Sicherheit in Wordpress (Teil 1)

In letzter Zeit hört man sehr oft von gehackten Wordpress Blogs, bei denen die Angreifer oftmals den Inhalt, das Design oder andere Funktionen des Blogs verändern und somit einen gewissen Schaden verursacht haben. Wenn man sich den Code von Wordpress anschaut, so bekommt man schon oftmals bedenken bei doch sehr fahrlässigen Fehlern. Insgesamt kann man Wordpress mit einigen einfachen Tricks so absichern, dass viele Angriffe von vornherein keine Wirkung mehr haben. Natürlich bedeutet die Absicherung ihres Blogs einen gewissen Mehraufwand, der sich im Nachhinein oftmals lohnt.

In Wordpress muss man auf mehreren verschiedenen Ebenen die hier beschriebenen Tipps anwenden. Deshalb Gliedert sich der Beitrag in die verschiedenen Teile und wird in einer mehrteiligen Serie, welche wöchentlich aktualisiert wird, veröffentlicht:

1. Allgemeine Sicherheitstipps
2. Datenbank absichern
3. Dateisystem des Servers absichern
4. Schutz durch .htaccess
5. Plugins und andere Wordpress Funktionen

Ein letzter Hinweis: Viele hier genannte Tipps sind nur anwendbar, wenn Sie an ihrem Server, Dateisystem, Scripts oder Datenbanksystem Änderungen vornehmen. Deshalb machen Sie vor der Durchführung dieser Schritte eine Sicherungskopie, da es zu Datenverlust oder anderen unerwarteten Zwischenfällen kommen kann. Es wird somit keine Verantwortung und Haftung für eventuelle Schäden oder Datenverlust übernommen.

Im ersten Teil dieser Serie geht es um Allgemeine Sicherheitstipps für Wordpress. Die oftmals ganz einfach sind, aber eine große Wirkung besitzen:

1. Benutzerpasswort ändern nach der Installation

Ändern Sie das Benutzerpasswort nach der Installation, da dieses Passwort bekannt ist und vom System generiert wird.

2. Sichere Passwörter verwenden

Es ist kein Geheimnis, das Passwörter ohne Bezug zu realen Wörtern oder persönlichen Daten (Geburtsdatum, Hochzeitstag, etc.) die sichersten Passwörter sind, welche existieren. Also verwenden Sie nur sichere Passwörter aus einem Mix von Buchstaben, Zahlen und Sonderzeichen ohne erkennbares System.

3. Häufiges Passwort ändern

Ein häufiges ändern des Passwortes erschwert das Knacken ihres Systems und beugt gegen Missbrauch vor, falls Sie einmal ihr Passwort an Dritte weitergegeben haben.

4. Regelmäßige Backups vom Dateisystem und der Datenbank

Sichern Sie in regelmäßigen Abständen ihr Datei- und Datenbanksystem, so können Sie eventuelle Schäden, welche durch Angriffe auf ihren Blog entstanden sind, schnell ohne großen Verlust von Daten wieder herstellen.

5. Wordpress, Plugins und Themes aktuell halten

Aktualität ist oftmals ein großer Vorteil und auch ein guter Schutz gegen Angriffe auf ihr Blogsystem. Denn oftmals sind in aktuellen Plugins, Themes oder Versionen von Wordpress sicherheitsrelevante Bugfixes vorhanden und Schwachstellen werden recht schnell behoben. Aus Erfahrung kann ich sagen, dass bei älteren Softwareversionen oft auch kein Support geleistet wird, vor allem wenn kein Budget vorhanden ist.

6. Minimierung der Themes und Plugins

Jeder kennt das Sprichwort: „Viele Köche verderben das Essen“. Genauso verhält es sich mit nicht aktivierten oder überflüssigen Themes und Plugins. Eine große Anzahl an unterschiedlichsten Plugins birgt somit immer ein Sicherheitsrisiko, da niemand über alle Plugins und deren Schwachstellen Bescheid weiß. Genauso verhält es sich mit den Themes. Also beschränken Sie sich nur au das nötigste bei ihren Plugins und Themes.

7. sFTP anstatt FTP verwenden

sFTP verschlüsselt die Benutzerdaten vom Sender bis hin zum Empfänger und sendet diese nicht wie üblich bei FTP als Klartext über die einzelnen Server bis hin zum Ziel. Dieser Tipp macht es den Angreifern schwerer ihre Benutzerdaten herauszufinden, birgt aber auch einen Mehraufwand.

8. Reduzierung von Benutzerlogins

Normalerweise sollten für eine Wordpressinstallation nur so viele Nutzerangelegt sein, wie auch maximal benötigt. Karteileichen wie Testaccounts oder andere Überbleibsel sollten gelöscht werden, da jeder weitere nicht genutzte Account ein Sicherheitsrisiko darstellt. Weiterhin sollte auf die Benutzerrechte ein Augenmerk gelegt werden, denn ist es wirklich notwendig jedem Benutzer Administratorrechte zugeben? Meiner Meinung : Nein! Zu der Vergabe von Benutzerrechten kommt in meinem fünften Teil dieser Serie ein ausführlicher Bericht und mit welcher Lösung Sie die Benutzerrechte einfach und effizient vergeben können.

Das war der erste Teil über die Erhöhung der Sicherheit in Wordpress. Der zweite Teil folgt nächsten Sonntag.