Datensicherheit in WordPress

Lesezeit: 5 Minuten

Datensicherheit in WordPress allgemein

WordPress Sicherheit – Ein klares Wort vorweg: Sorge dafür, dass WordPress selbst, die Themes und die Plugins möglichst immer up-to-date sind. Known-issues, die nicht behoben sind, sind noch immer eines der häufigsten Einfallstore für Angreifer (das gilt nicht nur für WordPress, sondern ist eigentlich allgemeingültig). IT Sicherheit ist ein Prozess! Das selbe gilt für das Betriebssystem und die installierte Software auf dem Server selbst (ein Glückwunsch an Dich, wenn Du schon eine Hosted-WordPress-Umgebung “as-a-Service” verwendest). Auch hier solltest Du regelmäßig die Software auf den neuesten Stand bringen. Datensicherheit in WordPress bezieht sich in diesem Kontext auf „Angriffe“ von außen. Das heißt primär auf mutwillige Änderungen, Entstellungen oder Angriffsversuche von extern. Bitte lasse Dich nicht auf die Argumentationskette ein

„meine Seite ist nicht interessant genug für einen Angriff“!

Auch wenn das vielleicht für Deine Seite stimmt, kann die Seite immer noch als Sprungbrett für Angriffe auf „interessantere“ Ziele verwendet werden. Ein typisches Szenario ist, dass sich ein Angreifer einer ganzen Reihe von Systemen bemächtigt, die im Idealfall möglichst wenig geschützt sind, also möglichst wenig „Aufwand“ bedeuten und von diesen Systemen dann Angriffe auf die wirklichen Ziele startet. Du möchtest nicht das wirkliche Ziel sein – und Du möchtest auch kein Sprungbrett für einen Angreifer werden. Ein Angriff kann in diesem Zusammenhang übrigens völlig unterschiedlich aussehen.

Dein System könnte zum Beispiel verwendet werden, um massenhaft Spam-Emails zu versenden (illegale Emails, von DEINEM Server, von DEINEN IP Adressen versendet – Du verstehst, worauf ich hinaus will). Oder es wird verwendet, um an eine Zielseite eine Riesenanzahl an Anfragen gleichzeitig zu senden, um diese dann lahm zu legen (Denial of Service, DoS). Es könnte aber auch wesentlich subtiler sein und einfach nur Email-Adressen oder Namen wegkopiert und anderweitig verwendet werden.

Es gibt keine 100% Sicherheit

Egal wie es ist, ich kann Dir garantieren, dass Du mit den folgenden Maßnahmen keine 100% sichere WordPress Umgebung haben wirst (jeden, der diese Sicherheit verspricht, kannst Du getrost ignorieren). Aber wir werden damit die Messlatte, also quasi den Aufwand für einen potentiellen Angreifer, nach oben setzen, im Idealfall so hoch, dass sich der mögliche Ertrag (was auch immer das dann ist) einfach nicht mehr lohnt.

Wenn Angreifer sich Systeme suchen, dann sind die Zeiten längst vorbei, in denen jemand im Keller sich händisch Webseiten angeschaut hat und so ein passendes Ziel findet. Ziele werden heute automatisiert per Skripte und Maschine Learning gesucht und gefunden. Sobald ein Ziel erfolgsversprechend (also unsicher) ist, schaut man sich das potentielle Opfer näher an. Es gilt somit die offensichtlichen Lücken oder Möglichkeiten für einen Angriff einzudämmen. Oder wie ein Kollege mal ausgedrückt hat: “Du musst nicht schneller sein als der Bär, nur schneller als Deine Begleiter…”. 🙂

Ich werde Möglichkeiten für die Datensicherheit in WordPress vorstellen, die möglichst „mikroinvasiv“ sind, das heißt keine oder kaum Änderungen an Code benötigen. Wie an anderer Stelle schon erwähnt, sind solche Änderungen durchaus möglich und teilweise auch sinnvoll, können aber aufgrund der Updatesicherheit und der Fehleranfälligkeit der Änderungen für eher „unbedarfte“ Anwender nicht sinnvoll durchgeführt werden. 

Sicherer Hosting-Anbieter

Das ist natürlich schwer zu entscheiden. Es gibt bei keinem Hoster eine Garantie, dass er “sicher” ist. Aber es gibt natürlich ein paar Indikatoren. Ein Hoster, der einen Service extrem viel günstiger anbietet als die anderen, kann sich möglicherweise nicht um IT-Sicherheit kümmern (bzw. weniger). Hier zählt aber einfach auch der subjektive Eindruck. Wichtig ist eine möglichst saubere und starke Trennung zwischen den einzelnen Kunden und Seiten.

Login-Bereich umbenennen

Der Adminbereich ist standardmäßig unter /wp-admin erreichbar. Um diesen Zugang zu schützen, kannst Du Ihn einfach mit dem Plugin Rename wp-login.php umbenennen. Das geht ein bisschen Richtung “Security by Obscurity“, hält aber automatisierte Skripte davon ab, gleich einen Glückstreffer landen zu können.

Neuer Admin-Benutzer und Passwörter

Datensicherheit in WordPress
Login

Zu aller erst legen wir einen neuen Administrator-Benutzer an. Der Standard-Administrator ist der „admin“. Wir legen einfach einen neuen Benutzer mit einem entsprechenden starken Kennwort an und haben damit schon recht viel präventive Arbeit geleistet, wenn es um das Thema „unerlaubte Anmeldungen“ am Admin-Portal geht. Es muss nicht mehr nur das Kennwort, sondern auch der Admin-Benutzer gefunden werden. Dieser neue Benutzer bekommt die vollen Administrator-Rechte im Dashboard. Nenne ihn einfach „admin-grimm1“ oder wie auch immer. Auch das Kennwort sollte ein vernünftiges sein. Grundsätzlich kann man sagen: Alles was im Duden der großen Weltsprachen steht, sowie die trivialen und einfachen Anagramme davon sind unsicher. Ein Angreifer geht automatisiert diese Worte als Benutzername und als Kennwort durch.

Grundsätzlich empfehle ich die Verwendung von kryptischen Kennwörtern. Keine Namen. Kein Geburtsdatum. Das Kennwort sollte aus kleinen Buchstaben, großen Buchstaben, Zahlen und mindestens einem Sonderzeichen bestehen. Ein Gutes Plugin hierzu ist „Better WP Security“. Wenn Du Zugriff auf einen Linux-Server selbst hast (Root-Server oder V-Server), kannst Du Dir Kennwörter erstellen lassen. Ich verwende dazu “pwgen“. Du kannst Dir einfach eine ganze Reihe an Kennwörter erstellen lassen mit “pwgen -c -n -s -B 12 -v“. Ein Kennwort dieser Art ist schon sehr sicher.

Plugins und Themes für mehr Sicherheit

Plugins und Themes, die du nicht verwendest, solltest Du löschen. Das ist eine ganz einfache Maßnahme: Etwas, das nicht vorhanden ist, ist nicht anfällig und muss nicht abgesichert werden. Sei an diesem Punkt konsequent – einzige Ausnahme: Behalte ein ganz einfaches Theme zu Notfallzwecken. Falls das Haupt-Theme mal defekt sein sollte, hast Du noch einen Notnagel. Aktuelles Default-Theme ist “twentynineteen“.

Für die installierten Plugins gilt ebenso: Updates einspielen, wann immer diese zur Verfügung stehen! Plugins solltest Du zeitnah aktualisieren und so stets auf aktuellem Stand halten. Wer sich nicht oft in das Dashboard einloggt oder gerne eine Benachrichtigung erhält, falls neue Updates zu Verfügung stehen, kann sich das Plugin WP Updates Notifier installieren. Bei großen kritischen Umgebungen empfiehlt sich eine Staging-Umgebung, die Du nach entsprechenden Tests live nehmen kannst.

Deaktivieren, was nicht unbedingt notwendig ist

Solange Du keine Kommentare benötigst, deaktiviere diese in den Einstellungen. 

Wenn es nicht zwingend notwendig ist, dass sich jeder auf der Webseite registrieren kann, solltest Du unbedingt unter Einstellungen > Allgemein den Haken bei dem Punkt „Jeder kann sich registrieren“ entfernen. Es erspart Dir einfach auch viele Spam-User- und Logins.

Plugins zur Absicherung und für die Datensicherheit in WordPress

Wordfence, ithemes security oder WP Security sind Standard-Sicherheits-Plugins für WordPress. Zugegebenermaßen ist die Konfiguration nicht völlig trivial, muss aber glücklicherweise nur einmal durchgeführt werden. Benötigst Du das unbedingt? Sobald die Seite mal etwas bekannter wird und die Aufrufe steigen, steigen zwangsläufig auf die bösartigen Anfragen. Ich rate spätestens dann dazu, mit diesen Plugins aktiv zu werden.

Block Bad Queries (BBQ)ist eine Alternative zu einer der oben genannten Sicherheits-Plugins. Das Plugin ist Plug & Play und muss nur installiert und aktiviert werden. Weitergehende Konfigurationen sind nicht nötig (und in der freien Version auch nicht möglich). Es blockt eine große Anzahl an bösartiger oder unerwünschter Anfragen. Damit kannst Du auch Brute Force Angriffen entgegenwirken.

Der Website-Zustand in WordPress 5.2

Seit WordPress 5.2 gibt es den “Website-Zustand” Assistent unter Werkzeuge. Schaut euch den unbedingt an

Website-Assistent WordPress 5.2
Website-Assistent in WordPress 5.2

Unter “Info” können auch Details zu Sicherheit und Performance angezeigt werden.

Fazit zur Sicherheit von WordPress

Zum Schluss der übliche Spruch: Sicherheit ist ein Prozess, das gilt auch für die Datensicherheit in WordPress. Verwende content management systeme! Verlass Dich nicht auf einen statischen Jetzt-Zustand, sondern führe ihn immer weiter. Je bekannter eine Seite wird, desto mehr werden sich üblicherweise die Angriffe steigern. Darüber hinaus gibt es noch viele Möglichkeiten zur Absicherung. – diese sind im Einzelfall zu prüfen. Allerdings greifen diese oft in den Code oder direkt in Config-Dateien ein – und das macht nur in dedizierten Fällen Sinn. Außerdem ist natürlich darauf zu achten, dass der Performance-Impact nicht bemerkbar ist.

Das könnte Dich auch interessieren …

1 Antwort

  1. 12. Mai 2019

    […] updaten, damit neue Erkenntnisse auch einfließen. Schau Dir aber am Besten auch die Themen Datensicherheit und Datensicherung […]

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Ich akzeptiere

4 − vier =