WordPress-Sicherheit ist gar nicht so schwer

25. Juni 2018
Inhaltsverzeichnis[Anzeigen]

Intro: Sie lieben Überraschungen? Ganz bestimmt, solange diese positiv sind. Beim Thema WordPress-Sicherheit können Überraschungen aber oft ziemlich unangenehm sein. Lesen Sie hier, wie Sie mit einfachen Mitteln gängige Risiken minimieren und vor ungeliebten Überraschungen gefeit sind.

Oft unterschätzt oder vernachlässigt: WordPress-Sicherheit

WordPress liegt im Bereich der Content-Management-Systeme ganz vorn und ist mit großem Abstand das beliebteste und marktbeherrschende CMS aller Zeiten.

Ein knappes Drittel aller Sites weltweit läuft unter diesem System. Klar, dass WordPress durch so eine Beliebtheit und Verbreitung ein besonders begehrenswertes Ziel für potenzielle Angriffe darstellt.

Bei den Usern hingegen stellt das Thema Sicherheit häufig wahrlich kein Lieblingsthema dar –  kaum einer befasst sich gerne oder freiwillig damit, viel lieber beschäftigt man sich intensiv und ausschließlich mit Design, Content & Co., das macht schließlich auch viel mehr Spaß.

Aber Sicherheit ist wichtig, und sollte auf keinen Fall einfach ignoriert werden. Dabei ist die Sicherheit von WordPress in der Standardinstallation, ganz ohne Plugins, sogar noch relativ hoch.

Doch es gibt eine Reihe einfacher Lösungen, mit denen sich zusätzliche Installationen absichern lassen und die Angreifern das Leben schwer machen.

Sicherheit macht Sinn

Das Thema Sicherheit spielt also ein bedeutungsvolle Rolle – beachten Sie das „leidige“ Thema am besten aktiv und vorausschauend, da sich ein laxes Vorgehen hier ziemlich schnell rächen kann.

Spätestes, wenn Sie eine gehackte Website wieder flott machen mussten und ein Notfall eingetreten ist, der Ihnen Zeit, Nerven und womöglich noch einiges mehr geraubt hat, sind Sie sich dieser Tatsache bewusst und behalten die Sicherheit Ihrer Installationen vorsorglich immer im Auge.
Die Beschäftigung mit Sicherheit ist daher mit einer Investition gleichzusetzen – in Ihre künftige Zeit und auch in Ihre Nerven.

Wie ist das mit der Sicherheit?

Bei WordPress gibt es, im Gegensatz zu statischen Webseiten, deutlich mehr Spieler, was quasi die Angriffsfläche stark vergrößert. Auch zusätzliche Schwachstellen von PHP und MySQL kommen hinzu.

Als dynamische Lösung bietet jede WordPress-Installation daher eine Vielzahl von Angriffspunkten. Wenn auch die statischen Seiten mit einbezogen werden, die unter dem beliebten und marktbeherrschenden Content-Management-System stehen, laufen fast 30 Prozent alles Webseiten weltweit unter WordPress.

Genau das ist aber auch der Punkt: Diese hohe Beliebtheit und Verbreitung, die vielen Plugins und Themes machen WordPress zu einem ebenso beliebten Ziel für potentielle Angriffe.

Ausgehend von der einfachen Standardinstallation, in der WordPress relativ sicher ist, ist es mit wenigen, einfachen Schritten machbar, zusätzliche Sicherheit zu erzeugen – und weitere Installation abzusichern sowie es deutlich zu erschweren, in das System vorzudringen.

Individualität rules!

Gleich zu Beginn der Installation geht es direkt los mit sinnvollen Sicherheitsmaßnahmen: Vergeben Sie hier bitte individuelle Benutzernamen und möglichst starke Passwörter.

Im Installationsprozess werden Sie unter anderem aufgefordert, Benutzernamen und Passwörter für den ersten Nutzer und den Administrator festlegen.

Bereits hier sind individuelle Namen gefragt – bitte nicht einfach die Klassiker administrator, admin, webmaster, test, demo oder weitere unspezifischen Namen einsetzen, die leicht angegriffen werden können.

Es genügt hier völlig, etwas andere Namen, wie z.B. einen Vor- oder Nicknamen zu verwenden, wie etwa Philipp oder Webspezi.

Ein Muss: Starke Passwörter

WordPress generiert im Laufe der Installation eigenständig ein Passwort, das sehr schwer zu merken ist und als stark gekennzeichnet wird. Es bietet sich also an, das vorgeschlagene, generierte Passwort zu verwenden.

Nutzen Sie dieses Passwort und kopieren Sie es am besten in den Passwortmanager. Schwache Passwörter können sehr leicht zu einer Sicherheitslücke werden.

Login-Versuche begrenzen

Eine ziemlich nützliche und schnell durchgeführte Sicherheitsmaßnahme ist die Beschränkung der Login-Versuche. Wenn diese in einem bestimmten Zeitraum eingegrenzt sind, werden automatisierte Angriffe, die automatisch die richtige Benutzernamen-Passwort-Kombination herausfinden sollen, logischer Weise stark erschwert.

Zur Beschränkung der Loginversuche stehen mehrere Plugins zu Verfügung, wie etwa das leicht einrichtbare Limit Login Attempts Reloaded. Dieses Plugin schützt vor Angriffen nach festgelegten Mustern, etwa wenn sie über die gleiche IP-Adresse kommen.

Bei raffinierteren Angriffen von verschiedenen IP-Adressen aus, die zeitlich verteilt über mehrere IPs kommen, dann kann dieses Plugin leider nicht so viel ausrichten.

Benutzerrechte versus Admin-Rechte

Die Benutzerverwaltung von WordPress verfügt über fünf verschiedene Benutzergruppen in der Standard-Installation. Hier bietet sich an, eher sparsam mit der Rechtevergabe umzugehen – und immer gut zu überlegen, welcher Benutzer mit Mitarbeiter-Rechten auskommt, und wer Autoren- oder Redakteurs-Rechte benötigt.

Weniger ist hier mehr! Die Admin-Rechte sollten Sie nur für denjenigen vergeben, der in der Praxis tatsächlich für die Pflege der WordPress-Installation zuständig ist.

Die Administrator-Rechte sollten vordergründig für administrative Arbeiten, wie das Aktualisieren von Plugins, verwendet werden. Auch für den Administrator selbst ist es ratsam, sich einen zweiten Account mit anderen Rechten – wie Autor oder Redakteur – einzurichten und diesen für die Veröffentlichung neuer Beiträge zu nutzen.

Schließlich macht es einen großen Unterschied, ob ein Angreifer einen Account mit Autoren-Rechten knackt oder gleich die vollen Administrationsrechte übernimmt.

Immer schön aktualisieren

Theoretisch ist dieser Punkt klar, praktisch wird er vielfach auf die ziemlich leichte Schulter genommen: Sicherheits-Updates für WordPress, Themes und Plugins sollten Sie natürlich zügig und zeitnah einspielen und aktualisieren.

Vor allem aus Zeitmangel wird dieser Bereich aber immer wieder vernachlässigt oder ganz vergessen. Themes und Plugins wollen gepflegt werden, wie die Inhalte Ihrer Website auch, und das hat durchaus berechtigte Gründe.

Vielfach hilft es auch schon, sicherheitsrelevante News zu abonnieren, um auf neue Aspekte aufmerksam zu werden, auf Deutsch zum Beispiel von heise online.

XML-RPC-Schnittstelle sperren

Die XML-RPC-Schnittstelle, die seit der WordPress-Version 3.5 standardmäßig aktiviert ist, stellt hilfreiche Funktionen für die Verwaltung von Inhalten bereit, ist aber auch ein überaus beliebtes Angriffsziel für Hacks.

Viele Nutzer benötigen diese Schnittstelle aber gar nicht, weil sie auf ihre Inhalte direkt in WordPress schreiben und auf Pingbacks von  anderen Blogs ebenfalls verzichten können.

Wenn es Ihnen auch so geht, können Sie diese standardmäßig aktivierte Schnittstelle recht einfach sperren, und mit dem folgenden Code in der .htaccess-Datei:

<files xmlrpc.php>
Order deny,allow
deny from all
</files>

Auf diese Weise werden externen Zugriffe auf die xmlrpc.php abgewehrt – Angriffe über die Schnittstelle sind dann nicht mehr möglich.

Fazit: Sicherheit macht Sinn

Dies ist nur ein kleine Zusammenstellung von relativ leicht umsetzbaren Tipps und Anregungen, damit Sie das wichtige Thema WordPress-Sicherheit für sich angehen können.

Diese Empfehlungen erheben keinen Anspruch auf Vollständigkeit, und es gibt eine ganze Reihe weiterer, sinnvoller Maßnahmen. Welche Sie davon brauchen und was Sinn macht, hängt wie immer von individuellen Bedürfnissen und Anwendungen ab.

Idealerweise lassen Sie sich beraten und das Thema professionell betrachten, auch damit sich alle Maßnahmen am Ende sinnvoll ergänzen. Ein absolutes Must-have ist dabei immer ein aktuelles Backup, aus dem Sie bei Problemen wieder sauber starten können.

Das Thema WordPress-Sicherheit ist also in jedem Fall ganzheitlich zu betrachten, damit der Spaß am Web-Auftritt lange währt und nicht aus heiterem Himmel gestört wird.

philipp
Über den Autor

Philipp Pistis ist seit 2009 Webdesigner und Programmierer. Er hat mit seinem Team bereits über 300 WordPress Projekte erfolgreich umgesetzt und teilt sein Wissen hier auf diesem Blog.

Folge mir auf LinkedIn

Passende Artikel

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.