WordPress absichern gegen Attacken

Wer einen Blog auf Basis von WordPress betreibt wünscht sich nicht nur einen schnellen, sondern auch einen stabilen Internetauftritt. Um dieses zu ermöglichen muss man WordPress absichern, denn die große Stärke von diesem Content Management System (kurz: CMS) ist gleichzeitig auch seine größte Schwäche. Auch hier greift der ganz einfache Grundsatz von IT-Sicherheit: Das was viel genutzt wird, ist auch verstärkt im Fokus. Dies betrifft Betriebssysteme (egal ob stationär oder mobil) genauso wie Webanwendungen, und damit eben genau WordPress. Dies bestätigt unter anderem auch der durch Imperva erstellte Web Application Attack Report #5 vom Oktober diesen Jahres inkl. der folgenden dazugehörigen Zahl:

Webseiten welche mit WordPress betrieben werden, erleiden 24,1 % mehr Attacken, als alle anderen Content Management Systeme zusammen.

wordpress_absichernEin weiterer Grund hierfür liegt in der Anpassbarkeit. Es gibt schier unzählige Themes für den individuellen Look des Blogs aber auch noch mehr Plugins, welche die Funktionen von WordPress erweitern. Teilweise werden diese von Hobby-Entwicklern erstellt, welche sich oft wenig Gedanken um die Sicherheit der Entwicklungen machen – Stichwort: „Security by Design“. Erschwerend hinzu kommt, dass ein Großteil der Plugins und Themes nicht mehr weiterentwickelt werden, wodurch Sicherheitslücken ewig ungepatcht bleiben und somit das Scheunentor für Hacker weit geöffnet aufsteht.

Verzweifeln muss man dennoch nicht: Hält man sich an 3 Grundsätze beim Betrieb von WordPress und installiert einige wenige aber wichtige Plugins, so steht dem sicheren Blog auch mit WordPress nichts im Wege.

Grundsatz 1: Updates durchführen – Dies gilt für WordPress an sich, aber natürlich auch für alle installierten Plugins und Themes. Auch inaktive Plugins bergen ein sicherheitstechnisches Risiko und sollten lieber komplett gelöscht werden.

Grundsatz 2: Aktuellere Alternativen – Plugins und Themes, welche älter als ein Jahr sind, können zwar weiterhin funktionieren, aber die Wahrscheinlichkeit, dass Angriffszenarien für diese Erweiterungen existieren ist zu hoch. Hier sollte man nach einer Alternative suchen.

Grundsatz 3: Passwortwechsel – Egal wie sicher mein Passwort auch gewählt ist, egal wie sicher ich mein WordPress aufgesetzt habe, ein regelmäßiger Passwortwechsel für den Adminstratoraccount sowie die Datenbank-Verbindung ist und bleibt notwendig.

Plugin 1: BulletProof Security – Dieses Plugin ermöglicht eine globale Absicherung gegen automatisierte Hackversuche (Ausnutzen von SQL-Injections etc.) durch das Erzeugen einer sicheren .htaccess-Datei und stellt somit einen Teil einer Web Application Firewall (WAF) durch einen Filter-Mechanismus dar. Ebenfalls durch BPS Security wird eine Loginsicherheit gegen BruteForce-Methoden. Wenn man also versucht den Login durch vielfach wiederholtes Raten des Passwortes zu schaffen, man sehr früh (am besten nach drei Fehlversuchen) den User aussperren kann. Zusätzlich kann man sich durch dieses Plugin Datenbank-Backups per E-Mail zusenden lassen, so dass man bei einem Totalverlust den Blog relativ einfach wiederherstellen kann.

Plugin 2: Wordfence Security – Bei diesem Plugin nutze ich nur eine Funktionalität, aber diese hat einen so enorm großen Mehrwert, dass ich mir einen WordPress-betrieb ohne diesem nicht mehr vorstellen mag. Wordfence Security ist extrem hilfreich, wenn trotz größter Absicherungsmaßnahmen dennoch unerlaubt zugriff verschafft wurde und die einzelnen PHP-Dateien kompromittiert (also in böswilliger Absicht geändert) wurden. Dieses Tool prüft die lokalen Dateien gegen das offizielle Repository ab und meldet Auffälligkeiten per E-Mail – genialer Mehrwert, einfach zu bedienen und somit: einfach genial!

Plugin 3: Update Control – WordPress hat ab Version 4.0 automatische Updates eingeführt. Allerdings bezieht sich dieses nur auf offiziell sicherheitstechnisch kritische WordPress-Core-Dateien (also die eigentliche WordPress-Installation), aber nicht auf Themes und Plugins. Mit diesem Plugin wiederum, kann man genau einstellen, was alles automatisch aktualisiert werden soll – inkl. einer damit verbundenen Information per E-Mail. So kann man sicherstellen, dass trotz nur spärlichen Besuchen im Backend von WordPress dennoch alles aktuell gehalten wird.

Bezüglich der Plugins habe ich meine persönlichen Favoriten auserkoren, mit denen ich seit einigen Jahren/Monaten sehr gute Erfahrungen gemacht habe. Sicherlich existieren noch viele weitere nützliche Plugins – wenn ihr welche kennt, schreibt diese gerne in die Kommentare. Übrigens lohnt der Aufwand zur Prävention, denn ist der Blog erst einmal kompromittiert, so kann man davon ausgehen, dass der gesamte Inhalt auf dem Webspeicher mit Malware (also Vieren, Würmer und Trojanern) verseucht ist und sein eigenes WordPress für den Versand von SPAM missbraucht wird. Nach einiger Zeit wird dann auch der Provider auf einen Aufmerksam und schreibt den untätigen Adminstrator an (und damit seid IHR gemeint!). Alles Ärger den man sich mit den von mir oben genannten Tipps ersparen kann…

Das könnte Dich auch interessieren...

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.