsetzen könnt, zeige ich Euch in diesem Artikel.
Ich beginne mit Sachen, die noch gar nicht mal groß das System selbst betreffen. Diese Dinge sollten eigentlich offensichtlich sein, aber werden dennoch oft falsch gemacht oder überhaupt nicht beachtet.
Ändert den Benutzernamen des (standard-)Administrators
Der Account des Administrators sollte auf keinen Fall bei admin verbleiben, so wie es über viele Jahre hinweg standardmäßig eingestellt war. Automatische Hackerangriffe probieren zuerst das Offensichtliche aus und dazu zählt der Benutzername admin.
Wählt schwere Passwörter und Benutzernamen
Nein – Mausi. Schatzi, root oder admin (siehe oben) sind keine sichere Auswahl an Benutzernamen.
Ebenso sollte Ihr den Passwörtern besondere Aufmerksamkeit zukommen lassen. Je länger, desto besser. Mixt Zahlen, Buchstaben (gern im Groß- und Kleinbuchstaben im Wechsel) und Wortphrasen zu einem Passwort, an dem sich Hacker die Zähne ausbeissen.
Legt Redakteurs- und Mitarbeiteraccounts an
Einen einfachen Artikel muss man nicht in der Rolle des Administrators verfassen. Als Administrator logged man sich nur ein, wenn man das System konfiguriert oder Wartungsarbeiten zu erledigen hat. WordPress bietet von Haus aus ein ausreichendes Benutzerrollen-System, das sich mit den entsprechenden Plugins weiter ausbauen und verfeinern lässt. Macht Gebrauch davon.
Beschränkt die Registrierungsmöglichkeiten
Nicht jeder Leser Eures Blogs muss sich ja gleich als Administrator registrieren können. Falls überhaupt, reicht meiner Ansicht nach Abonnent völlig aus.
Vertraut nicht wahllos irgendwelchen Plugins und Themes
In der Mehrheit dringen die Angreifer nicht über das eigentliche WordPress-System ein, sondern über Sicherheitslücken in (schlecht programmierten) Plugins oder Themes. Bevor Ihr ein Plugin installiert oder ein Theme freischaltet – recherchiert im Netz, was andere Nutzer darüber sagen.
- Wie wird es von anderen Nutzern bewertet?
- In welchem Umfang gepflegt? (letzte Aktualisierung vor 3 Jahren ist eher ein schlechtes Zeichen)
- Sind im Vorfeld schon Probleme oder Sicherheitslücken bekannt?
Das betrifft vor allem nicht so bekannte Plugins oder (kostenlose) Themes aus unbekannten Quellen. Vertraut daher auch nur den Original-Downloadquellen.
Zugangsdaten gehören nicht ins Netz oder in die Cloud
Besser Ihr legt Euch ein fact sheat mit den Basis-Infos über Eure Webseite an, druckt das aus und heftet es im Ordner ab, sperrt den Ordner in den Panzerschrank.
Kommen wir jetzt zu den eher technischen Möglichkeiten, das System abzusichern.
Arbeitet mit Dateirechten
Da dieser Bereich für den Anfänger tatsächlich etwas schwer zu verstehen ist, verlinke ich hier einmal die sehr schöne Erklärung von Ernesto Ruge zu Dateirechten und ihrer Rolle bei Sicherheitsaspekten.
Verbietet das Ändern von Themes und Plugins aus dem Backend heraus
Wenn ihr diesen Codeschnipsel in die wp-config.php eintragt, kann kein Benutzer aus dem Backend heraus eine Theme- oder Plugindatei bearbeiten:
define( 'DISALLOW_FILE_EDIT', true );
Mit dem folgenden Code verrammelt ihr den Laden endgültig:
define( 'DISALLOW_FILE_MODS', true );
Nicht nur, dass kein Nutzer mehr an die Dateien herankommt – auch das Updaten bzw. Installieren von Themes und Plugins aus dem Backend heraus, ist nicht mehr möglich. Nur für den Fall, dass es ein Hacker geschafft haben könnte, einen WordPress Benutzeraccount zu knacken.
Mit der Konfigurationsdatei wp-config.php könnt ihr aber noch viel mehr machen. Ich habe da mal etwas über die vielfältigen Möglichkeiten geschrieben.
Beschränkt die Login-Versuche
Ihr habt ein eine einigermaßen sichere Benutzernamen-/Passwort-Kombination gewählt, aber der Angreifer ist dennoch erfolgreich, weil er genügend Zeit und Versuche bei der Anmeldemaske hat? Dann beschränkt die Zahl der ungültigen Anmeldeversuche mit dem Limit Login Attempts Plugin.
Da LLA scheinbar nicht mehr gewartet wird, kann ich euch nur raten: ein umfassenderes Sicherheitsplugin wie Wordfence Security oder ithemes Security zu installieren. Zumindest bei Wordfence ist eine Funktion enthalten, mit der man ebenso die ungültigen Loginversuche blocken kann.
Aber Achtung: wie schon einmal erwähnt, zielen die wirklich erfolgreichen Angriffe nicht auf den Login ab.
Setzt die 2-Faktor-Authentifizierung ein
Auch wieder eine Maßnahme, die auf den Login abzielt – aber viele Leute fühlen sich damit sicherer. Die 2F Lösung besteht darin, dass man sich nicht mehr nur mit der reinen Nutzername-Passwort Kombination in WordPress einloggen kann, sondern meist noch eine zusätzliche Mobilfone Bestätigung benötigt.
Plugins für die 2-Faktor-Authentifizierung gibt es jetzt auch eine ganze Reihe.
Sichert das Backend mittels .htaccess ab
Viele Spezis raten dazu, das wp-admin Verzeichnis zusätzlich mit einer .htaccess Datei abzusichern. Ob bei Euch die Arbeit mit .htaccess überhaupt möglich ist, erfahrt Ihr bei Eurem Webhoster bzw. Provider. In einigen Billigangeboten steht .htaccess nicht zur Verfügung. Da der wp-admin Bereich auch nur wieder am Login hängt, reicht es aus, wp-login.php zu schützen. Der Mike Kuketz zeigt euch in seinem Artikel, wie man das nicht nur für Apache Webserver umsetzt.
Schaden kann es zwar nicht, aber diese Maßnahme greift auch nur wieder bei Angriffsversuchen auf den Login.
Kontrolliert die Einstellungen Eurer Backup-Tools
Wenn Ihr Datensicherung mittels eines Plugins betreibt, schaut nach, wohin die Backup-Archive gespeichert oder versendet werden. Das Wurzelverzeichnis von WordPress ist beispielsweise ein denkbar ungünstiger Speicherort. Je nachdem, welche Tabellen oder Verzeichnisse/Dateien Ihr in den Backup-Vorgang mit aufnehmt, können sich Passwörter und andere Zugangsdaten darunter befinden. Wenn die Backup-datei dann noch in einem ungesicherten (Web)Verzeichnis liegt, ist sie von außen jederzeit lesbar und Eure Passwörter dann auch.
Deinstalliert nicht mehr benutzte Plugins
Solltet Ihr das ein oder andere Plugin nicht mehr benötigen – löscht es komplett vom Server. Nur deaktivieren reicht nicht aus.
Arbeitet mit Sicherheitsüberprüfungs-Plugins
Es gibt mittlerweile spezielle Plugins, die nichts anderes tun, als Eure WordPress-Installation nach Schwachstellen zu untersuchen und diese gegebenenfalls auch beheben. Plugins wie AntiVirus oder BulletProof Security findet Ihr im offiziellen Plugin-Verzeichnis von WordPress. Aber: Sicherheitsplugins machen noch keine Sicherheit. Schon gar nicht auf Knopfdruck. Sie sind nur Hilfsmittel. Das Denken nehmen sie auch nicht ab.
Eine weitere, sehr gute und umfangreiche Auflistung von Sicherungshinweisen findet ihr beim Netzgänger oder auch Sergej Müller.
So, ich denke das waren jetzt schon mal einige ganz brauchbare Tipps, mit denen WordPress-Anfänger gut über die Runden kommen sollten. Ich nehme gerne noch weitere Tipps, Ratschläge und Hinweise auf – einfach über die Kommentarfunktion einreichen.
Danke für die Tipps!
Mir ist aufgefallen, dass „Limit Login Attempts“ bei der neuen Version (3.8) nicht mehr offizielle unterstützt wird.
Sind dir bei der neuen Version Störungen aufgefallen oder hast du eine andere Empfehlung?
Ich habe bis jetzt keine Probleme mit LLA feststellen können.
Vielen Dank!
Kleine Ergänzung: Wenn man Dateirechte konsequent umgesetzt hat, kann man aus dem Backend heraus eh keine Dateien mehr editieren. define( ‚DISALLOW_FILE_EDIT‘, true ); schaltet dann also eine Fuktion ab, die eh nicht mehr nutzbar ist.
Nach sicherem Einrichten von Dateirechten benötigt man für die Installation von Themes- und Plugins FTP-Zugangsdaten. Diese hat ein potentieller Angreifer nicht, so dass man das aktiv lassen kann – eben sichere Dateirechte vorausgesetzt.
Solange es da draussen noch Hoster gibt, die ihren Kunden nur einen Benutzer zugestehen, sind Krücken wie das disallow file edit und mods ganz nützlich.