Das größte Sicherheitsrisiko sitzt vor dem Monitor

Wordpress vor Angriffen sichern.

Allgemein:

Sicher, dieses Schlagwort aus der IT „Das größte Sicherheitsrisiko sitzt vor dem Monitor“ ist weder neu noch besonders witzig. Aber es trifft trotzdem den Nagel auf den Kopf.

Anlässlich einer Reparatur einer gehackten WordPress-Seite eines Kunden schreibe ich euch ein paar Sachen zusammen, um Installationen einfach und schnell etwas sicherer zu machen.

Dabei ist es so einfach, sich vor den ständig steigenden Angriffen auf WP-Installationen effektiv zu schützen.

Es gilt allerdings ein paar Grundregeln zu beachten.

Themes und Plugins:

„Spare in der Zeit, so hast Du immer Not“

An diese Abwandlung des alten Sprichworts musste ich denken, als ich in den letzten Tagen einem Kunden die völlig verseuchte Installation bereinigen durfte. Wer sich auf einschlägigen Seiten ein Super Plugin oder Theme als „Freeware“ herunterlädt, um ein paar Euro zu sparen, wird sehr schnell spüren, wie teuer eine Reparatur der eingeschleppten Trojaner, Viren etc. werden kann. Alle diese netten Dinge sind garantiert verseucht mit Scripts, die der Laie auf gar keinen Fall findet, da sie sich in scheinbar unverdächtigen File-Namen und Dateien verstecken. Wenn das erst einmal am Server gelandet ist werden massenweise mithilfe der PHP-Funktionalität Dateien nachgeladen aus dem Netz und zu guter Letzt noch die Seite komplett übernommen. Scripts übernehmen dann die Datenbank, legen unsichtbare User an, versenden massenweise Spam, ordnen sich in ein BOT- Netz ein und spielen bei Attacken auf andere Server mit etc.

Wer sich dem Aussetzten will, um genau  29€ für ein Plugin zu sparen (wie besagter Kunde), dem sind dann hoffentlich die zahlreichen Hunderter egal, die die Reparatur kostet. Im schlimmsten Fall sperrt der Hoster auch noch die Seite und Google markiert sie als „Nicht vertrauenswürdig“. Dann kann man die Seite eigentlich gleich aufgeben.

Regeln:

  • Kaufe nur Themes oder Plugins von öffentlichen Quellen wie z.B. Themeforest o.ä. und vermeide „Freeware“
  • Halte die WP-Core Installation auf aktuellem Stand. Es wurden mit Updates immer wieder Sicherheitslücken geschlossen. Der Hack der Webseite der bekannten „Panama-Papers“-Geschichte ist wohl durch eine Sicherheitslücke im Revolution-Slider gelungen.
  • Spiele bei Plugins immer wieder die Updates ein. Es ist nicht mehr als ein Mausklick.
  • Wenn Du Angst hast, das etwas schief geht: Bezahle lieber eine Stunde an den Developer für so einen Job als zu warten und zu vertrauen.

Tools:

  • Theme Check Testet Dein Theme, ob es kompatibel mit div. WordPress-Versionen ist. Kostenlos
  • AntiVirus Security plugin to protect your blog or website against exploits and spam injections. Kostenlos
  • Anti-Malware Security and Brute-Force Firewall This Anti-Malware scanner searches for Malware, Viruses, and other security threats and vulnerabilities on your server and it helps you fix them. Kostenlos

Der absolute Favorit: Wordfence Security Gibt es kostenlos und als Premium Plugin. Bereits die kostenlose Version bringt bereits genug Features, um die Seite sicher zu machen. Doku dazu HIER: Nachdem die Optionen sehr zahlreich sind, sollte man sich vorher kurz einlesen. Ich kann auch den WF Newsletter empfehlen oder den Blog, wo die Jungs immer wieder auf aktuelle Probleme hinweisen bzw. Sicherheitslücken aufdecken.

Anti-Spam:

Kommentare sind das Salz eines Blogs. Um so ärgerlicher ist es, wenn man bemerkt, dass in den Kommentaren für Medikamente geworben oder zu Schadcode verlinkt wird. Man kann sich behelfen, indem man zum einen die Kommentare nur nach Freigabe anzeigen lässt, zum anderen nur Kommentare von registrierten Benutzern zulässt. Häufig kann auch der Spam unterbunden werden, indem man ein Captcha integriert (z. B. Plugin Captcha). Captchas haben allerdings den Nachteil, dass sie von Automatismen geknackt werden, wenn diese zu einfach gestrickt sind. Sind sie zu schwer, kann der Besucher evtl. das Captcha nicht lösen und keinen Kommentar hinterlassen. Im Bereich Anti-Spam gibt es auch noch Plugins, welche automatisiert Spam-Inhalte erkennen und blockieren. Askimet ist bereits bei der Standardinstallation dabei. Nach Meinung einiger Benutzer lässt es sich aber aufgrund von Datenschutzbestimmungen in Deutschland nicht risikofrei einsetzen. Als Alternative bietet sich Antispam Bee an. Datenschutzrechtlich ist es unbedenklich und eine deutsche Dokumentation ist auch vorhanden.

Benutzernamen:

Weg mit dem Admin-Usernamen
Sehr viele von uns sind „Admin“. Zumindest wenn man seinen WordPress-Blog schon etwas länger hat und sich nicht weiter am automatisch zugeteilten Usernamen stört – denn der lautete bis zur WordPress-Version 3.0 immer Admin. Im vergangenen Jahr machten sich dann Hacker diesen Automatismus zu nutze und griffen reihenweise WordPress-Blogs an, deren Zugang lediglich durch die Kombination aus „Admin“ und einem der gängigen Passwörter à la 1234 geschützt war. Eigentlich hätte spätestens diese Welle Alarm auslösen müssen bei allen, die noch als „Admin“ unterwegs sind – tatsächlich ist dieser Username aber immer noch weit verbreitet.

Wobei Ihr natürlich auch nicht vergessen solltet, Euch ein wirklich sicheres Passwort zuzulegen. Tipps dazu gibt es unter anderem HIER

Was es sonst noch gibt…

Wem das nicht reicht und auf Nummer sicher gehen will, kann auch noch BackWPup einsetzen. Damit lassen sich Sicherungen automatisiert lokal speichern oder an FTP-Server oder verschiedene Cloud Dienste schicken.

Mittlerweile gibt es Firmen, wie Sucuri, die sich auf die Absicherung von CMS spezialisiert haben. Gegen eine Gebühr wird die Webseite individuell auf Sicherheit geprüft und beobachtet. Kostenlos wird ein Malware Check direkt auf der Seite angeboten.

Fazit

Muss man nun alle diese Punkte umsetzen? Nein, sicher nicht. Wenn man sein WordPress aktuell hält und bei der Auswahl von Plugins sorgfältig ist, hat man schon viel gewonnen. Eine Absicherung des Admin Bereichs, sei es per .htaccess oder Plugin, sollte man schon vornehmen. Sichere Passwörter sind selbstverständlich!

Wählt man ein Theme aus den offiziellen WordPress Quellen, ist auch meiner Meinung nach kein Theme-Check per Plugin fällig. Die Erweiterung Antivirus bietet sich das schon eher an, weil sie täglich auf Sicherheitslücken prüft. Liegt Eine Warnung Google Safe Browsing vor, wird der Administrator per Email informiert.

Ob man eine Anti-Spam einsetzt, hängt von der Anzahl der Kommentare ab. Wer miterlebt hat, wie die Kommentare von 2 auf 876 über Nacht steigen, wird sich mit so einer Lösung anfreunden.

Für Webseitenbetreiber, die ihren Blog professionell nutzen und sich nicht mit diversen Einstellungen herumschlagen wollen, sind kostenpflichtige Angebote sicherlich eine Überlegung wert.

Abschließend sei noch erwähnt, auf die Sicherheit am lokalen PC zu achten. Das Betriebssystem und weitere Software müssen aktuell gehalten werden. Eine aktuelle Antiviren-Software sollte installiert sein. Die WordPress Sicherheit nützt gar nichts, wenn am heimischen PC per Trojaner das FTP-Passwort ausgelesen wird.

Und nie vergessen:

Denn das Größte Sicherheitsrisiko sitz vor dem Monitor ;-)