Endlich ist die Website fertig. Endlich kannst Du sie von der To-do-Liste streichen. Oder auch nicht. Was die Sicherheit angeht, werden WordPress-Installationen oft unterschätzt. Deshalb spreche ich heute mit Blogger und WordPress-Kenner Ronny Schneider darüber, worauf es ankommt und wie Du böse Überraschungen ausschließen kannst.
Simone Maader: Hallo Ronny, was sind aus Deiner Sicht die Basics in Sachen Sicherheit? Worauf sollte ich unbedingt achten, wenn mein Blog oder meine Website auf WordPress läuft?
Ronny Schneider: In erster Linie würde ich empfehlen, WordPress und sämtliche Erweiterungen (Themes, Plugins) immer auf dem aktuellen Stand zu halten. Veralteter Code ist das größte Einfallstor für einen potenziellen Angreifer. Die Entwickler geben sich große Mühe, die Lücken immer wieder zu füllen, damit WordPress sicher ist. Aber der Anwender muss die Updates natürlich auch installieren.
Leuchtet mir ein. Worauf muss ich noch achten?
Klingt jetzt vielleicht banal, aber es sollte unbedingt eine sichere Verbindung verwendet werden, sprich der https Standard mit einem SSL-Zertifikat. Es gibt immer noch Webseitenbetreiber, die ungesicherte Verbindungen verwenden.
Daneben solltest Du vor allem dem Zugriff auf den Adminbereich in Punkto Sicherheit große Aufmerksamkeit schenken. Wenn jemand den Login zum Backend hat, kann er im Grunde alles mit der Webseite anstellen: Inhalte austauschen, Schadsoftware implementieren oder ähnliches.
Aus diesem Grund ist das Minimum ein sehr sicheres Passwort mit einer gewissen Länge. Das BSI (Bundesamt für Sicherheit in der Informationstechnik) empfiehlt hier mindestens 16 Zeichen ohne Zusammenhänge, also keine sinnvollen, vollständigen Wörter. Jedes weitere Zeichen über die 16 hinaus erhöht die Sicherheit ungemein.
Zusätzlich empfehle ich eine 2-Faktor-Authentifizierung, die sich bereits mit einem htaccess-Schutz des wp-admin Ordners realisieren lässt. Das macht es dem Angreifer sehr schwer, weil er noch nicht drin ist, wenn er die „ersten“ Daten geknackt hat. Natürlich darfst Du hier nicht dieselben Login-Daten verwenden, sondern andere oder alternativ ein Plugin, das per E-Mail oder SMS angesteuert wird.
Genauso sollten wir als Betreiber der Webseite die wp-config.php gegen Angriffe schützen. Dort sind die Datenbank-Informationen gespeichert. Ein Angreifer könnte sich mithilfe dieser Daten ebenfalls Zugriff zum System verschaffen. Zum einen bietet es sich an, diese Datei so einzurichten, dass das Original verschoben wird und WordPress darauf zugreift. Die Dateiberechtigung sollte ebenfalls eingestellt werden. Da nur WordPress Zugriff auf die Datei braucht, wären hier 400 chmod-Rechte die richtige Wahl.
Zusätzlich kann die Datei ebenfalls mit htaccess für Zugriffe von außen gesperrt werden. WordPress erkennt zum Beispiel automatisch, wenn die wp-config eine Ordner-Ebene höher liegt. Das ist allerdings nicht bei jedem Hoster möglich. Die Alternative wäre eine Umleitung auf eine andere Datei, die in einem Unterordner liegt. Übrigens kann und sollten auch die htaccess-Dateien selbst geschützt werden.
Mit einigen nützlichen Plugins kannst Du zudem noch den Namen des Admins verschleiern. Dann wird nur der sogenannte Displayname auf der Webseite angezeigt. Versuche mit diesem in Kombination mit einem Passwort, führen immer ins Leere, weil der Nutzername ganz anders lautet. Dazu muss aber auch die Rest-API abgeschaltet werden für äußere Zugriffe, weil zum Beispiel darüber sich die Usernamen auslesen lassen.
In meinen Blogs ändere ich zudem noch die ID des Admin-Users. Das hat den Vorteil, dass Angreifer über URL Aufrufe mit der ID 1, die der Admin meistens hat, nicht zum Ziel kommen. Dann ist es schwerer herauszufinden, wie der Adminname lautet. Warum ist das wichtig? Wenn der Angreifer den Usernamen hat, muss er nur noch das Passwort herausfinden, nicht zwei Variablen.
Oje, das ist ein ganz schöner Berg an Maßnahmen. Kann ich das allein bei WordPress einstellen oder brauche ich dafür Programmierer:innen?
Im Grunde kannst Du eine Vielzahl der genannten Punkte selbst vornehmen. Die meisten Hoster unterstützen dabei auch tatkräftig. Und ganz ehrlich: Ich meine, Dinge wie das Passwort länger und sicherer gestalten oder WordPress immer up to date halten, sind keine Diplomaufgaben.
Anpassungen an den Dateiberechtigungen, htaccess-Schutz oder das Deaktivieren der Rest-API sind im Vergleich dazu nicht mehr ganz so einfach zu handeln, wenn der Betreiber nicht zumindest einige Kenntnisse in Sachen Programmierung hat. Der Code muss langfristig betrachtet auch gepflegt werden.
Bevor Du also Deine Seite lahmlegst, lieber einen Profi dranlassen.
Zumal bei manchen Schutzfunktionen noch der Zugriff in die Datenbank notwendig ist. Dort kann viel kaputt gemacht werden und es empfiehlt sich, nicht bei jeder Kleinigkeit ein Plugin zu verwenden. Je mehr Plugins installiert sind, desto mehr Sicherheitslücken könnten vorhanden sein.
Was kann mir denn passieren, wenn ich die Sicherheit vernachlässigt habe? Hast Du ein paar Beispiele, was das Ergebnis eines Hackerangriffs sein kann?
Da kann jede Menge passieren. Je nachdem, welcher Natur der Angriff ist. Weil der Hacker alles anstellen kann. Er könnte zum Beispiel alle Passwörter ändern und den Inhaber der Webseite erpressen. Wie wir es von Imotet kennen: Zahle Summe X dann kannst Du Dein System wiederhaben.
Ansonsten könnten Angreifer Daten löschen. Dann wären die Texte weg, die mit viel Arbeit verbunden waren. Das wirkt sich dann auch auf die Suchmaschinen aus. Wenn die Inhalte nicht mehr vorhanden sind, verliert der Betreiber der Seite seine kompletten Rankings. Wenn das ein privater Blog ist, mag das verkraftbar sein. Wer damit aber Geld verdient, hat vielleicht Jahre an Arbeit und Investitionen verloren.
Außerdem könnten Angreifer Schadsoftware auf der Webseite platzieren, um zum Beispiel Spyware oder Viren beim Besucher zu installieren. Im schlimmsten Falle sind also die Leser genauso betroffen. Oder deren Daten, wenn welche im Backend von WordPress verarbeitet werden. Zum Beispiel über Kontaktformulare.
Zumal der Webseitenbetreiber rechtlich für die Inhalte haftet und sich strafbar machen kann, wenn da plötzlich illegale oder gewaltverherrlichende Inhalte veröffentlicht werden.
Okay, also die Sicherheit unbedingt im Blick behalten. Und woher weiß ich, ob bzw. wann mein Blog oder die WordPress-Website gut abgesichert sind? Kann man das irgendwie nachprüfen?
Im Grunde kann man das nur händisch prüfen mit einigen Befehlen über die URL, wo gängige Einfallstore abgecheckt werden. Dafür braucht es jedoch entsprechendes Wissen. Kostenlos sind mir ehrlich gesagt keine umfassenden Tests bekannt. Natürlich gibt es Plugins und Webseiten, die Checks anbieten. Die lassen sich dafür jedoch bezahlen.
Gut, aber nach dem, was Du beschrieben hast, was mir schlimmstenfalls blüht, wenn ich gehackt wurde, scheint mir das ein sinnvolle Investition zu sein. Bist Du schon mal gehackt worden?
In meiner Anfangszeit als Blogger hatte ich tatsächlich einen Vorfall. Damals konnte sich ein Angreifer Zugang zu meiner Webseite verschaffen. Dort hat er einige Bilder ausgetauscht und bei den ausgetauschten Bildern Schadsoftware hinterlegt. Das habe ich damals gar nicht selbst bemerkt. Irgendwann erhielt ich eine Mitteilung von Google, dass meine Webseite Schadsoftware enthalten soll.
Daraufhin habe ich meinen Hoster kontaktiert. Dieser hat umfangreiche Scans gemacht und die betroffenen Dateien gelöscht. Außerdem haben wir ein älteres Backup eingespielt und ich habe zusätzlich sofort meine Passwörter überall geändert. Nach diesem Vorfall habe ich mich intensiv mit Sicherheitsmaßnahmen auseinandergesetzt.
Natürlich wird man nie 100 Prozent Sicherheit haben können. Mit den Maßnahmen, die ich genannt habe, wird es den Angreifern aber sehr schwer gemacht.
Lieber Ronny, danke für Deine ausführlichen Erklärungen und Tipps. Wer die alle umsetzt, kann ruhig schlafen denke ich.
Und wenn Du als Leser:in jetzt mehr über Ronny und seine Arbeit als Blogger wissen möchtest, dann lies einfach noch ein paar Zeilen weiter.
Ronny Schneider ist SEO- und WordPress-Profi. Auf Blog als Nebenjob schreibt er regelmäßig, wie ein Blog erfolgreich gestaltet werden kann. Darüber hinaus bietet er Hilfe bei der Einrichtung eines Blogs sowie kleineren Optimierungsarbeiten an.
Website: www.blog-als-nebenjob.de
LinkedIn: http://www.linkedin.com/in/blogalsnebenjob
Moin, und ich bin Simone Maader, ein echtes Nordlicht, mein Credo ist #EinfachBessererContent und ich betreibe dieses Blog. Mein Ziel ist es, Dich von Blabla und Content-Chaos zu befreien.
Ich möchte, dass Du Deine Zielgruppe begeisterst, in Suchmaschinen gefunden wirst und die sozialen Netzwerke mit Freude, Leichtigkeit und vor allem erfolgreich nutzt. Wie wir das gemeinsam hinbekommen, das erfährst Du auf meiner Website: https://www.maader.de/leistungen/
Wunderbar, genau an so einem Beitrag suche ich. Mit WordPress beschäftige ich mich schon ein paar Monaten und versuche an jede mögliche weiße möglich viel über WordPress zu wissen. Kann schon jetzt mit Sicherheit sagen, das eure Text hier ein der besten wenn nicht das Beste, ist den, ich über diese Thematik gelesen habe.
Wow, danke für Dein Lob! Es freut mich, dass Dir das Interview weiterhilft.
Dann wünsche ich Dir jetzt viel Erfolg beim Absichern Deiner Website.
Herzlichen Gruß
Simone
Dankeschön für deine charmant geschriebenen Tipps zur Sicherheit. Ich schreibe seit 2000 meine Blog und seit 2007 mit WordPress – ich hab da so einige Erfahrungen 🙂
Herzliche Grüsse Concierge Gerry
Klasse, es freut es mich, dass Dir der Artikel so gut gefällt.
Danke Dir und viel Erfolg weiterhin auch für Dein Blog.
Viele Grüße
Simone