Ach­tung Angrei­fer: Wich­ti­ge Tipps, um den Word­Press-Blog siche­rer zu machen

WordPress vor Hackern schützen

Lesedauer: 7 Minuten

Word­Press ist für Hacker ein sehr belieb­tes Ziel, denn ein­mal gibt es unzäh­li­ge Word­Press-Instal­la­tio­nen welt­weit, deren Zahl ste­tig ansteigt und durch The­mes und Plug­ins von Dritt­an­bie­tern ent­ste­hen regel­mä­ßig Sicherheitslücken.

Daher soll­te man schon gleich beim Auf­set­zen des Sys­tems eini­ge wich­ti­ge Punk­te beach­ten, um Word­Press so gut wie mög­lich (auch wenn es kaum eine hun­dert­pro­zen­ti­ge Sicher­heit geben wird) abzusichern.

Die­se Schrit­te will ich im Fol­gen­den erläu­tern und auch eini­ge Plug­ins vor­stel­len, die die Instal­la­ti­on siche­rer machen.

Instal­la­ti­on von Word­Press: Secret Keys, Tabel­len-Prä­fix und Passwort

Bei der Word­Press-Instal­la­ti­on muss die wp-config-sample.php mit den indi­vi­du­el­len Daten­bank-Para­me­tern ange­passt wer­den und in die wp-config.php umbe­nannt wer­den. Aber in die­se Datei las­sen sich auch Sicher­heits­schlüs­sel für die neue Web­site oder den neu­en Blog ein­bin­den, die­sen Schritt füh­ren vie­le lei­der nicht aus, obwohl es ganz schnell umge­setzt ist.

Unter­halb der Daten­bank-Para­me­ter fin­det sich in der wp-config-sample.php ein Link (https://​api​.word​press​.org/​s​e​c​r​e​t​-​k​e​y​/​1​.​1​/​s​a​lt/), über den sich die erfor­der­li­chen Keys gene­rie­ren las­sen. Die­se wer­den dann per Copy und Pas­te gegen die lee­ren Anga­ben hin­ter den acht defi­ne-Zei­len ausgetauscht.

Secretkeys in wp-config.php
Bild: Sicher­heits­schlüs­sel in der wp-config.php: Hier sind sie noch nicht ein­ge­fügt. Die­se Keys sind wich­tig für die spä­te­re Ver­schlüs­se­lung der Log­in-Daten in den Cookies.

Ein wei­te­rer wich­ti­ger Schritt für mehr Sicher­heit ist die Ände­rung des Stan­dard-Prä­fi­xes der Word­Press-Tabel­len, das nor­ma­ler­wei­se wp_​lau­tet. Auch die­ses Prä­fix lässt sich in der wp-con­fig-Datei ändern (steht unter­halb der Sicher­heits­schlüs­sel). Wird das Prä­fix ver­än­dert, fan­gen in der Daten­bank die Tabel­len eben nicht mehr mit wp_​an, son­dern mit den Buch­sta­ben oder Zah­len bzw. der Bezeich­nung, die du gewählt hast.

Der drit­te ent­schei­den­de Punkt für mehr Sicher­heit sind die Anmel­de­da­ten für das Word­Press-Backend, die du bei der Instal­la­ti­on fest­le­gen musst. Bit­te wäh­le als Benut­zer­na­men kei­nen übli­chen wie demo, admin, test123 oder sowas Ähn­li­ches. Bei auto­ma­ti­schen Angrif­fen auf dei­nen Blog (soge­nann­te Bru­te-Force-Atta­cken) wer­den die­se Stan­dard­be­nut­zer­na­men immer wie­der aus­ge­wählt, ist dann das Pass­wort auch nicht sicher, ist die Sei­te schnell mal gehackt.

Dabei soll­test du auch beach­ten, dass dein Benut­zer­na­me nir­gend­wo in dei­nem Blog in einem Archiv wie dem Autoren­ar­chiv auf­taucht oder bei den Blog­posts, denn das ist etwas, was an Word­Press nicht opti­mal ist, das Anzei­gen des Benut­zer­na­mens in der Autoren-URL, die so aus­sieht: http://​dei​ne​website​.com/​a​u​t​h​o​r​/​b​e​n​u​t​z​e​r​n​ame. Denn wenn der Benut­zer­na­me leicht zugäng­lich ist, weil er bei­spiels­wei­se von jedem User in den Blog­ar­ti­keln oder sonst­wo ein­seh­bar ist, kom­men die Hacker dem ille­ga­len Log­in einen Schritt näher. Unter die­sem Link fin­dest du eine Mög­lich­keit, dei­nen Autoren­na­men zu verbergen.

Eine wei­te­re Mög­lich­keit, dei­nen Admin-Benut­zer­na­men zu ver­ber­gen, ist, mit einer ande­ren Benut­zer­rol­le zu blog­gen, Bil­der hoch­zu­la­den und wei­te­re Inhal­te ein­zu­stel­len. Dazu legst du einen Benut­zer mit der Rol­le “Redak­teur” an. Die­ser hat stan­dard­mä­ßig kei­nen Zugriff auf emp­find­li­che Berei­che in der Word­Press-Instal­la­ti­on wie Plug­ins, Ein­stel­lun­gen, The­mes usw. Somit hät­ten auch Hacker nur begrenz­te Optio­nen, an der Sei­te was zu ändern.

Als Pass­wort soll­test du eines ent­wer­fen, das Word­Press mit der Sicher­heits­stu­fe “Stark” bewer­tet, also min­des­tens 7 bis 8 Stel­len lang und außer Klein- und Groß­buch­sta­ben sowie Zah­len soll­te es mög­lichst Son­der­zei­chen enthalten.

Eben­falls emp­feh­lens­wert: Die Datei­en license.txt sowie liesmich.html und readme.html aus dem Root­ver­zeich­nis von Word­Press zu löschen, in den bei­den letzt­ge­nann­ten steht die Word­Press-Ver­si­on drin, die nicht jeder wis­sen muss.

Mit die­sen befolg­ten Schrit­ten ist dei­ne Word­Press-Instal­la­ti­on mal schon siche­rer als vie­le ande­re im Web. Aber es gibt noch wei­te­re Punk­te, die du beach­ten soll­test, um es Hackern so schwer wie mög­lich zu machen, dei­ne Sei­te zu knacken.

Limit Log­in Attempts: Fal­sche Anmel­de­ver­su­che beschränken

Solan­ge du die­ses Plug­in nicht instal­liert hast, wirst du nicht wis­sen, wie oft ver­sucht wird, über die Log­in-Sei­te dei­ne Web­site anzu­grei­fen. Mit Limit Log­in Attempts machst du die­se Ver­su­che sozu­sa­gen sichtbar.

Im Plug­in-Ver­wal­tungs­be­reich kannst du ein­stel­len, nach wie vie­len Anmel­de­ver­su­chen die Log­in-Sei­te für die IP, die den Log­in­ver­such vor­ge­nom­men hat gesperrt wird. Außer­dem kannst du dich per Mail benach­rich­ti­gen las­sen, ob ein unrecht­mä­ßi­ger Log­in­ver­such vor­ge­nom­men wurde.

Plugin Limit Login Attempts: Einstellungsübersicht
Bild: Plug­in Limit Log­in Attempts: Einstellungsübersicht

Soll­te eine Bru­te-Force-Atta­cke erfol­gen, wo auto­ma­tisch ver­schie­de­ne Kom­bi­na­tio­nen von Benut­zer­na­men und Pass­wör­tern aus­pro­biert wer­den, kön­nen gele­gent­lich meh­re­re 100 gesperr­te Log­in­ver­su­che an einem Tag auf­lau­fen. Das ist mir schon eini­ge Male mit die­sem Blog passiert.

Word­Press-Plug­ins und ‑The­mes: Auf Qua­li­tät achten

Gera­de Word­Press-The­mes und Plug­ins von Dritt­an­bie­tern ver­ur­sa­chen häu­fig ent­schei­den­de Sicher­heits­lü­cken, über die Hacker ein­fal­len kön­nen. Daher soll­test du nicht unnö­tig vie­le Plug­ins auf dei­nem Blog instal­lie­ren, nur weil sie viel­leicht cool sind, son­dern sie soll­ten schon für dei­ne Web­site nütz­lich sein. Denn je mehr Plug­ins instal­liert sind, des­to grö­ßer ist die Wahr­schein­lich­keit, dass sich man­che Plug­ins ein­an­der “ins Gehe­ge kom­men” und die Schnel­lig­keit der Sei­te ver­rin­gern sowie Feh­ler und Aus­fäl­le produzieren.

Ver­wen­de nur Plug­ins, die auch im offi­zi­el­len Word­Press-Ver­zeich­nis auf­ge­führt sind. Denn dort muss sich jeder Plug­in-Ent­wick­ler regis­trie­ren, der der Word­Press-Com­mu­ni­ty ein Plug­in zur Ver­fü­gung stel­len möch­te. Wird an dem Plug­in Feh­ler fest­ge­stellt, wird die Com­mu­ni­ty dies mel­den, indem die ver­schie­de­nen User dazu Kom­men­ta­re und Bewer­tun­gen abgeben.

Daher ach­te auch auf die Bewer­tun­gen und die Zahl der Down­loads, wenn du ein neu­es kos­ten­lo­ses Plug­in herunterlädst.

Das glei­che gilt für kos­ten­lo­se Word­Press-The­mes: Ver­wen­de nur die aus dem offi­zi­el­len Word­Press-The­me-Direc­to­ry.

Kos­ten­pflich­ti­ge Plug­ins und The­mes, die du auf ver­schie­de­nen Platt­for­men wie bei­spiels­wie­se Theme­fo­rest kau­fen kannst, haben den Vor­teil, dass die Ent­wick­ler einen Sup­port zur Ver­fü­gung stel­len, wo du Feh­ler oder sons­ti­ge Pro­ble­me mel­den kannst. Außer­dem sind die­se Pro­gram­mie­rer auf einen guten Ruf bedacht, sodass sie sich mit ihren Pro­duk­ten in den aller­meis­ten Fäl­len die größ­te Mühe für hohe Qua­li­tät geben.

Tipp: Mit die­sen Plug­ins kannst du dein neu­es The­me auf Mal­wa­re — also bös­ar­ti­gen Code — prüfen:

Auf Aktua­li­tät der Soft­ware achten

Ein wei­te­rer wich­ti­ger Punkt für eine siche­re Word­Press-Web­site ist die Aktua­li­tät der ein­zel­nen Anwen­dun­gen. Die Release-Zyklen für Word­Press sind ja recht kurz, sodass im Jahr meh­re­re Update anste­hen, das glei­che gilt auch für vie­le Plug­ins sowie Themes.

Sobald eine neue Ver­si­on oder Unter­ver­si­on von Word­Press ansteht, soll­test du dar­auf upda­ten, eben­so dei­ne The­me-Ver­sio­nen und Plug­ins. Denn in den neu­es­ten Updates wer­den meist Sicher­heits­lü­cken der vor­he­ri­gen Ver­sio­nen besei­tigt. Am bes­ten sicherst du vor jedem gro­ßen Update von Word­Press dei­ne Web­site-Daten sowie ‑Daten­bank, falls doch mal was schief gehen soll­te, kannst du auf eine funk­tio­nie­ren­de Web­site-Ver­si­on zurückgreifen.

Neue Updates wer­den im Dash­board von Word­Press immer ange­zeigt, sodass du sie so gut wie nicht über­se­hen kannst.

Regel­mä­ßi­ge Back­ups durchführen

Regel­mä­ßig gesi­cher­te Sei­ten sind eben­falls ein guter Schutz gegen Hacker-Angrif­fen. Denn soll­te die Sei­te wirk­lich mal durch einen Hacker infi­ziert oder zer­stört wor­den sein, kannst du ein Back­up dei­ner Sei­te ver­wen­den, um sie wie­der her­zu­stel­len. Wie oft du die­se Back­ups durch­führst, hängt auch davon ab, wie oft du neu­en Inhalt ver­öf­fent­lichst. Wer jede Woche Blog­ar­ti­kel ver­fasst, soll­te wenigs­tens ein­mal oder gar zwei­mal in der Woche eine Kom­plett­si­che­rung machen. Ansons­ten sind Zeit­in­ter­val­le von zwei Wochen eben­falls eine Option.

Du kannst die­se Siche­run­gen manu­ell durch­füh­ren, indem du die Daten vom Web­ser­ver mit einem FTP-Cli­ent wie bei­spiels­wei­se File­Zil­la auf dei­nen Rech­ner run­ter­lädst und du anschlie­ßend noch die Daten­bank sicherst (geht meist über PHPMy­Ad­min im Kun­den­ac­count dei­nes Pro­vi­ders) oder du nutzt ein Back­up-Plug­in wie BackW­Pup. Damit kannst du dei­ne Daten und Daten­bank in unter­schied­li­chen For­ma­ten u. a. per Mail lokal auf dei­nen PC, in dei­ne Drop­box oder dei­nen Goog­le-Cloud-Account sichern. Für aus­schließ­li­che Siche­run­gen in die Drop­box gibt es ein eige­nes Back­up-Plug­in für Word­Press — Word­Press Back­up to Drop­box, für aus­schließ­li­che Siche­run­gen der Daten­bank das Plug­in WP-DBMa­na­ger.

Admin-Bereich absi­chern

Ganz wich­tig: Den Admin-Bereich vor Hackern absi­chern, denn es fin­det jeder schnell her­aus, wel­ches CMS du für dei­ne Web­site benutzt. Und bei Word­Press lau­tet der Log­in-Link immer: www​.dei​ne​website​.com/​w​p​-​a​d​min oder …/wp-login.php.

Wer die Log­in-URL ver­schlei­ern will, kann dies mit dem Plug­in Rena­me wp-login.php machen. Nach der Instal­la­ti­on des Plug­ins lässt sich die Log­in-Sei­te nach dei­nen eige­nen Vor­stel­lun­gen umbe­nen­nen, bei­spiels­wei­se in www​.dei​ne​website​.com/​m​e​i​n​e​n​e​u​e​l​o​g​i​n​s​e​i​t​e​942 oder wie auch immer. Mit die­ser Umbe­nen­nung wird kaum noch jemand auf dei­ne Log­in-Sei­te gelangen.

Ein ande­res Plug­in — der Goog­le Authen­ti­ca­tor — sichert den Log­in-Bereich so ab, dass neben den übli­chen Zugangs­da­ten noch ein wei­te­rer Zugangs­code im Log­in-For­mu­lar ein­ge­ge­ben wer­den muss, eine soge­nann­te Zwei-Wege-Authentifizierung.

Wer das Plug­in “Goog­le Authen­ti­ca­tor” ver­wen­det, benö­tigt die ent­spre­chen­de App für sein Smart­phone (gibt es für iOS wie für Android), über die immer wie­der ein neu­er Log­in-Code gene­riert wird. Ist zwar etwas auf­wän­dig, da man immer sein Smart­phone zur Hand haben soll­te, wenn man sich in sei­nen Blog ein­log­gen will, aber das Plug­in macht das Ein­log­gen doch sehr sicher.

Zwei wei­te­re Plug­ins, um den Admin-Bereich vor ille­ga­len Log­in-Ver­su­chen abzusichern:

Eine ande­re inter­es­san­te Sicher­heits­maß­nah­me ist die ser­ver­sei­ti­ge Absi­che­rung der wp-login.php, indem man beim Apa­che-Web­ser­ver eine .htac­cess- und .htpasswd-Datei erstellt. Wie das geht, steht in die­sem Bei­trag.

Anti­s­pam-Plug­ins gegen Spamkommentare

Falls du auf dei­nem Blog Kom­men­ta­re zulässt, soll­test du dir ein Anti­s­pam-Plug­in auf dei­nem Blog instal­lie­ren, um die vie­len Spam­kom­men­ta­re, die tag­täg­lich ankom­men, her­aus­zu­fil­tern. Denn über Kom­men­ta­re kann auch schäd­li­cher Code ver­sen­det und in den Blog ein­ge­schleust werden.

Ein gutes Anti­s­pam-Plug­in ist bei­spiels­wei­se Anti­s­pam-Bee. Das stan­dard­mä­ßig mit­ge­lie­fer­te Anti­s­pam-Plug­in Akis­met ver­langt eine Anmel­dung bei dem Plug­i­n­an­bie­ter, wobei Daten wei­ter­ge­ge­ben wer­den, was ich nicht so gut finde.

Sicher­heits­plug­ins verwenden

Um die Sicher­heit zu opti­mie­ren, kannst du noch ande­re prak­ti­sche Plug­ins ver­wen­den, wie bei­spiels­wei­se das Plug­in Bet­ter WP Secu­ri­ty. Damit las­sen sich Sicher­heits­lü­cken in dei­ner Word­Press-Instal­la­ti­on prü­fen, auf­spü­ren und aus­wer­ten. Die Aus­wer­tung zeigt an, was du genau an Schrit­ten umset­zen sollst, um die Lücken zu schlie­ßen. Eine Alter­na­ti­ve zu die­sem Plug­in ist das Ulti­ma­te Secu­ri­ty Che­cker Plug­in.

Über das Plug­in Bul­let­pro­of Secu­ri­ty kann die .htac­cess-Datei im Word­Press-Admin­be­reich geän­dert wer­den, um die Sicher­heits­ein­stel­lun­gen zu opti­mie­ren. Und du kannst die augen­blick­li­che Word­Press-Ver­si­on vor den Augen ande­rer verbergen.

Wei­te­re wich­ti­ge Sicher­heits­plug­ins und ‑web­sites sind:

Fazit

Wie die­se Über­sicht zeigt, lässt sich Word­Press doch sehr gut absi­chern. Vor allem die Log­in-Sei­te bzw. der Admin-Bereich soll­te bei der Absi­che­rung an ers­ter Stel­le ste­hen, genau­so die regel­mä­ßi­ge Siche­rung der Web­site-Datei­en und der Daten­bank. Unab­ding­bar sind ein außer­ge­wöhn­li­cher Nut­zer­na­me, den nie­mand ein­se­hen kann und ein siche­res Passwort.

Wer die hier auf­ge­führ­ten Schrit­te befolgt, dürf­te in den aller­meis­ten Fäl­len kei­ne Pro­ble­me mit Hacker bekom­men, aber ganz sicher ist man den­noch nicht vor sol­chen Atta­cken. Soll­te man wirk­lich mal Opfer wer­den, soll­te man auf ein aktu­el­les Back­up sei­ner Web­site zurück­grei­fen kön­nen, um sei­nen Inter­net­auf­tritt wie­der zum Lau­fen zu bringen.

Es gibt sicher­lich noch wei­te­re Opti­mie­run­gen bezüg­lich der Word­Press-Sicher­heit: Wer inter­es­san­te Mög­lich­kei­ten kennt, soll­te sich nicht scheu­en, sie über das Kom­men­tar­feld mitzuteilen.

Tei­le die­sen Beitrag:


Schreibe einen Kommentar

WordPress Cookie Hinweis von Real Cookie Banner