rss
2

Sicherheitstipps für WordPress – webmaking Interview

In einem Interview mit dem Magazin webmaking habe ich einige Fragen rund um Sicherheitstipps für einen WordPress Blog gegeben. Da ich nun schon seit einigen Jahren aktiver WordPress Blogger bin, habe ich mich den Interview Fragen gestellt, auch wenn ich kein Sicherheitsexperte bin. Neben dem Interview und vielen nützlichen Sicherheitstipps beschäftigt sich die aktuelle Ausgabe von webmaking ausschließlich mit dem Thema WordPress. Es sind einige sehr gute und praxisnahe Tipps für WordPress Blogger dabei. Ich kann das Magazin daher nicht nur wegen dem Interview mit mir empfehlen! ;-)

webmaking Interview mit mir

Sicherheitstipps: Interview webmaking

Sicherheitstipps: Interview webmaking

Neben dem Interview gebe ich noch viele weitere Sicherheitstipps, die ihr euch gerne auch in dem PDF durchlesen könnt.

Download PDF: Sicherheitstipps – webmaking Interview

An welchen Stellen ist WordPress angreifbar?

WordPress ist über viele Stellen angreifbar. Aber keine Angst. Mit ein paar wenigen nicht aufwendigen Maßnahmen wird das Blog schon sehr viel sicherer gegen Angriffe. Mit der Wahl eines sicheren Passworts, Plugins zur Begrenzung der Login Versuche und dem Herunterladen von Plugins oder Themes (Design-Vorlagen) von vertrauenswürdigen Quellen, lässt sich die Sicherheit deutlich erhöhen.

Es gibt immer wieder Versuche, WordPress über die Kommentarfunktion zu attackieren. Durch die Verwendung eines Plugins, wie das empfohlene Akismet, reduziert sich die Gefahr, dass schädliche Codes oder Links übertragen werden. Ich selbst nutze das Plugin Antispam Bee von Sergej Müller, mit dem ich bis jetzt sehr zufrieden bin.

Das Theme selbst stellt eine potentielle Gefahr dar. Nur wenige Blogger schauen sich vor der Installation die vielen Tausend Zeilen Programmiercode an, die in einem Theme mitgeliefert und installiert werden. Für einen versierten Entwickler mit WordPress und vor allem PHP Kenntnissen ist es kein Problem, ein Theme mit Sicherheitslücken zu erstellen. Diese Themes werden zum kostenlosen Download angeboten und öffnen, erst einmal im Einsatz, Tür und Tor für Hacker. Im WordPress eigenen Verzeichnis werden alle Themes vorher geprüft und enthalten keinen bösartigen Code wie z.B. Malware. Bei unbekannten Quellen ist das nicht zwangsläufig der Fall. Solche Themes sollten vor dem Einsatz durch entsprechende Tools überprüft werden. Eine gute Alternative ist es, ein Theme zu kaufen. Das kostet zwar ein paar Euro, sollte aber das Risiko von Angriffen reduzieren.

Der Hostingpartner sollte viel Wert auf Sicherheit legen. Die besten Sicherheitsvorkehrungen nutzen wenig, wenn das Login zum Server nicht ausreichend abgesichert ist. Vor der Entscheidung für einen Hostingpartner sollten daher auch die Sicherheitsvorkehrungen mit in die Entscheidung einfließen.

Sicherheitstipps für WordPress

  • Eigene Usernamen
  • Die meisten Angreifer versuchen mit dem Usernamen und Passwort das Account zu hacken. WordPress schlägt automatisch den Usernamen admin vor. Die meisten Hacker werden daher Passwörter zu diesem Namen verwenden. Admin sollte also nicht als Username verwendet werden. Viele Blogger veröffentlichen Artikel unter dem Usernamen, der auch die Administrator Rechte besitzt. Ein Blick in die Blog Artikel und schon hat ein potentieller Hacker den richtigen Usernamen. Dann muss nur noch das Passwort geknackt werden. Schwerer wird es für den Angreifer, wenn der Blogger die Artikel nicht unter dem User mit Administrator Rechten veröffentlicht. In WordPress besteht die Möglichkeit, verschiedene User mit unterschiedlichen Rechten anzulegen. Es empfiehlt sich, einen User als Autor von Blog Beiträgen anzulegen. Selbst wenn der Blogger unter seinem Admin User angemeldet ist, können die Artikel unter dem Autor User geschrieben werden. Dann erscheint bei den Artikeln immer der Autor User mit den eingeschränkten Rechten. Den Administrator User können potentielle Angreifer dann nicht so leicht ersichtlich in den Blog Beiträgen finden. Diese einfache Maßnahme erhöht die Sicherheit deutlich!

  • Sicheres Passwort
  • Derzeit müssen WordPress Passwörter mindestens 7 Zeichen lang sein. Um es sicherer zu machen, sollten auch Groß- und Kleinschreibung, Ziffern und Symbole wie ! “ ? $ % ^ & ) benutzt werden.

  • wp-config.php verschieben
  • In dieser PHP Datei stehen alle wichtigen Angaben wie z.B. die Datenbankverbindung. Liegt das File nicht im WordPress Root Verzeichnis, können nur noch User mit FTP oder SSH Rechten die Datei lesen. Das erschwert einen Zugriff für Angreifer.

  • Sicherheitsschlüssel (Secret Keys) nutzen
  • Bereits beim WordPress Login werden verschiedene Informationen über Cookies im Browser gespeichert. Um diese Informationen zu verschlüsseln, bietet WordPress Sicherheitsschlüssel (Security Keys), die in der Datei wp-config.php festgelegt werden. Diese Schlüssel sorgen dafür, dass Attacken über die Cookies erheblich erschwert werden und tragen zu einer höheren Sicherheit bei.

    Auschnitt aus der wp-config.php:
    define(‚AUTH_KEY‘, ‚Viele Blogger geben kein Passwort an.‘);
    define(‚SECURE_AUTH_KEY‘, ‚Viele Blogger geben kein Passwort an.‘);
    define(‚LOGGED_IN_KEY‘, ‚Viele Blogger geben kein Passwort an.‘);
    define(‚NONCE_KEY‘, ‚Viele Blogger geben kein Passwort an.‘);

    Tipp: WordPress bietet einen Service zur Erzeugung von sicheren Schlüsseln (Link: https://api.wordpress.org/secret-key/1.1). Dort werden sichere Passwörter zu den verschiedenen Schlüsseln generiert. Anschließend kann die wp-config.php wie in dem folgenden Beispiel geändert werden.

    define('AUTH_KEY','al-}i$1fVB+6x-]pSOGXA8.}O~wFO]m}2*V 4q/zVh.*;|j)n2}VvbSfatJZ6 9R');
    define('SECURE_AUTH_KEY', 'k~-l+Wd$o1!Sx{UzL6/IbK^/T|vEE/zt&yZ)~-bI=r,Y*tv~p/2^.tUyq+,=B-}f');
    define('LOGGED_IN_KEY', ')4hcV0J.4h8;aQCG*3_}00l2R(oJ?8a/ SO*U/5m~qqv.6Y7xbDmv$IdbV,,7MBG');
    define('NONCE_KEY','Km?0zZM)Oi#WWVc6b ;P|K]4l,.Kt%+lj1)% 6WNu,AKXbMeMM3)9x<~wkC39A3m');

  • WordPress Update
  • Einmal entdeckte Sicherheitslücken werden von WordPress umgehend geschlossen. Grundvoraussetzung ist jedoch, dass der Blogger auch immer auf die neueste WordPress Version updated. Wer die Updates nicht zeitnah durchführt, lässt die Sicherheitslücken offen.

  • Backup regelmäßig durchführen
  • Das ist kein Sicherheitstipp. Nach einem Angriff oder anderen Problemen kann ein Backup aber Gold wert sein.

Kleiner Exkurs zum Schluß

Datenbank Tabellen Präfix "wp_" ändern. Eine Sicherheitsmaßnahme? Per Default legt WordPress alle Datenbank Tabellen mit dem Präfix "wp_" an. Viele Experten raten dazu, dieses Präfix während oder nach der Installation von WordPress zu ändern. Es herrscht jedoch keine Einigkeit darüber, ob dadurch tatsächlich die Sicherheit erhöht wird. Um Zugriff auf die
Datenbank zu erlangen, benötigen Hacker die Zugriffsdaten. An diese Daten kommen die Angreifer erst, wenn die Anwendung gehackt ist und man Zugriff auf die Konfiguration (Datei wp-config.php) hat. Hat ein Angreifer erst einmal Zugriff auf die Datenbank, nutzen auch geänderte Tabellen Präfixe nichts mehr. Eine Änderung des Tabellenpräfixes macht sicherlich Sinn, um z.B. in einer Datenbank mehrere WordPress Installationen zu betreiben. Aber einen Sicherheitsgewinn sehe ich durch diese Maßnahme nicht.

Weitere Sicherheitstipps inklusive Interview mit mir findet ihr im PDF.

Mehr über den Autor

Andreas ist Senior Projektmanager in einem der weltweit größten Softwareunternehmen. Nebenbei ist er freier Dozent und lehrt an Fachhochschulen die Themen "Internationales Projektmanagement" und "Softwarearchitektur". Hier im Weblog-ABC gibt Andreas regelmäßig Webmaster, Affiliate und SEO Tipps. Mehr über Andreas und Weblog-ABC.

Social Media - Den Artikel empfehlen!

Kommentare und Trackbacks (2)

Trackback URL | Kommentare RSS Feed

  1. MIMA sagt:

    Bei WordPress wird bei der Standart-Installtion das Thema Sicherheit zu wenig Aufmerksamkeit geschenkt. Vielen Dank für die nützlichen Tipps.

  2. Lisa sagt:

    Danke für die tollen Tipps. Vorallem mit dem Sicherheitsschlüssel!