Eins der meist genutzten Content-Managemend-Systeme, kurz CMS, ist WordPress. Das macht es aber auch für Angreifer (Hacker) interessant, da bei einer gefundenen Sicherheitslücke in der jeweiligen WordPress Version gleich Millionen von Websites betroffen sind. Für genau diese Lücke in der Version werden dann sehr zeitnah spezielle Scripte (Schad-Code) geschrieben, die das Internet nach exakt diesen WordPress Versionen durchsuchen und sie infizieren bzw. kapern. Hat ein Angreifer einmal die Kontrolle übernommen, ist es für ihn ein leichtes, Daten zu manipulieren.
Sie müssen sich im Klaren sein, warum es so außerordentlich wichtig ist, über die Sicherheit der eigenen Webseite nachzudenken. Angriffsversuche erleben wir in der Agentur Tag für Tag. Einmal besser, das andere mal dilettantischer. Aber es ist erschreckend, wie oft versucht wird, eine Webseite zu übernehmen. Absolut nicht auszudenken, was dann dieser Jemand machen könnte? In jedem Fall drohen neben Reputations- auch erhebliche Vermögensschäden wegen Schadenersatzansprüche und Abmahnungen.
In diesem Artikel werde ich Ihnen aufzeigen, wie Sie mit einfachen Mitteln ihre Website vor Angreifern schützen und eine Infektion aufgrund von Schadsoftware vermeiden können. Mit ein paar Tricks und Kniffen ist es nicht schwer, Ihre WordPress Site sicher(er) zu machen.
Angreifer versuchen aus verschiedenen Gründen, Kontrolle über Ihre Website zu erlangen. Die wichtigsten möchten ich hier nennen:
Versand von Spam E-Mails
Nachdem sich der Angreifer die Kontrolle verschafft hat, kann er Spam Mails in Ihrem Namen versenden. Oft mit eindeutigen Produktempfehlungen aus der Pharmazie. Sie als Seitenbetreiber bekommen meist erst etwas mit, wenn es schon zu spät ist und der Webhoster die gesamte Domain wegen Spammißbrauch gesperrt hat.
Platzierung von Viren / Schadsoftware
Vermeiden Sie, dass ihre Website zur Virenschleuder wird! Hierbei platziert der Angreifer ausführenden Schad-Code als Script innerhalb Ihrer Website. Falls jetzt ein Besucher Ihre Webseite besucht, wird der Schadcode über den Webbrowser auf den PC des Besuchers heruntergeladen.
Einsatz von Phishing Seiten
Hierbei werden vom Angreifer statische HTML-Seiten auf Ihrer Domain erstellt, die über Spam-Mails beworben werden. Diese Seiten sind oftmals exakte Kopien von Bankenseiten, Amazon-Konten oder ebay-Accounts. Sie gaukeln dem Besucher leicht eine andere Identität vor und dienen einzig und allein zum Erlangen der Bank-, Zugangs, Adress- und Telefondaten.
Die Standard-Sicherheitseinstellungen von WordPress sind in zahlreichen Fällen absolut nicht ausreichend und löchrig wie ein Schweizer Käse. Warum es sich lohnt, etwas Zeit in eine verbesserte Sicherheit der WordPress-Installation zu investieren, habe ich oben aufgezeigt. Um unbefugten Zugriff zu vermeiden, sollte man folgende Tipps berücksichtigen:
Username sowie Passwort
Legen Sie Wert auf Ihren Usernamen. Früher hatte WordPress den Standardbenutzernamen: admin. Deshalb sollten Sie ihn nicht admin, administrator oder user nennen. Und jetzt zum Passwort. Kaum ist etwas wichtiger, als ein sicheres Passwort zu wählen. An dieser Stelle sei auf einen kleinen Trick hingewiesen. Denken Sie sich einfach einen leicht zu merkenden Satz aus. Er könnte zum Beispiel lauten:
Mein Auto ist ein Golf und ich lebe in 49809 Lingen
Jetzt nehmen Sie von jedem Wort den Anfangsbuchstaben, ersetzen und durch & und nehmen noch die Postleitzahl. In diesem Fall: MAieG&ili49809L. Wenn Sie diesem Satz jetzt noch mit einem Sonderzeichen wie $ abschließen, sind Sie auf der sicheren Seite.
M A i e G & i l i 4 9 8 0 9 L $
Wenn Sie das neue Passwort ein paar einmal eingetippt haben, bleibt dieses Tippmuster im Gedächtnis und Sie haben ein 16-stelliges Passwort. Testen Sie es aus.
Aktualität der Software
Die einfachste und auch wichtige Möglichkeit, Sicherheitslücken zu schließen, besteht in regelmäßigen Updates des WordPress-Systems wie auch der Plugins sowie der verwendeten Themes. WordPress aktualisiert sich von selbst. Die Plugins und Themes leider nicht. Diese sollten immer manuell aktualisiert werden, falls der Plugin- oder Theme-Hersteller ein Update zur Verfügung stellt.
Um möglichen Angreifern die Hintertür zu versperren, ist es wichtig, die ganze WordPress-Installation stets aktuell zu halten.
Ein Angreifer wird stets versuchen, sich Zugang zum Administrator Bereich zu verschaffen. Der Admin-Bereich einer WordPress-Installation liegt standardmäßig im wpadmin-Unterverzeichnis. Genau hier versucht die überwiegende Zahl der Angreifer, anzusetzen.
Login-Link verändern
Üblicherweise loggt man sich über die Adresse http://www.ihre-domain.de/wp-login.php ein. Diesen Link ändern wir ab, so dass dieser dann zum Beispiel http://www.ihre-domain.de/kaukasus83.php lautet.
Öffnungszeiten des Adminpanels
Als nächstes erlauben wir den Zugriff zum Admin-Panel nur zu bestimmten Zeiten. Es ergibt Sinn, den Zugriff zum Admin-Panel von 19 Uhr bis 8 Uhr generell zu sperren, falls Sie in dieser Zeit nicht an der Website arbeiten müssen.
Zugriff nur aus Deutschland
Vorschlag: Wenn Sie nur aus Deutschland an Ihrer Website arbeiten, können Sie den Admin-Bereich auch für alle anderen Länder sperren. Dazu schließen wir ganze Länder wie China, Ukraine, Peru usw. per IP-Range aus. Das ist vorteilhaft, da eine Vielzahl Angriffe aus dem Ausland geführt werden.
Versionsnummer verschleiern
Wie ich eingangs bereits erwähnte, werden Sicherheitslücken anhand der Versionsnummer herausgefunden sowie gescannt. Die Versionsnummer interessiert aber im Normalfall keinen Kunden und deshalb entfernen wir die Versionsnummer im Headbereich des HTML-Quelltextes.
Die Datenbank
Sehr häufig infizieren Angreifer nicht nur den Programmcode der Dateien, sondern auch die Datenbank Ihrer WordPress Installation. Diese nach einer Infektion wieder zu säubern, ist sehr mühsam und zeitaufwendig. Daher legen Sie regelmäßige Backups ihrer Datenbank an. Auf diese Weise sind sie in der Lage, ihre Datenbank, wenn auch mit einem älteren Datenbankbestand, schnell wiederherzustellen und anschließend die Sicherheitslücke zu schließen.
Um Hackern ihre Arbeit zu erschweren, kann man bereits bei der Installation von WordPress einiges berücksichtigen. Bereits bei der Installationsroutine werden Sie nach der Datenbank-Präfix für die Datenbanktabellen gefragt. Standardmäßig verwendet WordPress als Datenbankpräfix wp_. Verändern Sie den Standard Präfix wp_ in einen anderen Präfix. Auch sollte die WordPress Datenbank mit einem mindestens 12 Zeichen langen Passwort geschützt werden. Wie Sie ein sicheres Passwort erstellen, habe ich schon oben beschrieben.
Kostenlose Plugins
Um WordPress sicherer zu machen, gibt es eine ganze Reihe von kostenlosen Plugins. Einige davon möchte ich Ihnen an dieser Stelle kurz vorstellen. Aber beachten Sie unbedingt - um die Angriffsfläche möglichst gering zu halten, installieren Sie nur die Plugins, die Sie auch wirklich brauchen.
Da WordPress standardmäßig eine Vielzahl von Login-Versuchen zulässt, beschränken wir diese mit dem kostenlosen Plugin Limit Login Attempts.
IThemes Security, vielen noch unter Better WP Security bekannt, ist ein mächtiges Sicherheitswerkzeug in deutscher Sprache. Über 700.000 aktive Installationen und mehr als 3200 Bewertungen mit 5 Sternen (Durchschnitt 4,7) sprechen für sich.
Ein sehr beliebtes Plugin ist Wordfence Security. Dieses Plugin gibt es in einer Free- und einer kostenpflichtigen Premium Version. Dieses Plugin ist recht umfangreich, allerdings in seiner Free-Version aber auch begrenzt.
BulletProof Security verfolgt einen ähnlichen Ansatz wie IThemes Security. Dieses Plugin ist einfach einzurichten. Alle wichtigen Einstellungen sind mit wenigen Klicks erledigt. Weiterhin können Sie im Überblick schnell den Sicherheitsstatus sehen. Was noch nicht sicher ist, wird rot, was noch Feinjustierung benötigt gelb und was erledigt ist grün angezeigt. Von dem her sehr leicht und schnell einzurichten.
.htaccess
Weitere Schritte wären die Absicherung über die .htaccess-Datei oder für die ganz harten Fälle, die Datei wp-login.php im Hauptverzeichnis auf dem Server temporär umzubenennen in z. Bsp. wp-login-h%)rt59g.ius§/adh.php. Dieses setzt aber vertieftes Wissen sowie einen FTP-Zugang voraus. Anschließend geben Sie den Dateien .htaccess und wp-config.ph die Permission 444. Somit habe die beiden Dateien einen Schreibschutz und können nicht überschrieben werden.
Regelmäßige Backups
Es kann immer einmal etwas schief gehen. Es müssen nicht unbedingt böswillige Angriffe sein. Trotz aller Sicherheitsmaßnahmen sollten Sie stets auf den schlimmsten Fall vorbereitet sein. Regelmäßig erstellte BackUps sichern ihre Daten. Ein Backup zu erstellen ist sehr wenig Aufwand im Vergleich zu der Zeit, die Sie für den Neuaufbau Ihres Internetauftritts brauchen würden. Standardmäßig bietet Ihnen WordPress dafür eine Backup-Funktion unter dem Menüpunkt >>Werkzeuge >>Daten exportieren können Sie wählen, ob Sie alle oder bestimmte Inhalte Ihrer WordPress-Seiten sichern wollen.
FTP-Sicherungen
Darüber hinaus empfiehlt es sich, die Daten auf dem FTP-Server regelmäßig zu sichern. Dieses gestaltet sich relativ simpel. Automatische Backups sollten nachts durchgeführt werden, um die Website-Ladezeit für etwaige Besucher nicht negativ zu beeinflussen.
Fazit
Wenn Sie die oben aufgeführten Maßnahmen berücksichtigen, haben Sie nun eine recht hohe Sicherheitsschwelle erreicht. Ein Eindringen in die WordPress-Webseite ist nicht ganz auszuschließen, wird aber nur noch wirklichen Könnern sowie Spezialisten gelingen. Beauftragen Sie im Zweifelsfalle einfach einen Experten mit der Analyse, falls Sie sich nicht sicher sind, ob Ihre Seite gehackt wurde.
Auch auf die Sicherheit am lokalen PC ist zu achten. Halten Sie ihr Betriebssystem und ihre Software aktuell. Führen Sie wichtige Sicherheitsupdates zeitnah aus. Auch sollte eine aktuelle Antiviren-Software installiert sein. Die WordPress Sicherheit nützt überhaupt nichts, falls am heimischen PC per Trojaner das FTP-Passwort ausgelesen wird.
