Wor­d­Press ist für Hacker ein sehr belieb­tes Ziel, denn ein­mal gibt es unzäh­li­ge Wor­d­Press-Instal­la­tio­nen welt­weit, deren Zahl ste­tig ansteigt und durch The­mes und Plugins von Dritt­an­bie­tern ent­ste­hen regel­mä­ßig Sicher­heits­lü­cken.


Daher soll­te man schon gleich beim Auf­set­zen des Sys­tems eini­ge wich­ti­ge Punk­te beach­ten, um Wor­d­Press so gut wie mög­lich (auch wenn es kaum eine hun­dert­pro­zen­ti­ge Sicher­heit geben wird) abzu­si­chern.

Die­se Schrit­te will ich im Fol­gen­den erläu­tern und auch eini­ge Plugins vor­stel­len, die die Instal­la­ti­on siche­rer machen.

Installation von WordPress: Secret Keys, Tabellen-Präfix und Passwort

Bei der Wor­d­Press-Instal­la­ti­on muss die wp-config-sample.php mit den indi­vi­du­el­len Daten­bank-Para­me­tern ange­passt wer­den und in die wp-config.php umbe­nannt wer­den. Aber in die­se Datei las­sen sich auch Sicher­heits­schlüs­sel für die neue Web­site oder den neu­en Blog ein­bin­den, die­sen Schritt füh­ren vie­le lei­der nicht aus, obwohl es ganz schnell umge­setzt ist.

Unter­halb der Daten­bank-Para­me­ter fin­det sich in der wp-config-sample.php ein Link (https://​api​.wor​d​press​.org/​s​e​c​r​e​t​-​k​e​y​/​1​.​1​/​s​a​lt/), über den sich die erfor­der­li­chen Keys gene­rie­ren las­sen. Die­se wer­den dann per Copy und Pas­te gegen die lee­ren Anga­ben hin­ter den acht defi­ne-Zei­len aus­ge­tauscht.

Secretkeys in wp-config.php

Bild: Sicher­heits­schlüs­sel in der wp-config.php: Hier sind sie noch nicht ein­ge­fügt. Die­se Keys sind wich­tig für die spä­te­re Ver­schlüs­se­lung der Log­in-Daten in den Coo­kies.

Ein wei­te­rer wich­ti­ger Schritt für mehr Sicher­heit ist die Ände­rung des Stan­dard-Prä­fi­xes der Wor­d­Press-Tabel­len, das nor­ma­ler­wei­se wp_​lau­tet. Auch die­ses Prä­fix lässt sich in der wp-con­fig-Datei ändern (steht unter­halb der Sicher­heits­schlüs­sel). Wird das Prä­fix ver­än­dert, fan­gen in der Daten­bank die Tabel­len eben nicht mehr mit wp_​an, son­dern mit den Buch­sta­ben oder Zah­len bzw. der Bezeich­nung, die du gewählt hast.

Der drit­te ent­schei­den­de Punkt für mehr Sicher­heit sind die Anmel­de­da­ten für das Wor­d­Press-Backend, die du bei der Instal­la­ti­on fest­le­gen musst. Bit­te wäh­le als Benut­zer­na­men kei­nen übli­chen wie demo, admin, test123 oder sowas Ähn­li­ches. Bei auto­ma­ti­schen Angrif­fen auf dei­nen Blog (soge­nann­te Bru­te-For­ce-Atta­cken) wer­den die­se Stan­dard­be­nut­zer­na­men immer wie­der aus­ge­wählt, ist dann das Pass­wort auch nicht sicher, ist die Sei­te schnell mal gehackt.

Dabei soll­test du auch beach­ten, dass dein Benut­zer­na­me nir­gend­wo in dei­nem Blog in einem Archiv wie dem Autoren­ar­chiv auf­taucht oder bei den Blog­posts, denn das ist etwas, was an Wor­d­Press nicht opti­mal ist, das Anzei­gen des Benut­zer­na­mens in der Autoren-URL, die so aus­sieht: http://​dei​ne​web​site​.com/​a​u​t​h​o​r​/​b​e​n​u​t​z​e​r​n​ame. Denn wenn der Benut­zer­na­me leicht zugäng­lich ist, weil er bei­spiels­wei­se von jedem User in den Blog­ar­ti­keln oder sonst­wo ein­seh­bar ist, kom­men die Hacker dem ille­ga­len Log­in einen Schritt näher. Unter die­sem Link fin­dest du eine Mög­lich­keit, dei­nen Autoren­na­men zu ver­ber­gen.

Eine wei­te­re Mög­lich­keit, dei­nen Admin-Benut­zer­na­men zu ver­ber­gen, ist, mit einer ande­ren Benut­zer­rol­le zu blog­gen, Bil­der hoch­zu­la­den und wei­te­re Inhal­te ein­zu­stel­len. Dazu legst du einen Benut­zer mit der Rol­le “Redak­teur” an. Die­ser hat stan­dard­mä­ßig kei­nen Zugriff auf emp­find­li­che Berei­che in der Wor­d­Press-Instal­la­ti­on wie Plugins, Ein­stel­lun­gen, The­mes usw. Somit hät­ten auch Hacker nur begrenz­te Optio­nen, an der Sei­te was zu ändern.

Lesen  WooCommerce Leitfaden: Teil 10 - Einfache Produkte anlegen

Als Pass­wort soll­test du eines ent­wer­fen, das Wor­d­Press mit der Sicher­heits­stu­fe “Stark” bewer­tet, also min­des­tens 7 bis 8 Stel­len lang und außer Klein- und Groß­buch­sta­ben sowie Zah­len soll­te es mög­lichst Son­der­zei­chen ent­hal­ten.

Eben­falls emp­feh­lens­wert: Die Datei­en license.txt sowie liesmich.html und readme.html aus dem Root­ver­zeich­nis von Wor­d­Press zu löschen, in den bei­den letzt­ge­nann­ten steht die Wor­d­Press-Ver­si­on drin, die nicht jeder wis­sen muss.

Mit die­sen befolg­ten Schrit­ten ist dei­ne Wor­d­Press-Instal­la­ti­on mal schon siche­rer als vie­le ande­re im Web. Aber es gibt noch wei­te­re Punk­te, die du beach­ten soll­test, um es Hackern so schwer wie mög­lich zu machen, dei­ne Sei­te zu kna­cken.

Limit Login Attempts: Falsche Anmeldeversuche beschränken

Solan­ge du die­ses Plugin nicht instal­liert hast, wirst du nicht wis­sen, wie oft ver­sucht wird, über die Log­in-Sei­te dei­ne Web­site anzu­grei­fen. Mit Limit Log­in Attempts machst du die­se Ver­su­che sozu­sa­gen sicht­bar.

Im Plugin-Ver­wal­tungs­be­reich kannst du ein­stel­len, nach wie vie­len Anmel­de­ver­su­chen die Log­in-Sei­te für die IP, die den Log­in­ver­such vor­ge­nom­men hat gesperrt wird. Außer­dem kannst du dich per Mail benach­rich­ti­gen las­sen, ob ein unrecht­mä­ßi­ger Log­in­ver­such vor­ge­nom­men wur­de.

Plugin Limit Login Attempts: Einstellungsübersicht

Bild: Plugin Limit Log­in Attempts: Ein­stel­lungs­über­sicht

Soll­te eine Bru­te-For­ce-Atta­cke erfol­gen, wo auto­ma­tisch ver­schie­de­ne Kom­bi­na­tio­nen von Benut­zer­na­men und Pass­wör­tern aus­pro­biert wer­den, kön­nen gele­gent­lich meh­re­re 100 gesperr­te Log­in­ver­su­che an einem Tag auf­lau­fen. Das ist mir schon eini­ge Male mit die­sem Blog pas­siert.

WordPress-Plugins und ‑Themes: Auf Qualität achten

Gera­de Wor­d­Press-The­mes und Plugins von Dritt­an­bie­tern ver­ur­sa­chen häu­fig ent­schei­den­de Sicher­heits­lü­cken, über die Hacker ein­fal­len kön­nen. Daher soll­test du nicht unnö­tig vie­le Plugins auf dei­nem Blog instal­lie­ren, nur weil sie viel­leicht cool sind, son­dern sie soll­ten schon für dei­ne Web­site nütz­lich sein. Denn je mehr Plugins instal­liert sind, des­to grö­ßer ist die Wahr­schein­lich­keit, dass sich man­che Plugins ein­an­der “ins Gehe­ge kom­men” und die Schnel­lig­keit der Sei­te ver­rin­gern sowie Feh­ler und Aus­fäl­le pro­du­zie­ren.

Ver­wen­de nur Plugins, die auch im offi­zi­el­len Wor­d­Press-Ver­zeich­nis auf­ge­führt sind. Denn dort muss sich jeder Plugin-Ent­wick­ler regis­trie­ren, der der Wor­d­Press-Com­mu­ni­ty ein Plugin zur Ver­fü­gung stel­len möch­te. Wird an dem Plugin Feh­ler fest­ge­stellt, wird die Com­mu­ni­ty dies mel­den, indem die ver­schie­de­nen User dazu Kom­men­ta­re und Bewer­tun­gen abge­ben.

Daher ach­te auch auf die Bewer­tun­gen und die Zahl der Down­loads, wenn du ein neu­es kos­ten­lo­ses Plugin her­un­ter­lädst.

Das glei­che gilt für kos­ten­lo­se Wor­d­Press-The­mes: Ver­wen­de nur die aus dem offi­zi­el­len Wor­d­Press-The­me-Direc­to­ry.

Kos­ten­pflich­ti­ge Plugins und The­mes, die du auf ver­schie­de­nen Platt­for­men wie bei­spiels­wie­se Theme­fo­rest kau­fen kannst, haben den Vor­teil, dass die Ent­wick­ler einen Sup­port zur Ver­fü­gung stel­len, wo du Feh­ler oder sons­ti­ge Pro­ble­me mel­den kannst. Außer­dem sind die­se Pro­gram­mie­rer auf einen guten Ruf bedacht, sodass sie sich mit ihren Pro­duk­ten in den aller­meis­ten Fäl­len die größ­te Mühe für hohe Qua­li­tät geben.

Lesen  5 Fehler, die man als WordPress-Blogger vermeiden muss

Tipp: Mit die­sen Plugins kannst du dein neu­es The­me auf Mal­wa­re — also bös­ar­ti­gen Code — prü­fen:

Auf Aktualität der Software achten

Ein wei­te­rer wich­ti­ger Punkt für eine siche­re Wor­d­Press-Web­site ist die Aktua­li­tät der ein­zel­nen Anwen­dun­gen. Die Release-Zyklen für Wor­d­Press sind ja recht kurz, sodass im Jahr meh­re­re Update anste­hen, das glei­che gilt auch für vie­le Plugins sowie The­mes.

Sobald eine neue Ver­si­on oder Unter­ver­si­on von Wor­d­Press ansteht, soll­test du dar­auf updaten, eben­so dei­ne The­me-Ver­sio­nen und Plugins. Denn in den neu­es­ten Updates wer­den meist Sicher­heits­lü­cken der vor­he­ri­gen Ver­sio­nen besei­tigt. Am bes­ten sicherst du vor jedem gro­ßen Update von Wor­d­Press dei­ne Web­site-Daten sowie ‑Daten­bank, falls doch mal was schief gehen soll­te, kannst du auf eine funk­tio­nie­ren­de Web­site-Ver­si­on zurück­grei­fen.

Neue Updates wer­den im Dash­board von Wor­d­Press immer ange­zeigt, sodass du sie so gut wie nicht über­se­hen kannst.

Regelmäßige Backups durchführen

Regel­mä­ßig gesi­cher­te Sei­ten sind eben­falls ein guter Schutz gegen Hacker-Angrif­fen. Denn soll­te die Sei­te wirk­lich mal durch einen Hacker infi­ziert oder zer­stört wor­den sein, kannst du ein Back­up dei­ner Sei­te ver­wen­den, um sie wie­der her­zu­stel­len. Wie oft du die­se Back­ups durch­führst, hängt auch davon ab, wie oft du neu­en Inhalt ver­öf­fent­lichst. Wer jede Woche Blog­ar­ti­kel ver­fasst, soll­te wenigs­tens ein­mal oder gar zwei­mal in der Woche eine Kom­plett­si­che­rung machen. Ansons­ten sind Zeit­in­ter­val­le von zwei Wochen eben­falls eine Opti­on.

Du kannst die­se Siche­run­gen manu­ell durch­füh­ren, indem du die Daten vom Web­ser­ver mit einem FTP-Cli­ent wie bei­spiels­wei­se File­Zil­la auf dei­nen Rech­ner run­ter­lädst und du anschlie­ßend noch die Daten­bank sicherst (geht meist über PHPMy­Ad­min im Kun­de­n­ac­count dei­nes Pro­vi­ders) oder du nutzt ein Back­up-Plugin wie BackW­Pup. Damit kannst du dei­ne Daten und Daten­bank in unter­schied­li­chen For­ma­ten u. a. per Mail lokal auf dei­nen PC, in dei­ne Drop­box oder dei­nen Goog­le-Cloud-Account sichern. Für aus­schließ­li­che Siche­run­gen in die Drop­box gibt es ein eige­nes Back­up-Plugin für Wor­d­Press — Wor­d­Press Back­up to Drop­box, für aus­schließ­li­che Siche­run­gen der Daten­bank das Plugin WP-DBMa­na­ger.

Admin-Bereich absichern

Ganz wich­tig: Den Admin-Bereich vor Hackern absi­chern, denn es fin­det jeder schnell her­aus, wel­ches CMS du für dei­ne Web­site benutzt. Und bei Wor­d­Press lau­tet der Log­in-Link immer: www​.dei​ne​web​site​.com/​w​p​-​a​d​min oder …/wp-login.php.

Wer die Log­in-URL ver­schlei­ern will, kann dies mit dem Plugin Rena­me wp-login.php machen. Nach der Instal­la­ti­on des Plugins lässt sich die Log­in-Sei­te nach dei­nen eige­nen Vor­stel­lun­gen umbe­nen­nen, bei­spiels­wei­se in www​.dei​ne​web​site​.com/​m​e​i​n​e​n​e​u​e​l​o​g​i​n​s​e​i​t​e​942 oder wie auch immer. Mit die­ser Umbe­nen­nung wird kaum noch jemand auf dei­ne Log­in-Sei­te gelan­gen.

Ein ande­res Plugin — der Goog­le Authen­ti­ca­tor — sichert den Log­in-Bereich so ab, dass neben den übli­chen Zugangs­da­ten noch ein wei­te­rer Zugangs­code im Log­in-For­mu­lar ein­ge­ge­ben wer­den muss, eine soge­nann­te Zwei-Wege-Authen­ti­fi­zie­rung.

Lesen  Plugin-Vorstellung: Den Blog mobil machen mit WPtouch

Wer das Plugin “Goog­le Authen­ti­ca­tor” ver­wen­det, benö­tigt die ent­spre­chen­de App für sein Smart­pho­ne (gibt es für iOS wie für Android), über die immer wie­der ein neu­er Log­in-Code gene­riert wird. Ist zwar etwas auf­wän­dig, da man immer sein Smart­pho­ne zur Hand haben soll­te, wenn man sich in sei­nen Blog ein­log­gen will, aber das Plugin macht das Ein­log­gen doch sehr sicher.

Zwei wei­te­re Plugins, um den Admin-Bereich vor ille­ga­len Log­in-Ver­su­chen abzu­si­chern:

Eine ande­re inter­es­san­te Sicher­heits­maß­nah­me ist die ser­ver­sei­ti­ge Absi­che­rung der wp-login.php, indem man beim Apa­che-Web­ser­ver eine .htac­cess- und .htpasswd-Datei erstellt. Wie das geht, steht in die­sem Bei­trag.

Antispam-Plugins gegen Spamkommentare

Falls du auf dei­nem Blog Kom­men­ta­re zulässt, soll­test du dir ein Antis­pam-Plugin auf dei­nem Blog instal­lie­ren, um die vie­len Spam­kom­men­ta­re, die tag­täg­lich ankom­men, her­aus­zu­fil­tern. Denn über Kom­men­ta­re kann auch schäd­li­cher Code ver­sen­det und in den Blog ein­ge­schleust wer­den.

Ein gutes Antis­pam-Plugin ist bei­spiels­wei­se Antis­pam-Bee. Das stan­dard­mä­ßig mit­ge­lie­fer­te Antis­pam-Plugin Akis­met ver­langt eine Anmel­dung bei dem Plug­in­an­bie­ter, wobei Daten wei­ter­ge­ge­ben wer­den, was ich nicht so gut fin­de.

Sicherheitsplugins verwenden

Um die Sicher­heit zu opti­mie­ren, kannst du noch ande­re prak­ti­sche Plugins ver­wen­den, wie bei­spiels­wei­se das Plugin Bet­ter WP Secu­ri­ty. Damit las­sen sich Sicher­heits­lü­cken in dei­ner Wor­d­Press-Instal­la­ti­on prü­fen, auf­spü­ren und aus­wer­ten. Die Aus­wer­tung zeigt an, was du genau an Schrit­ten umset­zen sollst, um die Lücken zu schlie­ßen. Eine Alter­na­ti­ve zu die­sem Plugin ist das Ulti­ma­te Secu­ri­ty Che­cker Plugin.

Über das Plugin Bul­let­pro­of Secu­ri­ty kann die .htac­cess-Datei im Wor­d­Press-Admin­be­reich geän­dert wer­den, um die Sicher­heits­ein­stel­lun­gen zu opti­mie­ren. Und du kannst die augen­blick­li­che Wor­d­Press-Ver­si­on vor den Augen ande­rer ver­ber­gen.

Wei­te­re wich­ti­ge Sicher­heits­plugins und ‑web­sites sind:

Fazit

Wie die­se Über­sicht zeigt, lässt sich Wor­d­Press doch sehr gut absi­chern. Vor allem die Log­in-Sei­te bzw. der Admin-Bereich soll­te bei der Absi­che­rung an ers­ter Stel­le ste­hen, genau­so die regel­mä­ßi­ge Siche­rung der Web­site-Datei­en und der Daten­bank. Unab­ding­bar sind ein außer­ge­wöhn­li­cher Nut­zer­na­me, den nie­mand ein­se­hen kann und ein siche­res Pass­wort.

Wer die hier auf­ge­führ­ten Schrit­te befolgt, dürf­te in den aller­meis­ten Fäl­len kei­ne Pro­ble­me mit Hacker bekom­men, aber ganz sicher ist man den­noch nicht vor sol­chen Atta­cken. Soll­te man wirk­lich mal Opfer wer­den, soll­te man auf ein aktu­el­les Back­up sei­ner Web­site zurück­grei­fen kön­nen, um sei­nen Inter­net­auf­tritt wie­der zum Lau­fen zu brin­gen.

Es gibt sicher­lich noch wei­te­re Opti­mie­run­gen bezüg­lich der Wor­d­Press-Sicher­heit: Wer inter­es­san­te Mög­lich­kei­ten kennt, soll­te sich nicht scheu­en, sie über das Kom­men­tar­feld mit­zu­tei­len.