Mehr Sicherheit für Wordpress
2013-10-01 13:33 (Kommentare: 1)
Wordpress-Installationen sind in der letzten Zeit wiederholt das Ziel von Hackern geworden. Diese nutzen nicht nur schwache Passwörter, sondern auch Schwachstellen der CMS-Software. Doch einige Lücken können Administratoren schließen oder den Cyberkriminellen das Eindringen zumindest deutlich erschweren. Sicherheitsexperten müssen die Wordpress-Verwalter dazu nicht werden. Für eine solide Basissicherung reichen Tipps und Kniffe sowie etwas Erfahrung mit der CMS- und Blog-Software. Regelmäßige Backups helfen im Falle des Gaus, die Schäden an den eigenen Daten in Grenzen zu halten.
Zahlreiche Wordpress-Installationen wurden in den vergangenen Monaten Opfer von Hackerangriffen. Das hat Unruhe unter den Nutzer verbreitet. Vielfach unnötig: Mit ein paar Kniffen lässt sich WP sicherer machen und das fängt mit einem sicheren Passwort und Webserver-Einstellungen an.
Individuellen Admin-Nutzernamen und ein sicheres Passwort wählen
Zum Kapern des Login benötigen Hacker das Passwort und den Benutzernamen. Wer den Admin-Login mit einem alternativen Login-Namen konfiguriert, erschwert den Einbruch. Doch Aufgepasst: Werden Posts mit diesem Account veröffentlicht, so wird bei den meisten Themes auch der geheim zu haltende Nutzername preisgegeben. Für das Posten der Beiträge ist es daher ratsam, einen Nutzeraccount zu verwenden, der ausschließlich mit einfachen Redakteur-Rechten ausgestattet ist. Der alte Admin-Account muss natürlich gelöscht werden. Die bisherigen Beiträge können ganz einfach per Standard Wordpess-Funktion an einen anderen Nutzer transferiert werden. So bleiben diese erhalten.
Ein starkes Passwort wählen
Die Grundregel für ein sicheres Passwort lautet: lang (über 8 Zeichen) und ein wilder Mix aus Zahlen, Sonderzeichen und großen wie kleinen Buchstaben. Zum Merken der Kombination kann ein passender Spruch als Eselsbrücke dienen. Wer es bequemer mag, kann einen Password-Tresor wie Keepass verwenden. Fällt das Ausdenken eines sicheren Passwortes schwer, hilft unter allen Betriebssystemen die Java-Software Password Generator.
Installation absichern
Ein sicheres Passwort allein schützt heute nicht mehr vor Einbrüchen. Oftmals liefern Plug-ins, Themes und der Core selbst frei Haus Einfallstore für Cyberkriminelle. Zum Glück schließen die Entwickler meist mehr oder weniger zügig die Lücken. Eine Beschränkung auf wirklich benötigte Plug-ins ist aus diesem Blickwinkel ratsam. Ebenso sollte die wp-config.php einen Zugriffsschutz erhalten (siehe Apache .htaccess Mini-Howto).
Regelmäßig updaten
Regelmäßige Updates sind erste Pflicht, um die Installation sicher zu halten - auch wenn dies bisweilen mit Aufwand verbunden ist. Wer Updates nicht verpassen will, kann die Erweiterung WP-Updates Notifier einsetzen. Diese verschickt eine Mail, sobald ein Update registriert wird.
Login sichern
Präventiv können Wordpress-Administratoren jedoch auch einiges machen, was Hackern den Einbruch erschwert. Das fängt beim Login an. Idealerweise wird dieser durch ein SSL-Zertifikat verschlüsselt. Darüber hinaus lässt sich der Zugriff auf das WP-Backend zusätzlich per Webserver sichern.
Mit einer Zwei-Faktoren-Authentifizierung wird es deutlich schwerer, Sicherheitslücken auszunutzen und die Installation zu manipulieren. Realisiert wird diese Sicherung über die Dateien .htaccess und .htpasswd. Die Konfiguration ist unter Wordpress einfach. Diese kann über das Plug-in AskApache oder von Hand erfolgen. Bei letzterem lässt sich der htpasswd-Generator von htaccesstools.com nutzen.
Apache .htaccess Mini-Howto
- Mit einem Texteditor eine Datei mit dem Namen .htpasswd im Hauptverzeichnis des Blogs anlegen
- htpasswd-Einträge erzeugen (z.B. mit http://www.htaccesstools.com/htpasswd-generator/) und in die Datei einfügen
- Sofern nicht vorhanden, eine .htaccess-Datei im Hauptverzeichnis des Blogs erzeugen. Diese wird mit einem Texteditor bearbeitet. Der folgende Code wird eingefügt.
# protect wp-login.php
AuthName "Log-in Backend"
AuthType Basic
AuthUserFile ~/.htpasswd
Require valid-user
# Deny access to important files
<FilesMatch "(\.htaccess|\.htpasswd)">
Order deny,allow
Deny from all
# protect wpconfig.php
Order deny,allow
deny from all
Versuche, sich ohne das richtige htaccess-Password einzuloggen, führen nur zu einer Auslieferung einer 401 Authorization Required Fehlerseite durch den Webserver. An die Wordpress-Installation kommen diese Versuche erst gar nicht heran.
Schadensminderung bei Einbrüchen
Alle diese Tipps können Einbrüche erschweren, aber nicht verhindern. Daher sollte für den Ernstfall vorgesorgt werden. Effektiv ist dies durch Backups möglich. Da Wordpress auf Basis einer Datenbank arbeitet, reicht das Kopieren der PHP, CSS und HTML Dateien nicht. Abgesehen von der WP-Config liegen die variablen Daten in der Datenbank. So muss vor allem diese gesichert werden. Das ist beispielsweise per phpmyadmin oder per Wordpress-Plugins möglich. Zu den beliebten gehören Backup Wordpress oder BackWPup Free.
Sollten Sie kein Backup zur Hand haben können Sie sich immer sehr gerne an uns wenden. Alles Systeme werden regelmäßig gesichert.
Letzte Artikel: