+49 (0)32 221 096 223

WordPress sicher machen (Whitepaper)

Sofern man die entsprechenden Sicherheitsvorkerhungen trifft, ist WordPress eine äußerst sichere Plattform. Leider ist genau dieser Punkt oftmals das Problem. Eine Studie von Sucuri zeigt beispielsweise, dass nicht weniger als 25% von den WordPress Hacks im ersten Quartal 2016 durch drei Plugins verursacht wurden, die zu spät geupdatet wurden.

In diesem Whitepaper stellen wir 25 Maßnahmen vor, mit denen Sicherheitsrisikos minimalisiert werden können.

ALLGEMEINE Empfehlungen

  • Verwende ein starkes Passwort

Passwörter zu “brute forcen“ ist die am häufigsten vorkommende Art eine Webseite anzugreifen. Versuchen Sie stets ihr Passwort lang und bewusst arbiträr zu gestalten. Das Verwenden von Passwort Managern wie beispielsweise 1Password oder Keepass ist aus Sicherheitsgründen sehr zu empfehlen. Es ist ebenfalls sehr wichtig, Passwörter regelmäßig zu ändern.

passwort-sicher

  • Zugriffskontrollen nach dem Prinzip der minimalen Rechte

Machen Sie nicht jeden der an der Webseite arbeiten muss zu Administrator. Geben Sie den entsprechenden Personen lediglich die Rechte die sie benötigen um ihre Arbeit vernünftig ausführen zu können.

  • Sichern Sie Ihren eigenen Computer und halten Sie ihn virenfrei

Mit Keyloggern und anderer Software können Passwörter mit Leichtigkeit erbeutet werden. Sorgen Sie also am besten immer dafür dass das Betriebssystem ihres PCs stets up-to-date ist, Virusscanner und Firewall laufen und Sie ausschließlich legale Software verwenden.

  • Melden Sie Ihre Seite bei der Google Search Console an

Mit dem Google Search Console Dienst bekommen Sie Warnmeldungen zugesandt, falls Ihre Webseite infiziert sein sollte oder aus anderen Gründen ein ‚Blacklisting‘ oder eine Strafe verhängt wurde. Sie können ebenfalls über die Search Console eine erneute Kontrolle beantragen um mit Ihrer Webseite wieder von der schwarzen Liste herunter zu kommen. Dies geschieht selbstverständlich erst wenn jegliche Form von Malware entfernt wurde.

search-console

WordPress Core schützen

  • Sorgen Sie dafür, dass der WordPress Core immer up-to-date ist

Es kommt zwar selten vor, aber ab und zu werden Schwachstellen in der WordPress Platform selbst entdeckt. Sorgen Sie deshalb immer dafür, dass auf Ihrer Webseite immer die neuste Version vom WordPress Core läuft. Dies kann zu 100% gewährleistet werden, wenn Sie die Auto-Update Einstellung von WordPress bei Savvii einschalten.

  • Deaktivieren Sie die Pingback-und Trackback-Funktion

Pingbacks und Trackbacks sind Benachrichtigungen von anderen Seiten die Ihnen melden, dass sie zu Ihrer Seite verlinken. Dies wird allerdings häufig für Spam verwendet. Gehen Sie im wp-admin Panel zu Einstellungen > Diskussion und entfernen Sie den Haken bei ‚Erlaube Link-Benachrichtigungen von anderen Blogs (Pingbacks und Trackbacks) bei neuen Beträgen‘.

  • Schalten Sie XML-RPC aus

XML-RPC ist notwendig um die Seite über Clients, wie zum Beispiel die WordPress Smartphone App, anzusprechen. Falls Sie diese Funktion nicht verwenden ist es ratsam XML-RPC auszuschalten. Da bei XML-RPC schnell hintereinander mehrere Login-Versuche durchgeführt werden können, kann XML-RPC als Schwachstelle klassifiziert werden. Sie können dieses Problem selbst lösen über die .htaccess (beim Verwenden von Apache) oder indem Sie Kontakt mit Ihrem Hoster aufnehmen.

Fügen Sie die folgenden Zeilen in der .htaccess Datei hinzu:

<Files xmlrpc.php>
 Order Deny,Allow
 Deny from all
 </Files>

  • Schalten Sie die Benutzerregistrierung aus

Viele Bots erstellen Benutzeraccounts um Spam verschicken zu können. Falls das Erstellen von Benutzern für Ihre Seite nicht essenziell ist, sollten sie diese Funktion via ‚Einstellungen > Allgemein‘, und durch das Entfernen des Häkchens bei “Jeder kann sich registrieren“, ausschalten.

  • Deaktivieren Sie den Editor

Sollte sich jemand unverhofft über wp-admin Zugang zu ihrer Seite verschafft haben, kann dieser Eindringling großen Schaden anrichten mit dem eingebauten Editor. Diese Funktion lässt sich jedoch in der wp-config.php abschalten, indem Sie die folgende Zeile hinzufügen:

define('DISALLOW_FILE_EDIT', true);

  • Verwenden Sie nicht “admin“ als Benutzernamen

Bei einer ‚Brute Force Attacke‘ probiert der Angreifer sowohl den Benutzernamen als das Passwort zu erraten. Angesichts Dessen, dass ‚admin‘ standardmäßig als Benutzername bei neuen WordPress Installationen eingerichtet wird, bedeutet dies, dass der Angreifer lediglich noch das Passwort erraten muss um sich Zugang zu verschaffen. Indem Sie allererst einen neuen Administratorbenutzer anlegen und anschließend den Benutzer ‚admin‘ löschen, verringern Sie den Erfolg möglicher ‚Brute Force Attacken‘ maßgeblich.

WP Plugins & Themas sicher machen

  • Stellen Sie sicher, dass Plugins & Themas immer up-to-date sind

Sicherheitslücken in Plugins und Themas können weltweit für circa 50% von allen WordPress Infektionen verantwortlich gemacht werden. Regelmäßig werden durch Forscher oder Entwickler Sicherheitslücken gefunden, die anschließend an die Entwickler etwaiger Software gemeldet werden.  Die entsprechenden Entwickler werden sich dann bemühen schnell entsprechende Sicherheitsupdates herauszubringen um die Sicherheitslücken zu schließen. Oftmals werden Details über Sicherheitslücken, und wie diese ausgenutzt werden können, erst nach dem Beheben der Probleme preisgegeben. Demnach: Achten Sie darauf, dass sie Plugins und Themas immer so schnell wie möglich updaten.

  • Erwägen Sie ein Security Plugin

Security Plugins haben Vor- und Nachteile. Bei Savvii sind wir der Meinung, dass Aufgaben, die Security Plugins ausführen, wie beispielsweise das Bannen von IPs die zu viele Loginversuche vorweisen, besser auf einem höheren Niveau durchgeführt werden sollten. Das ist sicherer und weniger belastend für die Geschwindigkeit Ihrer Webseite. Um die wichtigsten Sicherheitsaspekte kümmern wir bei Savvii uns bereits auf Serverniveau. Dies ist jedoch nicht bei jedem Hoster der Fall. Wir empfehlen Ihnen selbst abzuwägen, ob Security Plugins in Ihrem Fall einen zusätzlichen Nutzen erbringen zusätzlich zu den Maßnahmen die Ihr Hoster bereits ergriffen hat.

Ein Security Plugin kann beispielsweise Nutzer zwingen stärkere Passwörter zu verwenden. Indem Sie sich hierum jedoch selbst bereits gekümmert haben, wird das Plugin überflüssig.

  • Löschen Sie unnötige und nicht verwendete Plugins & Themas

Dass ein Plugin oder Thema deaktiviert ist, will das nicht heißen, dass etwaige Sicherheitslücken nicht ausgenutzt werden können. Löschen Sie am besten alle Themas und Plugins die Sie derzeit nicht verwenden.

  • Verwenden Sie vertrauenswürdige Plugins und Themas

Idealerweise sollten Sie kostenlose Plugins und Themas verwenden. Beschränken Sie sich am besten auf Themas und Plugins die aus der WordPress.org Repository stammen. Diese worden bekanntermaßen gescreend. Das bedeutet allerdings nicht, dass Sicherheitslücken beim Screening nicht übersehen werden können, aber die Qualität der Produkte ist in jedem Fall durch eine unabhängige Partei analysiert. Lesen Sie immer aufmerksam Reviews, schauen sie nach wie häufig Plugins und Themes geupdatet werden und probieren Sie einzuschätzen ob der Support gut ist.

Verwenden Sie nie und nimmer Premium Plugins oder Themas die illegal angeboten werden. Man kann davon ausgehen dass hier immer Malware versteckt ist.

  • Verwenden Sie keine Themas die einhergehen mit Plugins

Wie bereits zuvor genannt, ist es essenziell dass man immer die neuste Version von einem Thema und/oder Plugin aktiviert hat. Auf manchen Webseiten oder Märkten werden Themas und Plugins angeboten die einhergehen mit Plugins. Sie sind dann abhängig von Thema Updates um die Plugins updaten zu können. Es gibt verschiedene Beispiele wo Entwickler von Themas nachlässig Updates gebracht haben, obwohl die Entwickler von den dazugehörigen Plugins Sicherheitslücken bereits lange geschlossen hatten.

  • Editieren Sie niemals direkt Plugins oder Themas

Es ist selbstverständlich, dass es keine gute Idee ist innerhalb Ihrer Seite de Code von Plugins oder Themas von Dritten anzupassen. Dies hat zur Folge, dass diese Plugins oder Themas nicht mehr ohne Verlust der Funktionalität geupdatet werden können.

Für die benutzerdefinierte Anpassung von Themas sollten Sie am besten Child Themes verwenden. Dies steht möglichen Updates von Ihrem Thema nicht im Weg.

  • Zwei-Faktor Authentifizierung von WordPress

Normalerweise benötigt man einen Benutzernamen und ein Passwort um sich bei WordPress einloggen zu können. Diese Dinge weiß ein jeder. Bei der Zwei-Faktor-Authentifizierung benötigen Sie neben dem Benutzernamen und Passwort noch etwas um sich einloggen zu können. Das kann ein Gegenstand sein, den nur Sie besitzen, ein Smartphone oder ein USB-Schlüssel beispielsweise, oder ein Iris-Scan oder Fingerabdruck. Diese zusätzlichen Aspekte erschweren unautorisierten Zugang zu Ihrer Webseite maßgeblich.

Ein bekanntes Zwei-Faktor-Authentifizierungsplugin für WordPress ist beispielsweise clef.

screenshot-1-1

Hosting & Server

  • PHP Version kontrollieren

Auch PHP hat so seine Sicherheitslücken. Deshalb ist es sehr wichtig, dass auf Ihrer Webseite eine PHP Version läuft, die dauerhaft mit neuen Updates versorgt wird. Auf php.net kann man genau einsehen welche Versionen das sind. Sie können bei ihrem Hoster die aktuell bei Ihnen Installierte PHP Version erfragen. Ein zusätzlicher Vorteil von der neusten Version von PHP (PHP 6 vom Juni 2016) ist, dass diese wesentlich schneller ist als seine Vorgänger.

  • Blockieren von PHP-ausführung in /wp-content/uploads

Viele Backdoors (Skripte die Angreifern Zugang zu Ihrer Seite verschaffen) landen in dem Ordner /wp-content/uploads/. Es ist deshalb äußerst ratsam dafür zu sorgen, dass kein PHP-Code in diesem und allen untergeordneten Ordnern ausgeführt werden kann. Auch der /wp-includes Ordner sollte auf dieselbe Weise gesichert werden. Gute Managed WordPress Hoster, wie zum Beispiel Savvii, tun dies bereits automatisch. Läuft ihr Hosting in einer Apache Umgebung, dann sollten Sie in den entsprechenden Ordnern eine .htaccess Datei erstellen mit dem folgenden Inhalt:

<Files *.php>
 Order allow,deny
 Deny from all
 </Files>

  • Backup Frequenz und Retention kontrollieren

Sollte Ihre Seite dennoch unverhofft gehackt werden oder durch Sie selbst beschädigt werden, dann ist ein gutes Backup sehr wichtig. Achten Sie darauf, dass minimal 1x pro Tag ein Backup durchgeführt wird und dieses abseits von dem Server wo die Seite gehostet wird gespeichert wird. Verifizieren Sie auch, dass Ihre Backups minimal 7, am besten jedoch 14 Tage abrufbar sind. Bei Savvii führen wir täglich externe Backups mit einer Retention von 14 Tagen durch.

  • Malware Scan & Entfernung kontrollieren

Jeder gute Hoster scannt mindestens 1x pro Tag nach Malware. Die Meisten warnen den Kunden auch wenn sie etwas finden. Zumindest wir bei Savvii tun dies in jedem Fall. Oftmals müssen Sie selber schauen wie Sie die Malware und die Ursache selber beheben. Die meisten Managed WordPress Hoster können dies jedoch auch für Sie erledigen. Selbstverständlich ist es an Ihnen, mit Hilfe von all den anderen in diesem Whitepaper genannten Sicherheitsaspekte, weitere Infektionen zu vermeiden.

  • Zugang zur wp-config.php beschränken

In der wp-config.php Datei sind unter anderem der Benutzername und das Passwort ihrer Datenbank gespeichert. Diese Daten sollten nicht in die Hände eines Angreifers fallen. Es ist deshalb sehr wichtig diese Datei zu schützen. Dies tun Sie indem Sie die folgenden Zeilen in einer .htaccess Datei einfügen (Apache):

<Files wp-config.php>
 Order allow,deny
 Deny from all
 </Files>

Ein guter Hosting Anbieter hat dies bereits für Sie erledigt.

  • Zugang zu /wp-admin und wp-login.php beschränken

Nebst einem guten Passwort können Sie auch erwägen um nur Ihren eigenen IPs Zugang zu Ihrem /wp-admin und wp-login.php Seiten zu verschaffen. Ihre IP Adressen sind dan gewhitelistet und alle anderen IPs gleichzeitig geblacklistet. Dies könnten Sie bei Ihrem Hoster beantragen.

  • Verschlüsselung auf Webseite und FTP

Sollte die Kommunikation zwischen Ihnen oder Ihren Besuchern und Ihrer Webseite unverschlüsselt sein, kann der Datenverkehr zwischenzeitlich ausgelesen werden, wodurch beispielsweise Passwörter oder andere sensible Informationen preisgegeben werden. Um dem vorzubeugen, ist es wichtig sowohl ihre Webseite als auch Ihren FTP Server mit einem Verschlüsselungsprotokoll zu sichern.

Um seine Webseite zu verschlüsseln benötigt man ein SSL Zertifikat. Ob man eine FTP Verbindung sichern kann mit dem sFTP Protokoll hängt stark vom gewählten Hosting Anbieter ab.

  • Kontrollieren Sie Ihre Error-Logs

Eine Webseite die Schlecht entwickelt wurde ist wesentlich anfälliger für Hacking Angriffe. Kontrollieren Sie deshalb ab und zu ob Ihre Seite Fehler generiert indem Sie die Log-Files einsehen. Sollten Sie Fehlermeldungen entdecken, dann sollten sie umgehend Maßnahmen einleiten. Bei Savvii können Sie die Error Log-File über das Savvii Plugin finden oder über sFTP downloaden.

Fazit

Es ist eine ausgiebige Liste, aber in der Regel ist es sehr machbar sich an die obengenannten Tipps zu halten. Falls Sie alle obengenannten Sicherheitstipps befolgen ist das Risiko dass Ihre WordPress Seite doch gehackt wird sehr minimal. Das Risiko 100% zu eliminieren ist jedoch unmöglich. Sollten Sie selbst relativ wenig technische Erfahrung und Know-how besitzen, dann ist es ratsam mit einem vertrauenswürdigen Webdesigner und einem auf WordPress spezialisiertem Hoster, wie Savvii, zusammen zu arbeiten.

Möchten Sie dieses Whitepaper lieber downloaden um es auszudrucken? Es ist ebenfalls verfügbar als PDF.

Kommentar

(nicht dargestellt)
(nicht dargestellt)
* Erforderliche Felder

Zurück zur Übersicht

Wir arbeiten mit:

  • rackspace_savvii
  • New Relic
  • nginx_savvii
  • Varnish
  • Mandrill
  • Freshdesk