Sicherheit mit WordPress
Je beliebter eine Anwendung ist, desto beliebter ist diese auch bei Hackern.
Jeder Seitenbetreiber trägt die Verantwortung für seine Seiten, daher ist es ratsam seine Internetseiten nicht nur optisch hübsch und funktional zu gestalten, sondern auch entsprechende Sicherheitsmaßnahmen zu ergreifen um zum einen gesetzlichen Anforderungen gerecht zu werden (und teure Abmahnungen zu vermeiden) sowie den Seitenbesuchern eine sichere Umgebung zu präsentieren.
Wer möchte schon gerne für Viagra & Co Werbung machen?
In dieser Übersicht finden Sie einige wichtige Hilfestellungen um Ihr WordPress sicher zu machen.
Tabellen Präfix
WordPress arbeitet mit sogenanntem Tabellenpräfix. Im Standard beginnt jede WordPress-Tabelle in der Datenbank mit „wp_“. Um Angreifern die Zugriffe zu erschweren, besteht die Möglichkeit diesen Präfix zu ändern. Hierzu müssen alle Tabellennamen geändert werden, damit diese nicht mehr mit „wp_“ sondern einem anderen Präfix beginnen.
Die Sicherheitsstufe hierfür ist jedoch fragwürdig, da für einen Angriff direkt auf die Tabelle auch ein Zugriff auf die Datenbank möglich sein muss. Es gibt weitaus bessere Möglichkeiten die Datenbank vor unerwünschten Zugriffen zu schützen, als den Präfix zu ändern. Aber es ist ein entsprechender Schutz.
Benutzername "admin"
Der am häufigsten verwendete Benutzername für WordPress ist „admin“, da dieser in früheren Installationen sogar vorgegeben wurde. Wer diesen Benutzername verwendet stellt einem Angreifer bereits 50% der Zugangsdaten zur Verfügung. Gerade bei Massenangriffen ist dieser Benutzername daher eine Sicherheitslücke und sollte nicht verwendet werden.
Gehen Sie ins BackEnd von WordPress und legen Sie einen neuen Benutzer mit administrativen Rechten an.
Melden Sie sich im WordPress-BackEnd ab und mit dem neuen Benutzer wieder an.
Löschen Sie nun den Benutzer „admin“ und übertragen seine Inhalte dem neuen Benutzer.
BackEnd
Das BackEnd – also die Verwaltung von WordPress – erreicht man im Standard unter ihreDomain.tld/wp-admin oder wp-login.php. Dies zu ändern verdrängt einen Großteil der Angreifer, da üblicherweise Angriffe auf diese Parameter erfolgen. Eine Änderung auf einen gewünschten eigenen Namensbereich kann man mit diversen PlugIns (z.B. WPS Hide Login) einfach realisieren.
Updates
Einer der wichtigsten Faktoren ist sicherlich das Schließen von bekannten Sicherheitslücken. Hierzu gehört ein regelmäßiges Update von WordPress sowie allen Erweiterungen (Theme und PlugIns).
Updates bringen nicht nur neue Funktionen mit sich, sondern in erster Linie werden dadurch bekannte Sicherheitslücken geschlossen. Daher bieten wir Ihnen mit WPtomatic eine stündliche Prüfung auf anstehende Updates und führen diese nach vorheriger Sicherung vollautomatisch durch. Mit WPtomatic ist Ihr WordPress immer auf dem aktuellen und sicheren Stand.
WPtomatic kann natürlich nur Updates installieren, die von dem jeweiligen Hersteller auch angeboten werden.
Immer wieder stellen Hersteller jedoch die Weiterentwicklung von Themes oder PlugIns ein. Daher sollten Sie immer ein Auge darauf haben, wie lange die letzte Aktualisierung her ist. Wenn bereits seit mehreren Monaten keine Updates mehr für eine Erweiterung angeboten werden, sollten man sich zeitnah um Alternativen kümmern und die veraltete Erweiterung entfernen.
Infos zu WPtomatic: https://www.wptomatic.de
Bestellen: https://www.roundaboutweb.net/produkt/wptomatic/
Verzeichnisschutz
Neben regelmäßigen Updates bietet ein entsprechender Verzeichnisschutz eine hohe Sicherheit. Hierbei werden nahezu allen Verzeichnissen auf Dateiebene die Schreibrechte entzogen. Selbst wenn es einem Angreifer gelingen sollte einen Schadcode über eine Sicherheitslücke einzuschleusen, wird er damit wenig Erfolg haben, weil er seine Änderungen nicht speichern kann. Mit unserem Updateservice WPtomatic nutze wir diese Funktion ebenfalls. Vor jedem automatischen Update wird der Schreibschutz kurzfristig aufgehoben um die Aktualisierungen installieren zu können und im Anschluss wieder gesetzt. Mit aktivem Schreibschutz können weder PlugIns installiert noch aktualisiert werden. Somit haben Sie Ihr WordPress in sicherer Hand.
Dateien sperren
Es gibt einige Dateien, die man aufrufen kann und somit hilfreiche Informationen über das installierte WordPress vorfindet, wie zum Beispiel die verwendete Version. Den Aufruf dieser Dateien sollte man daher über die Konfiguration des Webserver (.htaccess) sperren um die Anzeige über den Browser zu sperren.
Ein besonderes Augenmerk gilt hierbei der Schnittstellendatei xmlrpc.php.
Diese Datei wird jedoch für bestimmte Zusatzdienste wie Jetpack benötigt und darf dann nicht gesperrt werden, wodurch jedoch das Sicherheitsrisiko vergrößert wird, weil diese Schnittstellendatei ein bekannter Angriffspunkt ist. Wer diese Schnittstelle nutzt hat vollen Zugriff auf Ihr WordPress und kann daher nach Lust und Laune manipulieren.
Bei WordPress gilt dies für folgende Dateien im Anwendungsverzeichnis:
wp-config-sample.php
readme.html
.htaccess
wp-config.php
xmlrpc.php
license.txt
liesmich.html
readme.html
wp-includes/version.php
Der Befehl hierzu lautet:
<Files .htaccess> order allow,deny deny from all </Files>
Seiten verschlüsseln (SSL)
Laut den deutschen Datenschutzbestimmungen ist es schon seit Jahren vorgeschrieben Seiten zu verschlüsseln, wenn personenbeziehbare Daten eingegeben werden können. Wir erkennen diese Verschlüsselung am „https“ in der Adressleiste und kennen dies insbesondere bei Onlineshops. Was jedoch gerne noch vergessen wird, dass die Verschlüsselungspflicht sich nicht nur auf Onlineshops bezieht, sondern auf alle Seiten mit personenbeziehbaren Daten. Also auch auf Anmeldungen zu einem Newsletter, Kontaktformulare oder sogar auf den klassischen LogIn (Benutzername + Passwort) ins BackEnd, da auch diese Daten personenbeziehbar sind.
Spätestens mit der neuen EU-Vorgabe zum Datenschutz ab Mai 2018 sollte daher jeder Seitenbetreiber sichergestellt haben, dass seine Seite verschlüsselt ausgeliefert wird um hohen Abmahnkosten auszuweichen.
Das SSL-Zertifikat zur Verschlüsselung erhalten Sie bei Ihrem Hoster, da dieses auch auf dem Server eingebunden werden muss auf dem die Anwendung (WordPress) läuft.