WordPress sicher(er) machen

WordPress sicher(er) machen

WordPress ist ein wunderbares Tool, das weltweit von Millionen genutzt wird. Es soll 60 Millionen WordPress-Seiten geben. Aber ist es auch sicher genug? WordPress sicher(er) machen. Geht das?

Vorteile

WordPress ist aktuell, bestens gewartet, bietet Tausende von Plugins und Themes und ist einfach super. Es gibt praktisch für jedes Problem eine Hilfe im Netz – vieles davon auch auf Deutsch (Englischkenntnisse sind allerdings ein Vorteil). Das Backend finde ich genial. Die Bedienung ist einfach und mit ein bisschen praktischem Geschick, kann man sich eine individuelle, moderne Website kreieren.

 

Bildcredits: flickr

 

Die Schattenseiten des Beliebtseins

Gerade weil WordPress so beliebt ist, wird es häufig angegriffen. Ich muss zugeben, punkto Sicherheit war ich wohl mit meiner alten Seite, die auf WebsiteBaker aufbaute, zu blauäugig unterwegs. Weil ich in Suchmaschinen unter meinem Namen plötzlich Angebote für Viagra und Ähnlichem gefunden hatte, gingen mir die Augen dann allerdings so richtig auf.

Damit war klar, tomzai.ch sollte mit WordPress sicher(er) werden. Aber wie geht das?

Der Live-Tracker

Als erstes installierte ich ein Plugin, mit dem ich verfolgen konnte, wer eigentlich auf meine Seiten zugreifen will. Ab da wurde es echt gruslig. Da greifen so alle paar Sekunden automatische Verbindungen auf meine Homepage zu und wollen Seiten aufrufen, die es gar nicht mehr gibt – eigentlich nie hätte geben dürfen (Hacker hatten sie eingerichtet.) oder sie versuchen gar in den Admin-Bereich zu kommen.

Mit dem Plugin WP-Ban sperrte ich solche IPs. Das Programm hat in den letzten 24 Stunden über 800 abgeblockte Zugriffe registriert.

WordPress sicher(er) machen

Wenn du mal gecheckt hat, dass praktisch die ganze Welt versucht auf deine Seite zu kommen, wenn du mal die Eitelkeit überwunden hast, zu glauben, diese ganze Welt sei an deinen ach so spannenden Blogbeiträgen oder gar deinem Buch interessiert, dann fängst du an zu überlegen, wie du die Schotten dichtmachen kannst.

Datenbank, Benutzerrechte und Login

Die Datenbank darf keinen Namen haben, der irgendwas mit wp zu tun hat – „wp“ ist geradezu eine Einladung, dich zu hacken.

In der wp-config.php muss so einiges angepasst und überprüft werden, insbesondere der Präfix „wp_“ muss auch hier verschwinden. Er kann durch eine zufällige Kombination ersetzt werden.

Die Benutzerrechte müssen so eingeschränkt werden, dass nur Schreibrechte besitzt, wer oder was auch wirklich muss. Will man hier auf die ganz sichere Seite, müsste man wohl vor und nach jeder Administratoren-Tätigkeit die Schreibrechte manuell ändern.

Standardmässig wird die Loginseite in den Administrationsbereich von WordPress mit www.meineseite/wp-login.php aufgerufen. Das wissen natürlich auch die Hacker. Wenn nun auch noch der Benutzername „admin“ gewählt wird, ist schon mal alles bekannt ausser dem Passwort. Für eine Maschine ist es nur eine Frage der Zeit, bis sie dieses herausbekommt. Deswegen soll sowohl die Login-Seite als auch der Benutzername so gewählt werden, dass sie nicht erraten werden können.

Tutorial und Plugins

Im Netz finden sich zahlreiche Tutorials, wie man sich WordPress sicherer macht. Dabei helfen auch Plugins, mit denen die Sicherheit überprüft und erhöht werden kann.

Ich selber nutze das All In One WordPress Security and Firewall Plugin und auch Acunetix Secure WordPress.

Diese Tools übernehmen die Überwachung von kritischen Dateien, blocken unliebsame Gäste, verhindern Mehrfachversuche beim Login, damit Brute-Force-Attacken abgewehrt werden, scannen das System auf Schäden und sind sogar in der Lage, es mit einem zuvor erstellten Backup zu reparieren.

Fazit

Als Neuling muss man sich schon ein paar Stunden Zeit nehmen, sich mit der Materie Sicherheit zu beschäftigen. Dabei stösst man zuweilen auch auf Nebenthemen, wie zum Beispiel die Pflicht, ein Impressum mit Haftunsgausschlüssen und wo weiter zu erstellen.

Wichtig ist natürlich, dass alle Plugins und Themes auf dem neusten Stand sind und das Sicherheitsbewusstsein nicht plötzlich nachlässt.

Die Millionen von Robot-PCs rund um die Welt haben nichts anderes zu tun, als Löcher in Webseiten zu finden, sie zu kapern und in ein Netz einzubauen, das kriminellen Zwecken dient und äusserst mächtig ist.

 

Das „All In One WordPress Security and Firewall Plugin“ meldet:

 

wp_sicherheit

 

 

Tom Zai Verfasst von:

Tom Zai ist Autor, Verleger, Lehrer, Moderator, Musiker und noch vieles mehr.