Wie heut zu Tage bei fast jeder technischen Anwendung, stellt sich vordergründig immer die Frage, ob die verschiedenen Anwendungen, Apps, Plugins etc. sicher sind. Aber was bedeutet Sicherheit in einer, von Technologien durchzogenen Informationsgesellschaft? Sicherheit hat dem zu folge sehr viele Facetten, aber in diesem Artikel geht es darum, dir zu zeigen, wie du einen Webauftritt, der mit Wordpress realisiert worden ist, sicher gestalten kannst. Es geht also um Wordpress Sicherheit.
1. Was gilt es zu schützen
Diese Frage lässt sich nur individuell beantworten. Denn für die Erstellung eines guten Sicherheitskonzeptes und zur Gewährleistung einer guten Wordpress Sicherheit kommt es entscheidend darauf an, welchem Zweck die Seite dienen soll. So sind bei einem Online- Shop andere Sicherheitskonzeptionen erforderlich, als dies bei einem Blog der Fall ist. Abgesehen davon, sind jedoch Maßnahmen verfügbar, die allgemein Anwendung finden und die bei jeder Seite für eine erhöhte Sicherheit sorgen. Denn ganz gleich weshalb du einen Webauftritt unterhältst, ob Blogger oder Unternehmer, eines ist gewiss, niemand möchte einem Hackerangriff zum Opfer fallen und seine Daten verlieren.
2. Die möglichen Bedrohungen
Aus diesem Grund haben wir die wichtigsten Tools und Maßnahmen zusammen gestellt, die dir dabei helfen sollen deine Seite sicher zu machen. Dies ist ganz unabhängig von dem Zweck deiner Webseite möglich und kann dir helfen, den Supergau zu verhindern. Ganz nebenbei erhöht dies natürlich gleichwohl auch die Sicherheit deiner und gegebenenfalls die Sicherheit der Daten deiner Kunden. Denn es gibt eine Vielzahl an möglichen Bedrohungen für deine Website.
2.1 Die verschiedenen Bedrohungen
Es gibt viele Bedrohungen der Wordpress Sicherheit. Dies liegt zum einen daran, dass Wordpress eine sehr weit verbreitete Software für die Erstellung von Homepages ist und zum anderen, das es zahlreiche Möglichkeiten eröffnet angegriffen zu werden. Diese Schwachstellen der Wordpress Sicherheit ergeben sich besonders im Bereich der Brute-Force Attacken, der Umleitungen von Webseiten, der Backdoors in der Software selbst und vielen anderen Möglichkeiten.
2.1.1 Brute-Force Attacken
Durch Brute-Force Attacken wird versucht, über den Log-in der Seite auf diese zuzugreifen. Dabei läuft der Angriff durch erstellte Skripte ab, die versuchen, durch das Ausprobieren von Tausenden von Passwörtern schwache Passwörter zu finden und sich so Zugriff auf die Webseite zu verschaffen. Dies gefährdet natürlich auch massiv deine Wordpress Sicherheit. Aber auch diesen Attacken kann durch wenige, aber sehr effektive Maßnahmen vorgebeugt werden. Diese werden wir dir im Anschluss an die Übersicht möglicher Gefahrenquellen ausführlich beschreiben.
2.1.2 Die Umleitung von Webseiten
Das es dabei nicht um eine gutartige Umleitung handelt, dürfte klar sein. Aber was passiert da genau? Diese Art des Angriffs erfolgt dadurch, dass bereits in der Installationsdatei Backdoors angelegt sind, die dann durch die Angreifer ausgenutzt werden können. Ein Desaster für deine Wordpress Sicherheit. Dadurch wird dann der Datenverkehr deiner Webseite auf bösartige Webseiten umgeleitet, was natürlich nicht in deinem Sinne sein kann. Aber keine Bange, auch zeigen wir die Möglichkeiten auf, die dir helfen dieses Problem zu beseitigen.
2.1.3 Backdoors
Backrohrs sind, wie der Name ja bereits vermuten lässt Hintertüren um sich Zugriff auf deine Webseite zu verschaffen. Dies erfolgt dann durch verschiedene Zugriffsmethoden, wie beispielsweise durch FTP, SFTP oder WP-Admin. Hierdurch werden auch die eigentlich implementierten Zugangsmöglichkeiten umgangen, sodass auch die Zugangsberechtigung umgangen wird. Auch hier kann man vorbeugen.
2.1.4 DoS-Angriffe
Eine, der am weitest verbreiteten Angriffs- Version auf die Wordpress Sicherheit ist die sogenannte DoS- Attacke. Hierbei wird eine Schwachstelle, die Denial of Service Schwachstelle genutzt, um so die Wordpress Sicherheit massiv zu gefährden. Dies geschieht dadurch, dass über die vorgenannte Schwachstelle Fehler und Bugs im Code der Website genutzt werden, um die Webseite zu überlasten.
Bei dieser Art der Attacke geht es auch um einen erheblichen finanziellen Vorteil, den sich die Hacker durch diese Art des Angriffs verschaffen wollen. Da diese Attacke auf die Erlangung von finanziellen Vorteilen gerichtet ist, werden auch kleiner Unternehmen angegriffen, um diese sodann als Angriffsverbund zu nutzen. Auch hier können wir dir Möglichkeiten aufzählen, damit du dich gegen diese Arten von Angriffen schützen kannst. Gleichwohl muss auch gesagt werden, dass es einen vollständigen Schutz gegen diese Art des Angriffs nicht gibt.
2.1.5 Sonstige Angriffsvarianten
Außer den vorgenannten Angriffsvariationen existieren überdies noch weiter Angriffsmöglichkeiten, die von Hackern gerne zum Angriff auf deine Webseite genutzt werden. Hierzu zählen sogenannte Pharma- Hacks, bei denen veraltete Versionen von Wordpress- Seiten manipuliert werden. Durch die Einfügung eines Codes wird deine Seite in der Art kompromittiert, dass Suchergebnisse ausgegeben werden, die in Zusammenhang mit Arzneimittel- Seiten stehen. Hierdurch wird deine Seite durch die Suchmaschinen als Spamverbreitungsseite blockiert. Auch hier kannst du Maßnahmen ergreifen, um diese Art von Attacken auszuschließen beziehungsweise sie nach deren Auftreten wieder zu bereinigen.
3. Die Sicherheitsmaßnahmen
Nun haben wir dir aufgezeigt, welche Arten von Angriffsmöglichkeiten es auf deine Webseite und die Wordpress Sicherheit geben kann. Deshalb ist es auch an der Zeit, dir die Maßnahmen zu nennen, mit denen Du dich effektiv gegen diese Arten von Angriffen schützen kannst. Eines ist dabei stets zu bedenken. Nach Schätzungen von Spezialisten werden weltweit etwa 100.000 Webseiten pro Tag durch Hacker angegriffen. Aus diesem Grund sollte, man sich über die Sicherheitsmaßnahmen für die eigene Webseite ausgiebig Gedanken machend die nachstehend aufgeführten Maßnahmen gewissenhaft umzusetzen. Nur so kann die Wordpress Sicherheit deiner Webseite garantiert, beziehungsweise auf ganz hohem Niveau gehalten werden.
3.1 Das Wordpress Hosting
Auch wenn der Titel unseres Ratgebers etwas anders vermuten lassen könnte, bereits durch das Hosten bei einem sicheren Hoster kann die Sicherheit deiner Webseite erheblich erhöht werden. Durch die Auswahl eines professionellen und qualitativ hochwertigen Hoster werden dir bereits viele Sicherheits- Features geboten, die zusammen mit deinen eigenen Sicherheitsmaßnahmen eine guten Rundumschutz deiner Webseite bieten.
3.2 Neuste Skript Version
Wie bei vielen anderen Content-Management-Systemen auch, ist PHP das zentrale Skript deiner Webseite. Daraus ergibt sich auch, dass es essenziell ist die neuste Version von PHP zu nutzen. Die einzelnen PHP Versionen werden in der Regel für die nächsten 24 Monate unterstützt und Sicherheitsprobleme behoben. Daraus ergibt sich aber auch, dass veraltete Versionen nicht mehr unterstützt werden, woraus sich auch die Sicherheitslücke ergibt. Halte also immer dein PHP auf dem neusten Stand.
3.3 Sicherheit durch Username und Passwort
Es dürfte mittlerweile hinlänglich bekannt sein, dass bei der Wahl von Usernamen und Passwörtern etwas Kreativität gefragt ist. Wer sich hier nicht auf Standards verlässt, sondern sich gute und komplexe Namen und Passwörter einfallen lässt, der ist auch gut geschützt und erreicht eine hohe Wordpress Sicherheit.
3.4 Versionen von Wordpress und Plugins
Immer auf dem neusten Stand zu sein gilt natürlich auch für die verwendete Version von Wordpress und erhöht so die Wordpress Sicherheit deiner Webseite. Hier gehört auch die aktuelle Version des verwendeten Themes und der Plugins dazu.
3.5 Der Zugang zum Backend
Auch hier solltest du natürlich immer up to date sein. Hierzu ist es am einfachsten den Standardzugang zu deinem Backend, also den WP-Admin Zugang zu sperren. Dies kannst du am einfachsten dadurch realisieren, dass du für diesen WP-Admin Zugang die URL änderst.
3.6 Die Authentifizierung
Hierbei gibt es viele Möglichkeiten. Die effektivste ist dabei die 2 Faktoren- Authentifizierung. Durch diese Art der Authentifizierung reicht dein Passwort alleine zur Anmeldung nicht mehr aus. Erst durch die Ergänzung durch eine SMS oder durch ein zusätzliches Passwort kannst du dich einloggen. Dies bietet nahezu 100-prozentigen Schutz gegen Brut-Force-Attacken und gewährleistet deine Wordpress Sicherheit.
3.7 Verschlüsselte Verbindungen
Eine sehr effektive Möglichkeit, deine Webseite und die Wordpress Sicherheit zu erhöhen ist die Installation eines SSL Zertifikates. Dadurch können sich deine Besucher nur sicher mit deiner Webseite verbinden. Dadurch wird es Hackern nahezu unmöglich, deine Seite anzugreifen.
3.8 Die Wordpress Config
Nachdem du bereits die URL deiner WP- Admin Seite geändert hast, kannst du nun auch noch die wp-config.php- Datei verschieben. Diese Datei enthält alle wichtigen Informationen deiner Webseite und muss daher extra geschützt werden. Verschiebe diese innerhalb deines Stammverzeichnisses und schon erhöhst du die Wordpress Sicherheit deiner Webseite extrem.
3.9 XML-RPC Sicherheitslücke
Dieses Skript erlaubt es bei HTTP- Anfragen an deine Seite mehrere Befehle gleichzeitig zu verarbeiten. Dies birgt aber auch gleichzeitig die Gefahr, dass dieser eigentliche Vorteil für einen Angriff genutzt wird. Es ist also sinnvoll, diese Funktion auszuschalten, um so Angriffe von außen über diesen Weg zu unterbinden. Wenn du dir nicht sicher bist, ob diese Software bei dir läuft, such dir ein Tool und sieh nach.
3.10 Die verwendete Wordpress Version
Auch diese Sicherheitsmaßnahme verbessert die Wordpress Sicherheit und steht in direktem Zusammenhang mit der von dir verwendeten Version. Entferne aus dem Quellcode deiner Seite die Version der verwendeten Wordpress Version. So können Angreifer die Version nicht auslesen und ein Angriff wird unwahrscheinlicher.
3.11 HTTP- Sicherheit
Auch hier kannst du einiges für die Sicherheit tun. Durch die Verwendung sogenannter HTTP-Sicherheits-Headern wird dem Browser vorgegeben, wie er sich bei Anfragen an den Server bzw. deine Webseite verhalten soll. Hier gibt es verschiedene Möglichkeiten, wie etwa X-Frame Options, Public-Key-Pins etc.
3.12 Sicherheits- Plugins
Natürlich gibt es auch Sicherheits- Plugins, welche du direkt in Wordpress implementieren kannst. Dies gibt es zahlreich und von vielen verschiedenen Anbietern und Entwicklern. Dies verbessern die Sicherheit deiner Wordpress Seite um ein Vielfaches und bieten so relativ einfach bereit einen hohen Schutz.
3.13 Die Datenbank
Auch die Datenbank deiner Wordpress Installation ist natürlich ein potenzieller Angriffspunkt und kann die Wordpress Sicherheit gefährden. Aus diesem Grund ist es wichtig, auch die Datenbank bei den Verbesserungen mit einzubeziehen. Hier ist bereits viel gewonnen, wenn du dir einen kreativen Datenbanknamen einfallen lässt. Verändere den Namen der Datenbank und ändere das Präfix und deine Sicherheit steigt erheblich.
3.14 Die Verbindung zu deiner Seite
Es ist essenziell, dass Du eine sichere Verbindung zu deiner Seite nutzt, wenn du daran arbeitest. Am besten tust du dies über eine SSH oder eine SFTP- Verbindung, damit deine Daten vor fremden Zugriffen geschützt sind. So kannst du deine Dateien und Inhalte sicher auf deine Webseite übertragen.
3.15 Berechtigungen
Auch die Berechtigungen sind natürlich ein sicherheitsrelevantes Thema. Diese müssen entsprechend eingestellt werden, da sonst die Gefahr besteht, dass andere leicht Zugang zu deiner Webseite erlangen, obwohl dies nicht gewünscht ist. Dass diese Lücke natürlich auch für Angriffe genutzt werden kann, dürfte klar sein. Aus diesem Grund sind die Berechtigungen essenziell für deine Wordpress Sicherheit.
3.16 Datenbearbeitung Deaktivieren
In der Kommandozentrale deiner Wordpress- Seite kannst du die Sicherheit dadurch erhöhen, dass du die Datenbearbeitungsfuktion deaktivierst. Es ist nicht notwendig, das Bearbeiten von Daten auf der Webseite freizugeben, sondern für die Sicherheit ist es wesentlich besser, wenn die Daten lokal, also auf dem jeweiligen Rechner bearbeitet werden.
3.17 Hotlinks
Alles was einfach umsetzbar ist erfreut großer Beliebtheit. So auch das Hotlinking von Bildern aus dem Netz beispielsweise. Man verwendet die Adresse eines Bildes auf der eigenen Seite, das Bild wird hier auch gezeigt, aber liegt auf einer anderen Webseite. Dies ist streng genommen Diebstahl und funktioniert natürlich auch mit deinen Bildern. Deshalb solltest du dies in deiner .htaccess Datei deaktivieren. Anleitungen findest du zigfach im Netz.
3.18 Die Datensicherung
Ein of vernachlässigtes Thema, aber unheimlich wichtig für die Wordpress Sicherheit. Eine Datensicherung ist deshalb so wichtig, weil trotz der vorgenannten Maßnahmen keine Seite zu hundert Prozent sicher ist. Im Falle des Falles kannst du aber deine Seite wieder herstellen, wenn du ein aktuelles Backup hast. Deshalb: Mach immer ein Backup und vernachlässige dieses Thema auf gar keinen Fall.
3.19 DDos- Sicherheit
Dies ist ein sehr umfangreiches Thema der Sicherheit. Bei dieser Art von Angriffen, werden mehrere Systeme gemeinsam verwendet, um eine Seite oder auch ein anderes System anzugreifen. Hier solltest du dich unbedingt um Sicherheitsmaßnahmen bemühen, die in der Vielzahl jedoch von Drittanbietern angeboten werden. So etwa von Cloudflare oder Sucuri. Je nach der Größe deiner Webseite oder deines Unternehmens kann es sinnvoll sein kostenpflichtige Angebote zur Erhöhung deiner Wordpress Sicherheit in Anspruch zu nehmen.
4. Fazit
Vieles kannst du selbst tun, um die Wordpress Sicherheit deiner Webseite zu gewährleisten. Dazu gehört vor allen Dingen das regelmäßige Erstellen eines Backups, denn auch wenn alle Vorsichtsmaßnahmen versagen, deine Seite kannst du aus einen Backup immer wieder herstellen und so den Angreifern ein Schnippchen schlagen.