So schützen Sie Ihre Webseite vor ungewolltem Besuch
Wordpress ist das beliebteste und am weitesten verbreitete Content Management System dieser Tage. Begonnen als reines Blogsystem hat sich der Platzhirsch mittlerweile zu einem vollständigen CMS gemausert, das mit den richtigen Plugins sogar zu einem Shopsystem werden kann. Tausende von Entwicklern weltweit tragen zu dem freien System bei, sodass der Anwender aus einer Unzahl an Plugins, Erweiterungen und Templates wählen kann, um so ohne großen Aufwand eine professionell aussehende Homepage zu gestalten.
Doch der Ruhm birgt auch Gefahren, denn bedingt durch seine weite Verbreitung wird Wordpress immer wieder zum Ziel von Hackerangriffen. Mehr als ein Drittel aller Wordpress-Nutzer geben an, dass Ihre Installation in den letzten Jahren ungebetenen Besuch hatte. Und dieser Besuch muss nicht immer harmlos ablaufen, schon gar nicht, wenn es um Identitätsdiebstahl oder den Klau sensibler Daten geht.
Doch Schutz ist möglich. Sie müssen sich nur darum kümmern. Hierzu geben wir Ihnen zehn leicht umzusetzende Tipps mit auf den Weg, mit denen Sie für Ihre Wordpress Installation die maximale Sicherheit erreichen.
1) Halten Sie Ihre Installation auf dem neuesten Stand!
Bei Wordpress handelt es sich um quelloffene Software. Das hat zur Folge, dass Sicherheitslücken schnell bekannt werden und so zeitnah gestopft werden können. Und natürlich sind diese Sicherheitslücken auch potenziellen Angreifern bekannt. So wundert es nicht, dass über 50 Prozent der kompromittierten Wordpress Installationen veraltet waren.
Um den Wettlauf gegen kriminelle Hacker zu gewinnen, ist es unerlässlich, dass Sie jedes Wordpress-Update zeitnah einspielen. Wordpress unterscheidet dabei zwischen großen und kleinen Updates. Während die großen Aktualisierungen stets neue Funktionalitäten mit sich bringen, stehen bei den Zwischenversionen Fehler und Sicherheitslücken im Vordergrund. Deshalb ist es wichtig, keine Zwischenversion auszulassen.
2) Vermeiden Sie offensichtliche Anmeldedaten!
Der Standardbenutzer bei Wordpress heißt Admin, hat die Nummer eins und genießt umfängliche Rechte. Kommt dann noch ein leicht zu erratendes Passwort, wie etwa "123456" oder gar "Passwort" hinzu, haben Einbrecher leichtes Spiel. Vermeiden Sie deshalb den Benutzernamen Admin, indem Sie ein neues Administratorkonto mit einem anderen Namen anlegen. Das Standardkonto können Sie danach getrost löschen. Dieses neue Adminkonto benutzen sie in der folge wirklich nur für administrative Tätigkeiten, wie zum Beispiel dem Einspielen von Aktualisierungen oder Plugins.
Für die alltägliche Arbeit legen Sie ein weiteres Konto an, das in seinen Rechten stark eingeschränkt ist. Wordpress erlaubt hier mittlerweile eine sehr feine Rechteverwaltung.
3) Begrenzen sie die Login-Versuche!
Üblicherweise erfolgt ein Webseitenangriff mit der Brute-Force-Methode. Hierzu erfolgen innerhalb kürzester Zeit zahlreiche Anmeldeversuche mit unterschiedlichen Passwörtern und Anmeldenamen. Diese Methode setzt rein auf die statistische Wahrscheinlichkeit, bei mehreren Tausend Versuchen, die richtigen Zugangsdaten zu erraten und so Zugriff auf die Wordpress-Installation zu erhalten.
Sie können dem wirkungsvoll entgegentreten, indem Sie ein Plugin installieren, das die Zahl der Anmeldeversuche auf zwei oder drei beschränkt.
4) Haben Sie ein Auge auf Themes und Plugins!
Mehr als die Hälfte aller Wordpress Hacks haben Sicherheitslücken in Plugins zum Ziel. Installieren sie deshalb nur Plugins, die Ihnen vertrauenswürdig erscheinen, und kümmern Sie sich auch hier um regelmäßige Updates. Plugins, die von ihren Entwicklern nicht mehr gepflegt werden, ersetzen Sie am Besten durch eine Alternative mit gleicher Funktionalität.
5) Wählen Sie Ihren Internet-Hoster mit Bedacht!
Einige Internetdienstleister locken mit günstigen Tarifen für Hosting und andere Services rund um Ihre Webseite. Das mag wirtschaftlich natürlich verlockend sein, allerdings sollten Sie jedes Hostingangebot ausgiebig überprüfen. Setzt der Hoster aktuelle Versionen von MySQL und PHP ein? Gibt es eine gut konfigurierbare Firewall? Bietet der Dienstleister ein Einbruchserkennungssystem an? Führt der Hoster regelmäßige Updates durch, falls er eine vorinstallierte Wordpressinstanz anbietet?
Klären Sie diese Fragen vor dem Hintergrund der Einbruchssicherheit und entscheiden Sie sich im Zweifel für das sicherere, aber mitunter etwas teurere Angebot.
6) Kümmern Sie sich um eine gute Anti-Viren-Software!
Nicht immer gelangen die Angreifer direkt über den Server auf Ihre Wordpress Installation. Auch der Rechner, mit dem Sie Ihre Seite verwalten, bietet Sicherheitslücken und Angriffsmöglichkeiten. Sorgen Sie deshalb für einen zuverlässigen Virenschutz.
7) Benutzen Sie stets eine Two Step Autorisierung!
Ein zweistufiger Login-Mechanismus stellt einen wirksamen Schutz gegen Brute-Force-Angriffe dar, weil nach jedem Loginversuch ein Zugangscode an eine hinterlegte Telefonnummer gesendet wird. Dieses Vorgehen mag zwar ein wenig umständlich erscheinen, stellt aber das derzeit sicherste Authentifizierungsverfahren dar.
8) Verschieben Sie Ihre Loginseite!
Die Standardadresse der Wordpress-Loginseite lautet entweder www.deineseite.com/wp-admin/ oder www.deineseite.com/wp-login.php. Um diese Tatsache wissen natürlich auf Internetkriminelle. Verschieben Sie deshalb die Loginseite zu einer individuellen Adresse. Hierzu stehen geeignete Plugins zur Verfügung.
9) Führen Sie regelmäßige Backups durch!
Im Falle eines Angriffs kann die komplette Neuinstallation Ihrer Wordpress Instanz nötig sein. Führen Sie deshalb regelmäßige Datenbank-Backups durch, um alle Inhalte schnell wieder herstellen zu können.
10) Installieren Sie ein gutes Sicherheitsplugin
Die meisten der genannten Schutzmechanismen lassen sich durch verschiedene Plugins realisieren. Mit Wordfence, iThemes oder Securi stehen aber auch Sicherheitsplugins zum Download bereit, mit denen sich all diese Maßnahmen und noch einige mehr umsetzen lassen.
Fazit
Wordpress ist das derzeit beliebteste Content Management System, da sich mit ihm zahlreiche verschiedene Internetprojekte realisieren lassen. Eine große Zahl an Plugins sorgt für nahezu jede erdenkliche Erweiterungsmöglichkeit. Doch mit dem Erfolg kommen auch die Nachteile, denn Wordpress-Installationen sind beliebte Angriffsziele für Hacker. Doch mit einigen einfach umzusetzenden Vorsichtsmaßnahmen können Sie sich wirkungsvoll gegen kriminelle Gäste schützen.
