Wie sichere ich meine WordPress Seite ab?

Photo by Jason Blackeye on Unsplash

Da das Thema für mich selber und auch für meine Kunden immer mal wieder aktuell wird dachte ich dass ich mal einen Beitrag zum Thema WordPress und Website Sicherheit starte.

Was bedeutet Sicherheit eigentlich?

Man hört und liest ja immer wieder über Sicherheit, Sicherheitslücken und über irgendwelche Hacker-Angriffe die, für den Laien nur schwer erfassbaren, Sicherheitslücken ausgenutzt haben um an Daten zu kommen oder ganze Netzwerke und Systeme zu kompromittieren. Aber wie kann ich mich als kleiner Webseiten- oder Blogbesitzer gegen solche Angriffe schützen und welche Strategien kann ich, vor allem als Laie, anwenden um mich zu schützen? In diesem Artikel wollen wir auf ein paar der wichtigsten Maßnahmen ein wenig eingehen.

Zuerst eine schlechte Nachricht

Irgendwo ist immer ein Loch im Zaun…
Photo by Calvin Ma on Unsplash

Zuerst muss man einmal festhalten dass es eine absolute Sicherheit nicht gibt. Die meisten Computersysteme sind mittlerweile so komplex dass sich naturgemäß immer Fehler finden werden die ein gewiefter Angreifer ausnutzen kann um Ihr System zu kompromittieren. Dazu kommt die Tatsache dass Systeme wie WordPress natürlich auch weiterentwickelt werden und jede neue Funktion auch mit dem Risiko einhergeht dass sich neue Fehler in das System einschleichen. Hier kommen wir auch schon zu unserem ersten Punkt:

1. Halten Sie Ihr System immer aktuell

Wie bereits gesagt werden Systeme wie WordPress ständig weiterentwickelt und es lohnt sich öfter mal zu schauen was eine neue WordPress-Version denn an neuen Features mit sich bringt. Darüber hinaus werden sehr häufig mit neuen WordPress Versionen auch alte Sicherheitslücken gepatcht weshalb Sie häufiger mal nach neuen Softwareupdates suchen sollten.

Aber Achtung: Neben WordPress selber müssen Sie auch die von Ihnen verwendeten Plugins aktuell halten und ggf. regelmäßig prüfen ob ein verwendetes Plugin überhaupt noch vom Entwickler betreut und gepflegt wird. Dies kann besonders relevant werden wenn Sie speziell für Ihre Website oder Ihren Blog entwickelte Plugins verwenden und meinen Wartungsvertrag mit Ihrem Programmierer abgeschlossen haben. Womit wir beim zweiten Punkt wären

2. Seien Sie sparsam bei der Verwendung von Drittanbieter Software

Es spricht natürlich nichts dagegen das ein oder andere Plugin für WordPress zu verwenden. Trotzdem sollten Sie nicht einfach wahllos Plugins installieren, gerade wenn Sie der Quelle nicht uneingeschränkt vertrauen. Behalten Sie immer im Hinterkopf dass ein Plugin neuen, potenziell gefährlichen, Programmcode in Ihr System einbaut und hier ggf. ungewollte Effekte entstehen können wenn der Programmcode des Plugins mit Ihrer WordPressseite oder eventuell auch anderen Plugins interagiert. Beachten Sie auch dass Sie für ein installiertes Plugin auch immer wieder Updates einspielen sollten und prüfen müssen ob das Plugin überhaupt noch weiterentwickelt und betreut wird. Je mehr Plugins Sie verwenden umso komplexer wird diese Aufgabe.

3. Sichern Sie regelmäßig Ihre Daten

Dies sollte eigentlich eine Selbstverständlichkeit sein aber ich weise trotzdem nochmal darauf hin. Sie sollten regelmäßig ein Backup Ihres Systems durchführen. Häufig wird dies von Ihrem Hostingprovider sowieso automatisch erledigt, dann sichern Sie nur nochmal das Backup Ihres Hostinganbieters separat, beispielsweise auf einer eigenen externen Festplatte.

Sie haben zuviel Zeit und Energie investiert um Ihr System zu verlieren! Und sollte beispielsweise ein Angreifer Ihr System kompromittiert haben ist es die einzige wirklich vernünftige Option das System auf einen Stand vor dem Angriff zurück zu setzen und von dort aus den Fehler der den Angriff erlaubt hat zu beheben.

Ein bereits kompromittiertes System werden Sie nie wieder sicher bekommen weil Sie schlicht und ergreifend nicht nachvollziehen können welche und wieviele Änderungen ein Angreifer ggf. durchgeführt hat!

4. Erschweren Sie unbefugten Nutzern sich einzuloggen

Dies sollte eigentlich eine Selbstverständlichkeit sein, ich weise aber trotzdem nochmal darauf hin. Vor allem wenn Sie mit Ihrer Website oder Ihrem Blog Geld verdienen sollten Sie Ihre Zugangsdaten hüten wie Ihr ganz persönliches Staatsgeheimnis. Erst neulich ging wieder ein riesiger Leak an eMail/Passwort Daten durch die Medien. Es wäre jetzt blöd wenn Sie nicht nur mit Ihrer Mailadresse dabei wären, sondern aus Faulheit ausgerechnet das geleakte Passwort auch für Ihren Blog oder, noch schlimmer, Ihren online Shop verwenden. Ich verstehe zwar dass man keine Lust hat für jeden Dienst immer ein neues, super sicheres und deshalb super schlecht zu merkendes Passwort parat zu haben. Aber vor allem bei etwas wie einem online Shop der ggf. auch Kundendaten gespeichert hat müssen Sie sehr sauber und sicher arbeiten. Ansonsten kann das sehr schnell ganz unangenehme und kostspielige Folgen für Sie haben. Nachfolgend möchte ich Ihnen hierzu ein paar Tipps geben:

Verhindern Sie dass sich zwielichtige Gestalten in Ihr System einloggen…
Photo by sebastiaan stam on Unsplash

Benutzen Sie keine Standard-Benutzer

früher hiess der Administrator Benutzer bei WordPress Installationen immer “admin”. Dies wurde irgendwann geändert und Sie können nun den Namen für den Admin-Account frei wählen. Nutzen Sie diese Möglichkeit und nehmen Sie einen nicht allzu leicht zu erratenden Nutzernamen (Ihr Vor- oder Nachname sollte deshalb auch wegfallen). Bedenken Sie dass ein Angreifer durch Ihren Nutzernamen bereits die Hälfte des Puzzles kennen würde.

Benutzen Sie lieber lange, einfache Passphrasen als kurze und komplexe Passwörter

Man kennt es, die meisten Seiten geben einem mittlerweile vor Passwörter anhand sehr komplexer Vorgaben zu erstellen. Der Hintergrund dabei ist dass eine besonders beliebte Art Passwörter zu knacken die so genannte brute-force Methode ist. Brute force bedeutet dabei ein Knacken des Passworts durch rohe Gewalt. Dies kann beispielsweise Buchstabe-für-Buchstabe erfolgen oder auch anhand von Wörtbüchern. Selbst wenn Sie kurze aber komplexe Passwörter verwenden würden, beispielsweise sowas wie “k0mpl3x” hätten Sie mit 7 Buchstaben immer noch ein vergleichsweise kurzes Passwort dass relativ schnell zu knacken wäre, vor allem da heutige Passwort cracking Programme durchaus automatisch Buchstabenersetzungen wie “0” für ein “o” oder “3” für ein “e” durchprobieren. Aber auch längere Passwörter die sich aus im Wörterbuch enthaltenen Begriffen zusammensetzen sind nicht unbedingt sicher. “IchliebeWeinsauerkraut” wäre zwar ein wesentlich längeres Passwort, setzt sich aber trotzdem aus leicht zu erratenden Wörtern zusammen.

Um es kurz zu machen: Wählen Sie Passwörter die eine gewisse Länge haben und aus nicht Standard-Wörtern bestehen. Dabei muss es sich allerdings auch nicht um zufällige Zeichenketten handeln. Nehmen Sie beispielsweise einen Satz:

“MeinHundFiffiistdieBeste”

Dieser ist relativ lang, enthält mit dem Namen des Hundes auch noch ein nicht Standard-Wort und ist damit schonmal etwas schwerer zu erraten. Möchten Sie nun auf Nummer sicher gehen und es wirklich schwierig machen können Sie beispielsweise noch ein paar Wörter in Ihrem Satz abändern, vielleicht ein paar Sonderzeichen einfügen:

“Mein-Hnd-Fiffi-ist-di3-B3$t3!”

In diesem Fall haben wir durch die Spiegelstriche sowohl Lesbarkeit als auch Komplexität erhöht. Dadurch dass wir “Hund” in “Hnd” geändert haben ist es schon kein Wort aus dem Wörterbuch mehr und auch die Ersetzung von Buchstaben und Sonderzeichen macht das Passwort wesentlich komplexer. Trotz der Länge kann man sich das Passwort trotzdem noch ganz gut merken weil wir einen gut zu merkenden Satz und keine zufällige Buchstaben-/Zahlenkombination verwenden.

Benutzen Sie ein lockdown Plugin

Hiermit verstosse ich in gewisser Weise gegen meinen eigenen Rat möglichst wenige Plugins zu verwenden, mache aber eine Ausnahme weil lockdown Plugins einfach sinnvoll sind.

Ein Lockdown Plugin ermöglicht es Ihnen sich gegen unbefugten Zugriff auf Ihren Account zu schützen. Dies geschieht dadurch dass bei unbefugtem Zugriff eine Sperre eingebaut wird die ein weiteres einloggen verhindert. Unterschiedliche Plugins verwenden hier unterschiedliche Methoden. Beliebt ist es beispielsweise den Zugriff nach 3 erfolglosen Versuchen für x Minuten zu sperren. Es gibt auch die Möglichkeit nach jedem erfolglosen Login Versuch eine Pause einzubauen: Erster Versuch 30 Sekunden Pause, Zweiter Versuch 60 Sekunden, Dritter Versuch 120 Sekunden und so weiter.

Daneben gibt es auch noch Plugins die untätige Benutzer nach einer gewissen Zeit automatisch ausloggen. Dies kann durchaus sinnvoll sein wenn Sie mit mehreren (mehr oder weniger sicherheitsbewussten) Nutzern in einem System arbeiten oder beispielsweise öfter von unterwegs an Ihrer Seite arbeiten und nicht wollen dass Ihnen einmal eine Pinkelpause zum Verhängnis wird.

Sie lauern überall…
Photo by Javardh on Unsplash

Unterschätzen Sie nie den menschlichen Fehler

Abschliessend muss man nochmal festhalten dass egal wie sicher und raffiniert Ihr System auch gesichert sein mag, der größte Sicherheitsfaktor sitzt immer noch vor dem Bildschirm. Das beste Passwort nützt nichts wenn es sich der Nutzer nicht merken kann und deshalb mit einem Klebezettel an den Monitor pinnt.

Desweiteren läuft ein großer Teil der heutigen Angriffe über so genanntes social engineering. Dabei werden gezielt Mitarbeiter angegriffen, beispielsweise indem einem Mitarbeiter vorgegaukelt wird man wäre ein Kollege oder Vorgesetzter oder es werden die privaten Konten eines Mitarbeiters gekapert und von dort ein Angriff auf eine Firma gestartet. Die Möglichkeiten sind endlos.

Wissen Sie wie Sie am einfachten in ein fremdes Firmennetz kommen? Sie stellen sich in der Küche der Firma in die Kaffeeküche, stellen sich freundlich als neuer Kollege vor und fragen ganz lieb nach dem WLan Passwort…

5. Achten Sie auf einen sicheren Hoster

Auch abseits Ihrer WordPressinstallation lauern potenzielle Sicherheitsrisiken. Was nützt Ihnen die beste und sicherste WordPressinstallation wenn ihr Hoster seine Software nicht aktuell hält? Achten Sie darauf einen Hoster mit gutem Ruf zu nehmen. Schon vor Vertragsabschluss können Sie bei sämtlichen seriösen Hostern im Regelfall einsehen auf welcher Software und welcher Version das System des Hosters basiert. Checken Sie ferne ob beispielsweise für die Datenbank (meistens MySQL) und die serverseitigen Programmiersprachen wie PHP, Ruby, Perl o.ä. aktuelle Versionen zum Einsatz kommen.

Die gute Nachricht hier ist dass die Hoster einem starken Konkurrenzdruck unterliegen und daher häufig der Unterschied zwischen einem mittelprächtigen Angebot und einem sehr guten Angebot im Bereich von 2-5€ Preisunterschied liegt und Sie trotzdem am Ende um 10€/Monat an Kosten bleiben.

Schlusswort

Die Sicherheit von Websites und WordPressseiten im Besonderen ist eine Aufgabe der sich ganze Firmen und Fachbuchautoren widmen. Dieses Thema ist so komplex dass es hoffnungslos erscheint die Thematik anhand eines Blogposts in der Tiefe behandeln zu wollen. Verstehen Sie diesen Blogpost daher lieber als einen Einstieg in die Materie der Sie zum Nachdenken anregen soll.

Da das Thema so wichtig ist werde ich mich bemühen diesen Artikel regelmäßig zu aktualisieren und zu erweitern, schauen Sie also einfach ab und zu mal wieder vorbei. Sollten Sie selber noch Anmerkungen haben so schreiben Sie mir doch einfach eine Mail.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.