WordPress gilt als eines der weit verbreitetsten Content Management Systeme für professionelle Webmaster oder die, die es noch werden wollen. Im Jahre 2003 als reine Blog Software entwickelt, hat die Software heute das Zeug dazu, gängige Content Management Systeme vom Thron zu stoßen.  Fluch und Segen der beliebten Software ist die große Nutzerzahl, die leider auch viele Angreifer anlockt. Angreifer, die Sicherheitslücken in der Software oder in darin verwendeten Plugins ausnutzen, um Schadsoftware zu installieren bzw. die Internetseite so zu manipulieren, dass weiteren Besuchern ernsthafter Schaden zugefügt werden kann. Daher sollte man einige Punkte beachten, die dazu beitragen, WordPress sicherer zu machen. 

In diesem Artikel geht es um ein paar Tipps & Tricks, die man bereits mit wenig Erfahrung beachten kann, um manipulierte WordPress-Installationen zu vermeiden.

Updates für WordPress, installierte Themes und Plugins:

Fast täglich werden neue Sicherheitslücken in verschiedenen Programmen gefunden, die dazu genutzt werden können, um sich illegal Zugriff auf die Datenbank von WordPress zu verschaffen. Daher sollte man immer darauf achten, dass Updates sofort nach Erscheinen installiert werden. Leider passiert es auch oft, dass Plugins oder Themes Sicherheitslücken bieten, die der Angreifer zur Kompromittierung der Internetseite nutzen kann. Daher ist es empfehlenswert auch Updates für Plugins oder Themes zu installieren. WordPress bietet idealerweise die Möglichkeit, automatisch auf neue Versionen für WordPress, Plugins oder Themes, über das Admin-Kontrollzentrum (Dasboard) aufmerksam zu machen. Idealerweise kann man darüber auch mit wenigen Mausklicks das gewünschte Update durchführen und so eventuelle Sicherheitslücken schließen.

Hat man mehre Internetseiten auf denen WordPress installiert ist, sollte man einen Blick auf InfiniteWP werfen. Mit diesem Script kann man mehrere WordPress Installationen gleichzeitig verwalten und auch entsprechend gleichzeitig aktualisieren. Zusätzlich kann man das Script mit kostenlosen und kostenpflichtigen Erweiterungen individualisieren. Das Tool InfiniteWP ist in der Grundversion völlig kostenlos und erfüllt auch ohne Erweiterungen hervorragend seinen Zweck.

Eine Funktion die meiner Meinung nach in WordPress fehlt, ist die Option, dass man bei verfügbaren Updates per Email benachrichtigt wird. Vielleicht schafft es diese Option ja in naher Zukunft als Standardfunktion in WordPress.

Regelmäßige Backups der Internetseiten:

Wordpress mit Updates & Upgrades sicherer machen

Sicherheitskopien der Internetseite sollten regelmäßig erfolgen. Man sollte diese Backups nicht nur aus Angst vor Manipulation der eigenen Internetseite machen, sondern auch für den Fall, dass ein zu installierendes Update für bereits installierte Plugins oder Themes, sich nicht mit der aktuell verwendeten WordPress Installation vertragen. In solch einem Fall kann man mit wenig Aufwand ein vermurkstes Update rückgängig machen, ohne dabei einen Datenverlust zu riskieren.

Das Plugin InfiniteWP bietet neben der Funktion, mehrere WordPress-Seiten gleichzeitig zu aktualisieren, auch die Möglichkeit, Backups von Deinen Internetseiten zu erstellen. Idealerweise sollten die Backups jedoch auf einer anderen Domain bzw. auf einem Webspace liegen, auf dem ein Angreifer keinen direkten Zugriff hat, wenn die Internetseite einmal geknackt ist. Es gibt verschiedene Webhosting Anbieter, die zu dem gemieteten Webspace auch den passenden Backup-Server mitliefern. Sollte das der Fall sein, sollte man davon auch Gebrauch machen, da man sich so eine Menge zusätzlichen Ärger erspart. Man kann jedoch auch aus eigener Kraft ein Backup-Script nutzen und auf dem Webspace ausführen. Hat man beispielsweise auch die Möglichkeit, die Backups per Cronjob zu starten, kann man sich die Backups auch automatisch und vor allem regelmäßig erstellen lassen. Solche Backup-Scripte gibt es haufenweise im Internet. Um ein Backup der MSQL-Datenbank automatisch durchzuführen, kannst Du beispielsweise dieses PHP-Script nutzen, das freundlicherweise von All-Inkl.com zur Verfügung gestellt wird.

Passwörter, Benutzernamen und vergebene Rechte:

Generell sollte man natürlich auch auf die Wahl des Passwortes, bei der Erstellung des Admin-Kontos achten. Doch nicht nur beim Administrator-Passwort sollte man sorgfältig sein, sondern auch bei der Wahl des Benutzerkontos. Diese kann man übrigens auch nach der Installation und Einrichtung von WordPress ändern.

Das sicherste Passwort für WordPress nutzt nichts, wenn man bereits bei der Wahl des Benutzernamen und Passwortes für die SQL-Datenbank schlampig war. Daher solltest Du auch hier darauf achten, dass das von Dir gewählte Passwort etwas umfangreicher ist. In diesem Artikel haben wir bereits einige Tipps und Tricks zu sicheren Passwörtern verfasst. Diesen Beitrag solltest Du Dir anschauen, falls Du auf Nummer sicher gehen möchtest.

Ist WordPress einmal installiert und die ersten Benutzer haben sich registriert, kann man diesen Autoren, Mitgliedern oder Administratoren die verschiedenen Benutzerrechte einräumen. Hier sollte man logischerweise ebenfalls darauf achten, dass man nicht versehentlich dem falschen Benutzer, den Zugriff auf das Dashboard (Administrationsbereich von WordPress) gewährt.

Ein sicheres Dashboard in WordPress:

Eine weitere Möglichkeit, WordPress sicherer zu gestalten, ist der so genannte Verzeichnisschutz. So solltest Du beispielsweise darauf achten, dass Du das Admin-Verzeichnis (Standard: ./wp-admin/) von WordPress mit einer .htaccess-Datei absicherst. Ist dieser Verzeichnisschutz einmal angelegt, kann das WordPress Dashboard nur noch nach erfolgreicher Eingabe der vorher festgelegten Benutzerdaten aufgerufen werden. Nach erfolgreicher Eingabe muss man dann noch einmal die Benutzerdaten von WordPress eingeben, um sich als Administrator anzumelden. Es gibt im Internet zahlreiche Anbieter, die kostenlos so genannte HTACCESS-Generatoren zur Verfügung stellen.

Unnötigen Ballast vermeiden:

Ungenutzte Plugins und Themes sollte man löschen. Da sie nicht nur unnötig kostbaren Speicherplatz belegen, sondern auch potentielle Angriffsziele bieten.

Generell sollte man darauf achten, dass man Plugins oder Themes nur von den offiziellen WordPress-Seiten herunterlädt. Hier kann man nämllich anhand von Bewertungen und Kommentaren schnell herausfinden, ob das Plugin oder das Theme noch vom Entwickler weiter unterstützt wird oder veraltet ist.

Es gibt jedoch auch Internetseiten, die kostenpflichtige Erweiterungen und Design-Anpassungen anbieten. Auf diese Plugins kann man ebenfalls zurückgreifen, da man hier auch in der Regel für den Support zahlt und Unterstützung bei Problemen eher erhält, als bei kostenlosen Plugins oder Designs.

Spammern Parole bieten:

Spammer sind lästig und unnütz. Sie machen ungefragt Werbung von Dingen, von denen man nicht einmal weiß, dass es sie überhaupt gibt. Aber auch hier gibt es zahlreiche Möglichkeiten, den Spammern den Kampf anzusagen. So kann man beispielsweise in WordPress die Einstellung treffen, dass Kommentare erst einmal geprüft werden müssen, bevor sie veröffentlicht werden. Eine andere Möglichkeit wäre, Kommentare nur von registrierten Mitgliedern zu akzeptieren. Doch dann muss man die neuen Mitglieder nach Registrierung ebenfalls erst einmal überprüfen. Man sollte jedenfalls eine der beiden Möglichkeiten in Betracht ziehen, wenn man verhindern möchte, dass unerlaubterweise Werbung oder schadhafte Internetseiten auf der eigenen Internetseite verlinkt werden.

Es gibt jedoch auch Plugins, die automatisch Spammer erkennen und den Zugriff auf die eigene Seite verhindern. Ein sehr verbreitetes Plugin ist Akismet. Dieses Plugin ist kostenlos und bereits bei der Installation von WordPress integriert. Es blockiert Spam-Kommentare recht zuverlässig. Man sollte vor der Nutzung jedoch abklären, ob Akismet den Datenschutzbestimmungen des eigenen Landes Gerecht wird. Eine gute Alternative ist Antispam Bee, das ebenfalls weit verbreitet ist und auch aktuell noch weiter entwickelt wird. Außerdem werden die Daten anonym verarbeitet, was das Plugin in Sachen Datenschutz unbedenklich macht.

Checkliste der oben genannte Punkte:

  • WordPress, installierte Plugins & Themes aktualisiert?
  • Automatische Backups für WordPress eingerichtet?
  • Benutzerrechte der Mitglieder, Autoren und Redakteure geprüft?
  • Admin-Verzeichnis mit Verzeichnisschutz versehen?
  • Admin-Daten überprüft?
  • SQL-Datenbank abgesichert?
  • Unnötige oder veraltete Plugins und Designs gelöscht?
  • Anti-Spam Maßnahmen getroffen?
  • Kommentar-Einstellungen in WordPress vorgenommen?

Manipulationen automatisch erkennen &a mehr:

Google Webmaster Tools bietet die Funktion, die dort registrierte Internetseite auf Probleme zu überprüfen. Google Webmaster Tools lässt sich so einstellen, dass man automatisch E-Mail Benachrichtigungen erhält, sobald Google etwas Verdächtiges entdeckt. Dazu benötigt man lediglich ein Google Benutzerkonto, dass man auf der offiziellen Google Webmaster Tools Seite erstellen kann.

Man kann die eigene Internetseite aber auch von anderen Anbietern auf installierte Malware scannen lassen. So bietet der Sitecheck von Sucuri.net ebenfalls die Möglichkeit auf eingeschleusten Spam, Blacklisting, Defacements, und vieles mehr zu scannen.

Das Bearbeiten von Dateien über den Editor im Administrator-Bereich kann ebenfalls zu einem Problem werden, wenn der Angreifer sich erst einmal Zugriff verschaffen hat. Denn sobald die PHP- und CSS-Dateien bearbeitet werden können, kann der Eindringling Schadcode platzieren. Um dies zu verhindern, reicht es, wenn man in der Datei: „wp-config.php“ den folgenden Wert übernimmt:  define( ‘DISALLOW_FILE_EDIT’, true );

Es gibt zahlreiche, wenn nicht sogar unzählige Tipps, die mit Sicherheit noch von mir zusammengetragen werden wollen. Doch an dieser Stelle ist erst einmal Schluss, da die Zeit drängt und der Abend noch recht jung ist.

Falls Fragen oder Probleme bei der Umsetzung dieser Tipps & Tricks auftreten, kannst Du Dich gerne über die Kommentar-Funktion melden. Natürlich freue ich mich und die restlichen Leser ebenfalls über ergänzende Tipps, die unser aller Leben erleichtern. ;)

GD Star Rating
loading...
WordPress sicherer machen - Ein paar Tipps!, 5.0 out of 5 based on 6 ratings
1 Antwort

Trackbacks & Pingbacks

  1. […] Ich empfehle aus Sicherheitsgründen, als Login Namen einen anderen Namen, als in den beiden anderen Feldern zu verwenden. Warum das so ist, kannst Du in dem Artikel zu einem sicheren WordPress nachlesen. […]

Dein Kommentar

An Diskussion beteiligen?
Hinterlasse uns Deinen Kommentar!

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.