sicherheit Bild

WordPress Sicherheit – So bleibt der Hacker draußen !

WordPress Sicherheit – Die Einleitung

Viele haben viel Leidenschaft und Herzblut in ihren WordPress Blog gesteckt und haben über Monate und Jahre ihren Blog ausgebaut. Es wäre mehr als schade, wenn nun durch vermeidbare Fehler, Hacker Zugriff auf den Blog erlangen und damit die meist jahrelange Arbeit quasi von einem auf den anderen Tag vernichten.

Es ist ein Irrglaube, wenn man animmt, das Hacker sich vor allem auf Unternehmen stürzen, da man dort vermeindlich mehr holen kann. Auch kleine private Blogs sind gern genommene Ziele. Sei es um Schadsoftware an die Besucher des Blogs aus zu liefern, oder um einfach nur Daten zu klauen.

So wurden z.B 2017 über 1,5 Millionen WordPress Installationen erfolgreich attackiert. Erst ein paar Tage später gab es ein Sicherheitsupdate, das die Sicherheitslücke geschlossen hat. Wer hier nicht schnell reagiert hat und das Update nicht sofort eingespielt hat, hat sich quasi selbst ins Knie geschossen.

Ein sicheres Passwort ist Pflicht

Es ist erschreckend das man auch heut zu Tage noch drauf hinweisen muss nur sichere Passwörter zu verwenden. Aber es zeigt sich, das viele diesen Grundsatz weiterhin mißachten. So werden immer wieder Passwörter wie 12345 oder das Geburtsdatum gewählt.

In Zeiten, in denen man auch Passwortmanager verwenden kann, sollten sichere Passwörter eigentlich selbstverständlich sein. Man muss sich diese ja nicht mehr merken. Es sollten mind. 15 Zeichen enthalten sein und Buchstaben, Zahlen und Sonderzeichen verwendet werden. Am besten nutzt man den Passwort Generator des Passwortmanagers um sichere Passwörter zu erstellen.

Auch gern gemacht, aber fatal ist, das man die selben Passwörter für verschiedene Dienste nutzt. Da braucht nur ein Anbieter erfolgreich gehackt zu werden um das Passwort zu verbrennen. Es gibt quasi täglich Meldungen über gehackte Dienste, bei denen Daten abgegriffen wurden.

Auch probieren Hacker selbstverständlich sämtliche erbeuteten Passwörter meist mit Bruteforce Angriffen bei anderen Diensten aus. Wer da das gleiche Passwort für verschiedene Dienste nutzt, muss deshalb gleich überall das Passwort ändern, oder wird wieder gehackt.

Stets für Updates sorgen

Auch ein Bereich der gerne vernachlässigt wird sind Updates. Aus dem in der Einführung erwähnten Hack aus dem Jahr 2017 hätte es enorm weniger erfolgreiche Einbrüche gegeben, wenn die WordPress Nutzer das Sicherheitsupdate zeitiger eingespielt hätten.

Je länger eine Seite mit Sicherheitlücken offen steht, desto wahrscheinlicher ist, das man auch gehackt wird. Jeden Tag scannen nämlich tausende Bots automatisch deine Seite nach Schwachstellen. Ein fehlendes Sicherheitsupdate kann da sehr schnell fatal sein.

Ich persönlich lasse mein WordPress und meine Plugins automatisch updaten. Falls es zu Problemen aufgrund der Updates kommt, habe ich immer ein aktuelles Backup, was ich regelmäßig erstellen lasse. Mir ist eben die Sicherheit lieber, wie die Gefahr das ein Update sich mal verschluckt.

Plugins nur aus sicheren Quellen

Ich verstehe ja, das es verlockend ist, ein eigentlich kostenpflichtiges Plugin über einer der vielen dubiosen Pluginseiten für lau zu installieren. Man kann da erstmal jede Menge Geld sparen. Jedoch gibt es viele Seiten darunter, die Schadsoftware in die gecrackten Plugins einbauen. Man selbst kann nicht wirklich verläßlich feststellen, ob das nun auch bei deinem ausgewählten Plugin so ist.

So gehst du immer ein großes Risiko ein und es wäre doch schade, wenn dein seit Monaten oder Jahren aufgebauter Blog durch ein schadhaftes Plugin quasi von heut auf morgen unwiederbringlich zerstört wird.

Deshalb sollte man stets seine Plugins über den von WordPress geführten Katalog beziehen. Hier sind sämtlche frei für WordPress erhältliche Plugins aufgeführt. Ausnahme bilden da die kostenpflichtigen Plugins. Diese sollte man sich nach dem Kauf direkt von der Herstellerseite herunterladen und dann in WordPress installieren.

Regelmäßige Backups erstellen

Auch das wird gern vernachlässigt. Backups sind aber für einen Webmaster existientiell. Wurde die Seite erfolgreich gehackt, oder man hat sich verbastelt, ist mit einem vorhandenen Backup nicht alles verloren. Sicherlich bietet der eine oder andere Hoster Backups in seinem Hostingtarif an, aber es ist immer sinnvoll selbst für seine Backups zu sorgen.

Hier habe ich zwei Plugins vorgestellt um in WordPress regelmäßig Backups zu erstellen.

So kann man nach einem erfolgreichen Angriff ohne Probleme, ein sauberes Backup einspielen. Wenn kein Backup vorhanden ist, kann es nämlich richtig teuer werden um den Blog säubern zu lassen. Im schlimmsten Fall ist der gesamte Blog verloren. Da zahlt es sich in barer Münze aus, vorher für Backups gesorgt zu haben.

Ich gebe zudem den Tip nicht nur das letzte Backup zu behalten. Sondern mehrere Zeiträume zu erfassen. Denn es kann auch sehr gut sein, das das vorige Backup schon infiziert ist, da die Angreifer gerne mal nach der Infiltration auch ne Zeit verstreichen lassen, bevor sie die Schadsoftware aktiv schalten und der Einbruch schon länger zurück liegt, wenn man die Schadsoftware feststellt.

Sicherheitsplugins

Wenn man sich im klaren ist, das diese Plugins meist nicht das bieten, was sie versprechen. Nämlich 100% Sicherheit kann man auch ein Security Plugin nutzen. Man muss nur verstehen, das es nicht damit getan ist einfach ein Plugin zu aktivieren und alles ist sicher. Die vorher von mir angesprochenen Punkte müssen trotzdem umgesetzt werden.

Ich persönlich habe jetzt nicht alle Sicherheitsplugins ausgiebig getestet, aber es war bei meiner Recherche schon auffällig, das andere immer wieder berichten, das die Ninja Firewall hier recht empfehlenswert ist, da diese schlanker als mancher Konkurrent aber dabei sehr effizient ist.

Könnt ihr ja mal schauen, ob ihr damit zurecht kommt.

WordPress Sicherheit – Abschließende Worte

Wenn ihr meine Tips alle umsetzt solltet ihr für die meisten Gefahren durchaus gewappnet sein. Natürlich gib es keine 100% Sicherheit, aber mit meinen Maßnahmen sorgt ihr dafür, das ihr es den Hackern nicht einfacher macht, wie es eigentlich sein sollte und ihr noch lange viel Spass mit eurem Blog haben könnt.

alfahosting_banner

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.