Die Sicherheit Ihrer WordPress Umgebung mit ein paar einfachen Tricks verbessern

WordPress gehört heute zu den bekanntesten und beliebtesten Content-Management-Systemen der Welt. Statistiken zufolge sind über 50% alle Webseiten, die mit einer CMS-Software erstellt wurden, auf Basis von WordPress. Daher ist es auch weniger verwunderlich, dass die einstige Blogsoftware heute ein häufiges Ziel für Angriffe oder Hacking geworden ist. Besonders die aktuelle Menge an zusätzlichen Erweiterungen in Form von Templates oder Plugins bieten den Angreifern hier eine große potenzielle Angriffsfläche. Zudem lassen sich dank schneller Internetverbindung und leistungsfähiger Hardware heute viele Sicherheitsmechanismen durch wiederholtes Ausprobieren in kurzer Zeit relativ schnell aushebeln.

Somit ist es nicht nur für große Unternehmen, die WordPress nutzen, wichtig, sich um die WordPress Sicherheit zu bemühen, sondern auch für Betreiber von kleinen Webseiten oder Blogumgebungen. Bei der Suche nach potenziellen Zielen macht es für den Angreifer keinen Unterschied, in wessen Umgebung er einzudringen versucht; Hauptsache er findet etwas, das er verkaufen kann oder er verursacht irreparablen Schaden an der Webseite. WordPress bietet sich besonders für solche Angriffe an, gerade weil es weltweit so häufig genutzt wird. So werden bei einer bekannt gewordenen Sicherheitslücke gleiche Unmengen an Umgebungen angreifbar, was es auch leichter macht, mehrere Umgebungen parallel zu hacken.

Webhosting

Bei DM Solutions wird Datensicherheit groß geschrieben. Daher werden unsere Server rund um die Uhr überwacht und immer auf dem neusten Stand gehalten. Gleichzeitig verhindern mehrere Schutzmechanismen bereits einen großen Teil der aggressiven Zugriffsversuche. Alle diese Bemühungen können jedoch vergebens sein, wenn sich niemand um die Sicherheit der WordPress Umgebung kümmert. Wie sicher sind die stärksten Firewall-Systeme, wenn sich ein Angreifer einfach mit Benutzername und Passwort einloggen kann? Genau aus diesem Grund möchten wir Ihnen gerne in diesem Beitrag einige nützliche Tipps weitergeben, wie Sie Ihre WordPress Sicherheit steigern und Ihre Webseite vor Angriffen schützen können.

Bei den nachfolgenden Vorschlägen handelt es sich nicht um eine perfekte Lösung. Dem Angreifer wird der Zugriff auf die eigene Umgebung lediglich erschwert, sodass er unter Umständen das Interesse verliert. Sehen Sie daher diesen Beitrag einfach als eine Art Ratgeber, wie Sie die Sicherheit Ihrer Umgebung verbessern können.

1) Nur starke Passwörter sind gute Passwörter!

So banal es auch klingen mag, ein starkes Passwort ist immer die Grundlage für eine sichere WordPress Umgebung. Doch was genau macht ein starkes Passwort aus? Woran erkenne ich, dass mein Passwort stark ist?

Wir haben Ihnen hier die wichtigsten Merkmale eines starken Passwortes einmal zusammengefasst. Wenn Ihr Passwort alle Merkmale erfüllt, verwenden Sie bereits ein starkes Passwort.

  • Ein starkes Passwort besteht aus vielen verschiedenen Groß- und Kleinbuchstaben, sowie aus Zahlen und Symbolen. Dies vergrößert die Menge an möglichen Zeichen, womit die Wahrscheinlichkeit, das Passwort zu knacken, verringert wird. Vergleichen wir einmal zwei potenzielle Passwörter:

    • besonders beliebt: das Geburtsdatum (Beispiel: 20.05.1975, sprich: 20051975)
    • ein kryptisches achtstelliges Passwort (Beispiel: rbP!m3W?)

    Die Wahrscheinlichkeit, ein bestimmtes achtstelliges Passwort zu erhalten ist:

    ( 1 / ( Summe aller möglicher Zeichen ) ) ⁸

    Bei einem Geburtsdatum werden nur Zahlen verwendet. So ergibt sich folgende Wahrscheinlichkeit:

    ( 1 / 10 ) ⁸ = 0,000001 %

    Bei einem kryptischen Passwort, das aus Groß-/Kleinbuchstaben, Zahlen und 10 vorher definierten Symbolen besteht, ergibt sich folgende Wahrscheinlichkeit:

    ( 1 / ( 26 + 26 + 10 + 10 ) ) ⁸ = ( 1 / 72 ) ⁸ = 1 / 722204136308736 ~ 0,0000000000001384650059 %

    Vergleicht man nun die beiden Wahrscheinlichkeiten, so fällt einem direkt auf, dass ein bestimmte kryptische Zeichenkette um ein Vielfaches schwieriger zu erhalten ist. Daraus kann man ableiten, dass ein solches Passwort auch schwieriger zu knacken ist. Weiterhin lässt sich die Sicherheit noch erhöhen, wenn man eine lange Zeichenkette verwendet, da hier noch weitaus mehr mögliche Kombinationen entstehen.

    Daher: Verwenden Sie stets ein sehr langes kryptisches Passwort, dass aus Groß- und Kleinbuchstaben, sowie aus Zahlen und Symbolen besteht.

  • Für jeden passwortgeschützten Bereich sollten Sie ein eigenes Passwort verwenden. Wenn Sie Ihr Passwort auf mehreren Umgebungen verwenden, besteht die Möglichkeit, dass es an einer Stelle ausgelesen, gestohlen oder durch aggressives Einloggen herausgefunden werden kann. Danach ist es kein Problem, die anderen Bereiche zu betreten. Achten Sie daher darauf, dass jedes genutzte Passwort einzigartig ist und von Ihnen für keinen anderen Zugang genutzt wird.
  • Vermeiden Sie Namen oder andere reale Wörter. Solche Passwörter sind zwar leichter zu merken. Allerdings nutzen Angreifer diese Tatsache gerne aus, indem bei der Passwortsuche auf Wörterbücher und Namenslisten zurückgegriffen wird. Passwörter aus reellen Begriffen lassen sich somit leichter herausfinden. Mit einer Zeichenkette ohne Zusammenhang wird es schwieriger, das Passwort zu entschlüsseln.
  • Achten Sie ebenfalls darauf, dass alle mit dem Webspace verbundenen Zugänge, wie FTP, SSH oder die Serververwaltungssoftware jeweils mit einem separaten Passwort geschützt sind. Dazu gehört auch das E-Mail-Postfach, das Sie mit WordPress verbunden haben. Damit können Sie vermeiden, dass ein Angreifer uneingeschränkten Zugriff auf Ihren Speicherplatz erhält, wenn er beispielsweise Ihr E-Mail-Passwort herausgefunden hat.
WordPress starkes Passwort

Sofern Sie diese Punkte bei der Passwort-Nutzung beachten, haben Sie bereits viel für die Sicherheit Ihrer WordPress Umgebung getan. Sollten Sie Schwierigkeiten beim Erstellen eines starken Passwortes haben, finden Sie im Internet viele nützliche Tools, die Ihnen Passwörter zufällig generieren können.

2) Aktualisierungen sorgen für weniger Sicherheitslücken!

Sicherheitslücken im Code der Webseite, sei es in der Kernsoftware oder einer genutzten Erweiterung, erleichtern Angreifern, Ihrer Webseite zu infiltrieren und Schaden anzurichten. Diese schleichen sich gerne in neuen Versionen mit ein, werden aber zeitnah von den Entwicklern entdeckt und mit einen Sicherheitsupdate geschlossen. Spätestens zu diesem Zeitpunkt wird die Sicherheitslücke jedoch öffentlich bekannt, worauf Angreifer auch genau erkennen, wie man diese Schwachstelle nutzen kann.

Ein Grund, warum Updates für die WordPress Sicherheit so wichtig sind, ist die Tatsache, dass die Software Open-Source ist. Jeder Benutzer kann jederzeit in den Quellcode schauen und potenzielle Sicherheitslücken finden. Aktualisierungen schließen regelmäßig vorhandene Schwachstellen. Damit bleibt Angreifern nur wenig Zeit, eine nutzbare Sicherheitslücke zu finden und auszunutzen, bevor diese im nächsten Update geschlossen wird. Wenn Sie also Ihre Umgebung und alle genutzten Erweiterungen nicht regelmäßig aktualisieren, laden Sie indirekt jeden ein, sich über diese Schwachstelle Zugriff zu Ihrem WordPress zu verschaffen.

WordPress hat bereits für die Core-Software ein automatisches Aktualisieren eingerichtet. Sobald ein neues Update für WordPress selbst veröffentlicht wird, wird dieses direkt und automatisch auch in Ihrer Umgebung installiert. Sie bekommen daraufhin eine Benachrichtigung per E-Mail, dass eine neue Version installiert wurde. Für Erweiterungen, wie Templates und Plugins, gibt es diese Funktion allerdings nicht. Hier ist ein regelmäßiges Kontrollieren unabdingbar. Als Hilfsmittel gibt es einige Erweiterungen und Tools, die Sie benachrichtigen, wenn ein Update für die von Ihnen genutzten Plugins in WordPress vorliegt. Diese Dienste aktualisieren diese jedoch nicht, das muss weiterhin manuell von Ihnen durchgeführt werden.

DM Solutions kennt die Schwierigkeiten, die so manches Update mit sich bringt. Sollten Sie daher einmal Probleme haben, eine neue Version einzuspielen, können Sie sich gerne jederzeit damit an uns wenden. Wir helfen Ihnen bei allen Fragen gerne weiter. Für alle Betreiber, die sich jedoch keine Sorgen um Ihre WordPress Umgebung machen möchten, oder ihnen schlichtweg einfach die Zeit fehlt, die Aktualisierungen selbst einzuspielen, bieten wir Ihnen unseren kostengünstigen WordPress Update Complete Service an. Dabei kümmern wir uns proaktiv um alle anfallenden Updates auf Ihrer Webseite. Weitere Informationen zu unserem WordPress Update Complete Service finden Sie jederzeit auf unserer Webseite.

3) Den richtigen Speicherplatz verwenden!

Ein starker Webspace ist die ideale Grundlage für eine erfolgreiche Webseite. Daher ist es wichtig, sich gründlich auf dem Webhosting-Markt umzuschauen und den besten Anbieter heraus zu suchen. Lassen Sie sich hierbei keinesfalls allein vom Preis blenden. Gute Qualität darf ruhig auch etwas mehr kosten.

Nachfolgend haben wir Ihnen einmal einige Punkte aufgelistet, auf die Sie bei der Suche des passenden Webhosters achten sollten:

  • Speicherplatz: Je nach Umgebung ist dies natürlich die erste Punkt, auf den Sie achten sollten. Ist der Webspace, den Sie buchen möchten, ausreichend oder müssen Sie bereits in naher Zukunft mehr Speicherplatz dazu buchen? Für die Leistung von WordPress selbst ist die Menge an verfügbarem Speicherplatz eher zweitrangig, aber nachhaltig ist es von Vorteil, sich darüber Gedanken zu machen.
  • Serverleistung: Viele Webhosting Angebote werben hauptsächlich mit der großen Menge der Speicherplatzes. Dabei spielen jedoch die vom Server zur Verfügung gestellten Performance-Werte eine größere Rolle. Hierbei wollten Sie vor allem auf die Werte "memory_limit" und "max_execution_time" achten. Zwar benötigt WordPress keine riesigen Serverleistungen, aber es macht sich bemerkbar, wie viel Leistung zur Verfügung steht.
  • Kundenanzahl pro Server: Oft und gerne wundert man sich über die günstigen Webhosting Tarife mancher Anbieter. Nach Abschluss stellt man aber fest, dass dieser zustande kommt, in dem viele Kunden auf einen Server gepackt werden. Dabei leidet gerne die Leistung des Einzelnen. Informieren Sie sich daher vorab, wie viele Kunden der Webhoster durchschnittlich auf einem Server betreut.
  • Serveradministration: Zahlen und Begriffe, die hohe Performance versprechen, sind nicht alles. Informieren Sie sich direkt, wie die Server administriert werden und welche Dienste Ihnen als Kunde zu Verfügung stehen. Auch Umgebungen, wie WordPress, lassen sich nicht betreiben, wenn die benötigen Dienste nicht vorhanden oder in einer veralteten Version vorliegen. Außerdem sollten Sie darauf achten, dass der Anbieter sich um Sicherheitsupdates für die Serverdienste kümmert.
  • Erfahrungsberichte: Schauen Sie sich im Internet um, ob es Bewertungen oder Erfahrungsberichte zu diesem Anbieter gibt. Besonders in Vergleichsportalen finden Sie entsprechende Informationen. Damit lässt sich besser abschätzen, welcher Webhoster besser geeignet zu sein scheint. Achten Sie allerdings nicht nur auf positive Berichte. Um sich ein Gesamtbild machen zu können, ist es ebenfalls wichtig, die negativen Einträge zu berücksichtigen.

Theoretisch könnte man noch einige weitere Merkmale aufführen, allerdings wird der Grundgedanke hier bereits klar: Das richtige Angebot ist schwer zu finden, da eine Menge Faktoren einbezogen werden müssen. Gerade die Performance kann nur komplett genutzt werden, wenn der Server optimal administriert wird. Daher ist es nicht allein wichtig, dass der Kunde sich um den Schutz seiner Umgebung kümmert, sondern dass der Webhoster sich ebenfalls um die Sicherheit seines Servers bemüht. Wenn beides perfekt ineinander greift, erhalten beide Parteien die optimalen Schutz gegen Angriffe von außen.

4) Backups helfen, größeren Schaden zu verhindern!

Die komplette Sicherung Ihrer Umgebung wirkt sich nur indirekt auf die WordPress Sicherheit aus. Ein Backup hilft Ihnen, wenn Ihre Webseite bereits angegriffen wurde. Damit stellen Sie einen Zustand wieder her, an dem die WordPress Umgebung noch sicher war und Sie können direkt nach Sicherheitslücken suchen und sich darum kümmern.

Solche Maßnahmen sind besonders nützlich, wenn Sie eine Shared Hosting Tarif verwenden. Auch wenn Sie sich selbst vorbildlich bemühen, Ihre Umgebung gegen Angriffe zu schützen, kann Ihnen niemand garantierten, dass die anderen Kunden, mit den Sie sich den Server teilen, dies ebenfalls machen.

Eine Rücksicherung von WordPress ist daher kein aktives Mittel, Angreifer von Ihrer Webseite fern zu halten. Es ist eine Versicherung, die die Erreichbarkeit Ihrer Webseite massiv steigert, da sie bei einem Ausfall in kurzer Zeit wieder hergestellt werden kann.

Wir empfehlen unseren Kunden, die WordPress nutzen, hierfür das Plugin „Akeeba Backup“ zu verwenden. Das Plugin ermöglicht Ihnen, schnell und einfach ein Backup Ihrer gesamten WordPress Umgebung zu erstellen. Dabei werden alle Beiträge, Seiten, Bilder und sonstige Daten zusammen mit der Datenbank in ein Paket zusammengefügt, das problemlos über die Plugin-Oberfläche oder per FTP heruntergeladen werden kann. Über das entsprechende Kickstart-Tool lässt sich das Backup dann jederzeit wieder auf dem Webspace entpacken und Ihre Webseite wiederherstellen. Weitere Informationen zur Akeeba Backup finden Sie auf der Seite der Entwickler unter: https://www.akeeba.com/

WordPress Sicherheit Akeeba

5) Nutzerrechte Ihrer Webseite – wer darf was?

Je größer Ihrer Webseite wird, desto schwieriger wird es für eine einzelne Person, diese zu administrieren. Besonders auf Nachrichtenseiten oder Blogs, die von einer Gruppe verwaltet werden, werden mehrere Zugänge in das System eingerichtet. Hier sollten Sie immer darauf achten, welche Rechte ein Benutzer auf der Webseite besitzt. Ein Autor von Beiträgen in einem Blog muss beispielsweise keinen Zugriff auf die Benutzerverwaltung erhalten.

Die verhindert insbesondere, dass unbeabsichtigt Änderungen vorgenommen werden können. Wichtig ist dabei, auch hier auf ein starkes Passwort zu achten und jederzeit zu wissen, wer welchen Zugang nutzt. Sollte es einmal zu einem Angriff auf einen bestimmten Nutzer kommen, lässt sich dennoch jederzeit mit dem Administrator-Zugang dieser blockieren oder gar löschen, sodass der Angreifer hier in eine Sackgasse läuft.

WordPress Benutzer Übersicht

Zudem ist es sinnvoll, so wenig Benutzer wie möglich in der Umgebung anzulegen. Jeder Zugang stellt eine potenzielle Angriffsfläche für Angreifer da. Gerade hier sind kryptische Passwörter besonders wichtig, um ein Eindringen von dieser Stelle aus zu verhindern.

6) Erweiterungen und Zusatztools können die Sicherheit verbessern!

Wer jedoch auf Nummer sicher gehen möchte, kann gerne, entsprechend der gewünschten Anforderungen, noch zusätzliche Software verwenden. Hier sollten Sie sich auf jeden Fall ausgiebig mit den Tools auseinander setzen, bevor Sie diese im aktiven Betrieb nutzen, denn die Auswahl ist auch entsprechend groß. Das bedeutet jedoch nicht, dass Sie nun jedes verfügbare Sicherheitstool verwenden sollten. Aus diesem Grund möchten wir Ihnen gerne einige Bereiche aufzeigen, in den der Einsatz von zusätzlichen Diensten die WordPress Sicherheit steigern kann.

Der Login Bereich

WordPress ist in der Nutzung sehr einfach gehalten. Zugriff erhält man, wenn ein vorhandenes korrektes Paar an Zugangsdaten, bestehend aus einem Benutzernamen und einem Passwort, eingegeben wird. Mit kryptischen Zugangsdaten wird hier bereits ein Großteil der Sicherheit gewährleistet. Dies schützt die Umgebung jedoch nicht vor sogenannten „Brute-Force-Angriffen“. Die Brute-Force-Methode ist eine Lösungsmethode, die auf dem Ausprobieren von möglichen Ergebnissen beruht. Dies bedeutet, es wird wiederholt ein Wert eingesetzt und überprüft, ob er korrekt ist, bis man ein richtiges Ergebnis findet. Auf den WordPress Zugang bezogen heißt das, dass der Angreifer, in der Regel durch ein Programm, solange verschieden Zeichenketten als Passwort ausprobiert, bis er das Richtige gefunden hat. Erleichtert wird das Ganze, wenn der Benutzer ‚admin‘ verwendet wird. Früher wurde bei der Installation direkt ein solcher Admin-Benutzer erstellt und in den meisten Fällen von den WordPress Betreibern auch weiterverwendet. Das ist generell kein Problem, erleichtert Angreifern jedoch die Suche nach dem Benutzernamen.

Eine Möglichkeit, sich vor solchen Brute-Force-Angriffen zu schützen ist es, andere Benutzernamen zu sperren, sollten diese sich mehrfach mit falschen Zugangsdaten zu anmelden versuchen. Dies deutet meist auf ein versuchtes Eindringen hin. Durch das Sperren wird dem Angreifer der Zugang über diesen Benutzer verwehrt, sodass er sich einen neuen Weg suchen muss.

Eine weitere Möglichkeit ist es, sofern Sie nicht den Benutzer „admin“ verwenden, jeden versuchten Zugriff auf diesen Zugang direkt zu blockieren. Hierbei bietet sich nicht nur an, diesen nicht zu verwenden und, falls vorhanden, direkt zu löschen. Sie können auch über entsprechende Plugins direkt jeden Besucher, der sich über diesen Benutzer anmelden möchte, über die IP-Adresse sperren lassen. Dadurch kann er nicht mehr Ihre Webseite aufrufen.

Eine heute weit verbreitete Technik, einen passwortgeschützten Bereich zusätzlich zu schützen, ist die sogenannte Zwei-Faktor-Authentifizierung. Dabei muss der Nutzer mithilfe von zwei voneinander unabhängigen Komponenten seine Identität nachweisen. Das bekannteste Beispiel aus dem Alltag ist die Nutzung eines Geldautomaten. Sie können nur mit Ihrer Bankkarte UND der passenden Pin eine Transaktion durchführen. Diese Methode findet in der Informationstechnik großen Anklang. Hierbei gibt der Nutzer nicht nur die zur Verfügung gestellten Zugangsdaten ein, sondern muss seine Identität noch durch einen einmaligen dynamischen Code bestätigen. Dieser wird heute entweder durch einen sogenannten Token oder direkt auf ein Mobilgerät generiert und nach der Benutzung direkt gelöscht.

Plugin- und Templateverwaltung

Wie bereits weiter oben beschrieben, ist ein wichtiger Bestandteil der Sicherheit die Aktualität der genutzten Erweiterungen und Designs. Hier befindet sich auch jede Menge Quellcode, der von Angreifern genutzt werden kann, um sich Zugriff auf die Webseite zu verschaffen. Daher sollten Sie, sobald ein neues Update vorliegt, dieses auch umgehend installieren. Um sich diese Routine zu vereinfachen, gibt es verschiedene Plugins, die Sie per E-Mail benachrichtigen, sobald ein Update für eine genutzte Erweiterung vorliegt. Solche Tools sind sehr hilfreich, denn ein regelmäßiges Kontrollieren kann sehr zeitaufwendig sein. Das Aktualisieren selbst ist dann meist der geringste Zeitaufwand.

WordPress Aktualisierungen

Besonders bei Templates sollten Sie zudem darauf achten, dass Sie keine direkten Anpassungen am Template vornehmen. Wenn eine neue Version vorliegt, werden beim Aktualisieren alle Änderungen überschrieben. Wir empfehlen Ihnen daher, ein sogenanntes Child-Template zu erstellen. Hier können Sie problemlos alle gewünschten Änderungen eintragen, ohne dass diese bei einem Update wieder rückgängig gemacht werden. Beachten Sie bitte, dass Sie hierfür über genug Basiswissen in den Sprachen CSS und PHP verfügen.

Das Wichtigste – kurz zusammengefasst

Wie wir sehen, gehört es zu einer erfolgreichen WordPress Webseite nicht nur dazu, ansprechende Inhalte zu veröffentlichen. Auch die WordPress Sicherheit spielt hier eine große Rolle. Daher möchten wir Ihnen hier noch einmal kurz erläutern, was Sie beachten müssen, um Ihrer Webseite zu schützen:

  • Für jeden Benutzer sollten Sie ein starkes kryptisches und einmalig genutztes Passwort aus Buchstaben, Zahlen und Symbolen verwenden.
  • Achten Sie immer darauf, Ihre Erweiterungen stets aktuell zu halten.
  • Sie schützen Ihre Umgebung, Ihr Provider schützt den Server.
  • Regelmäßiges Sichern der gesamten Umgebung stellt eine gute Versicherung da, sich vor größerem Schaden zu bewahren.
  • Behalten Sie immer die Kontrolle darüber, welche Personen Zugriff auf Ihre Webseite besitzen.
  • Spezielle Erweiterungen können die eigene WordPress Sicherheit verbessern. Benutzen Sie jedoch nur Plugins, die Sie auch schützen können.

Sofern Sie diese Punkte beachten, ist Ihre WordPress Umgebung bestens gegen Angreifer gerüstet.

Sonntag, 18 Oktober 2015 Posted in Allgemeines FAQ
  • Sie haben Fragen?
    Tel.: 06181 - 502 30 10
    E-Mail: Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein!

K

o

n

t

a

k

t