WordPress Sicherheit

© Erik (HASH) Hersman / flickr

Wordpress | 14. Mai 2014 | Autor:

WordPress Sicherheit

WordPress ist ein sehr beliebtes Content Management System. Angefangen als reine Blogsoftware, kommt es mittlerweile für viele auch als CMS in Frage. Unter w3techs.com kann man die Verteilung von Content Management Systemen einsehen. 63.1% der überwachten Webseiten benutzen gar kein CMS, jedoch 22,1 % WordPress. Es folgt Joomla auf Platz 2 mit 3,1%. Von den Webseiten, die ein CMS verwenden, liegt WordPress dabei mit 59,9% sehr weit vorne auf Platz 1. Platz 2 ist Joomla mit 8,3%.

Wie man sieht, WordPress ist sehr beliebt. Doch da besteht eigentlich auch die Gefahr: Je mehr Menschen die gleichen Systeme benutzen, desto anfälliger wird dieses System auch für Schadsoftware, Viren und Hacker. Bestes Beispiel ist Windows. Das bedeutet nicht, dass WordPress dadurch mehr Sicherheitslücken bildet, doch viel mehr Angriffe konzentrieren sich auf beliebte Systeme, sodass Sicherheitslücken leichter aufgedeckt werden und im schlimmsten Fall auch ausgenutzt werden.

WordPress Hackerangriffe

Die letzte bekannte große Angriffswelle stammt aus dem April 2013. Details dazu kann man hier nachlesen.

Zusammenfassend lässt sich sagen, dass ein Botnetz versucht hat, über Brute-Force Methoden den admin Account auf unzähligen WordPress Installationen zu knacken.

Wo wir auch schon bei einem der größten Fehler sind, die ein WordPress-Seiten-Betreiber machen kann: Seinen Admin Account den Benutzernamen “admin” zu geben.

WordPress Sicherheit

Seit Version 3.0 ist es möglich, einen eigenen Admin-Usernamen zu wählen. Vorher wurde während der Installation von WordPress der Benutzername Admin Benutzer leider auch “admin” genannt. Wenn Bots bereits wissen, wie der Super-User heißt, dann brauchen sie nur noch das Passwort. Diese Lücke ist aber mittlerweile geschlossen. Installiert man jetzt eine WordPress Installation, dann muss man zu Beginn einen Benutzernamen für seinen Admin-Zugang manuell festlegen.

Die gesamte WordPress Installation sollte immer auf den neusten Stand gehalten werden. Mittlerweile bietet WordPress dafür sogar die Möglichkeit, automatische Updates zuzulassen. Die Aktualisierung von WordPress passiert also ohne eigenens Zutun. Benutzt man diese Funktion nicht, so kann man über das Backend über einen Klick auf den Aktualisieren-Button die neusten Updates einspielen. Die Community von WordPress ist riesig, so dass Updates sehr regelmäßig kommen.

Ein sehr wichtiges Plugin, welches die Sicherheit der WordPress Installation enorm steigert, ist das Plugin Limit Login Attempts. Mit diesem Plugin begrenzt man die Anzahl der fehlgeschlagenen Logins. So kann man z.B. dass User, die ein Passwort drei Mal falsch eingeben, für z.B. 30 Minutengesperrt werden. In einer zweiten Stufe kann man User, die bereits 3 Mal gesperrt worden sind, für z.B. 24 Stunden sperren. Das ganz läuft über die IP-Adresse des Users.

Apropos Plugins: Man sollte wirklich nur die Plugins installieren und aktivieren, die man auch wirklich benötigt. Hat man mal ein Plugin getestet und möchte es doch nicht mehr verwenden, so sollte man dieses auch wieder löschen. Theoretisch kann man sich Plugins von diversen Quellen herunterladen und installieren. Doch diese Quellen müssen nicht unbedingt seriös sein. Die beste Anlaufstelle für Plugins ist die offizielle Plugin Seite von WordPress direkt. Hier findet man auch Bewertungen von anderen Usern.

Auch Themes können Schadcode enthalten. Wenn man seine Themes selber schreibt, ist man natürlich weitaus sicherer unterwegs, als wenn man sich Themes von anderen Quellen zulegt. Natürlich gibt es hier auch seriöse Quellen für Themes. Folgende Plugins überprüfen Themes auf Schadcode: Theme Authenticity Checker (TAC)Theme-Check und AntiVirus.

Man kann natürlich auch über .htaccess die Login-Maske selbst per Passwort schüzen. Ein How-To hat Sergej Müller in seinem Blog beschrieben. Dadurch gelangt man ohne Zugangsdaten gar nicht zur Login-Maske. Das WordPress ist also doppelt gesichert.

Eine weitere Sicherheitslücke sind natürlich auch die Passwörter selbst. Hier empfehlen sich Zufallspasswörter aus Buchstaben (Groß- und Kleinschreibung, Sonderzeichen und Zahlen).

WordPress Backup

Um immer auf der sicheren Seite zu sein, sollte man von seinem System regelmäßig Backups erstellen. Dabei sollte man natürlich darauf achten, dass sowohl das Dateisystem, als auch die Datenbank gesichert werden.

Dies kann man entweder Manuell durchführen, oder man verwendet ein Plugin wie BackWPup. Das Plugin erstellt Backups nach Zeitplan. Diese kann man automatisiert auf externe FTP-Server laden. Cloud-Anbieter wie z.B. Dropbox werden ebenfalls unterstützt.

Bildquelle: Erik (HASH) Hersman / CC

, , , ,

Aktuelles aus Wordpress

WordPress Sicherheit

WordPress Sicherheit

Wordpress ist ein sehr beliebtes Content Management System. Angefangen als reine ...

Ähnliche Beiträge

Folgt uns

Neuste Beiträge

Was muss ein guter Fahrradträger für E-Bikes können?

Was muss ein guter Fahrradträger für E-Bikes können?

Wer im Alltag viel mit dem E-Bike unterwegs ist, ...

Betriebsfeiern haben Folgen

Betriebsfeiern haben Folgen

Werden Ihre Mitarbeiter immer zur selben Zeit krank? Bleiben ...

Einen Staketenzaun aufstellen – So geht’s richtig!

Einen Staketenzaun aufstellen – So geht’s richtig!

Die Zeiten durchgestylter Gärten, in denen kein Grashalm zu ...

Beliebte Beiträge

Top 10 Kostenlose Stock Foto Anbieter

Top 10 Kostenlose Stock Foto Anbieter

Für seine Internetprojekte benötigt man auch immer wieder hochwertige ...

Artikelverzeichnis Liste

Artikelverzeichnis Liste

Artikelverzeichnisse werden von vielen SEOs nicht mehr benutzt. Gerade ...

Firmenhomepage Fehler

Firmenhomepage Fehler

In der Artikelserie "Firmenhomepage Fehler" geht es um Kleinigkeiten ...

Motten bekämpfen – Informationen zur Beseitigung

Motten bekämpfen – Informationen zur Beseitigung

Eine Wohnung oder Haus bieten für Motten hervorragende Lebensbedingungen.Kenne Sie ...

Ähnliche Filme finden

Ähnliche Filme finden

Wer kennt es nicht? Man hat einen Film gesehen ...

Artikelverzeichnisse 2014 – Teil 5: Alternativen & Fazit

Artikelverzeichnisse 2014 – Teil 5: Alternativen & Fazit

Im letzten Teil unserer Artikelserie zum Thema Artikelverzeichnisse im ...

Anzeigen