
Wordpress | 14. Mai 2014
WordPress Sicherheit
WordPress ist ein sehr beliebtes Content Management System. Angefangen als reine Blogsoftware, kommt es mittlerweile für viele auch als CMS in Frage. Unter w3techs.com kann man die Verteilung von Content Management Systemen einsehen. 63.1% der überwachten Webseiten benutzen gar kein CMS, jedoch 22,1 % WordPress. Es folgt Joomla auf Platz 2 mit 3,1%. Von den Webseiten, die ein CMS verwenden, liegt WordPress dabei mit 59,9% sehr weit vorne auf Platz 1. Platz 2 ist Joomla mit 8,3%.
Wie man sieht, WordPress ist sehr beliebt. Doch da besteht eigentlich auch die Gefahr: Je mehr Menschen die gleichen Systeme benutzen, desto anfälliger wird dieses System auch für Schadsoftware, Viren und Hacker. Bestes Beispiel ist Windows. Das bedeutet nicht, dass WordPress dadurch mehr Sicherheitslücken bildet, doch viel mehr Angriffe konzentrieren sich auf beliebte Systeme, sodass Sicherheitslücken leichter aufgedeckt werden und im schlimmsten Fall auch ausgenutzt werden.
WordPress Hackerangriffe
Die letzte bekannte große Angriffswelle stammt aus dem April 2013. Details dazu kann man hier nachlesen.
Zusammenfassend lässt sich sagen, dass ein Botnetz versucht hat, über Brute-Force Methoden den admin Account auf unzähligen WordPress Installationen zu knacken.
Wo wir auch schon bei einem der größten Fehler sind, die ein WordPress-Seiten-Betreiber machen kann: Seinen Admin Account den Benutzernamen „admin“ zu geben.
WordPress Sicherheit
Seit Version 3.0 ist es möglich, einen eigenen Admin-Usernamen zu wählen. Vorher wurde während der Installation von WordPress der Benutzername Admin Benutzer leider auch „admin“ genannt. Wenn Bots bereits wissen, wie der Super-User heißt, dann brauchen sie nur noch das Passwort. Diese Lücke ist aber mittlerweile geschlossen. Installiert man jetzt eine WordPress Installation, dann muss man zu Beginn einen Benutzernamen für seinen Admin-Zugang manuell festlegen.
Die gesamte WordPress Installation sollte immer auf den neusten Stand gehalten werden. Mittlerweile bietet WordPress dafür sogar die Möglichkeit, automatische Updates zuzulassen. Die Aktualisierung von WordPress passiert also ohne eigenens Zutun. Benutzt man diese Funktion nicht, so kann man über das Backend über einen Klick auf den Aktualisieren-Button die neusten Updates einspielen. Die Community von WordPress ist riesig, so dass Updates sehr regelmäßig kommen.
Ein sehr wichtiges Plugin, welches die Sicherheit der WordPress Installation enorm steigert, ist das Plugin Limit Login Attempts. Mit diesem Plugin begrenzt man die Anzahl der fehlgeschlagenen Logins. So kann man z.B. dass User, die ein Passwort drei Mal falsch eingeben, für z.B. 30 Minutengesperrt werden. In einer zweiten Stufe kann man User, die bereits 3 Mal gesperrt worden sind, für z.B. 24 Stunden sperren. Das ganz läuft über die IP-Adresse des Users.
Apropos Plugins: Man sollte wirklich nur die Plugins installieren und aktivieren, die man auch wirklich benötigt. Hat man mal ein Plugin getestet und möchte es doch nicht mehr verwenden, so sollte man dieses auch wieder löschen. Theoretisch kann man sich Plugins von diversen Quellen herunterladen und installieren. Doch diese Quellen müssen nicht unbedingt seriös sein. Die beste Anlaufstelle für Plugins ist die offizielle Plugin Seite von WordPress direkt. Hier findet man auch Bewertungen von anderen Usern.
Auch Themes können Schadcode enthalten. Wenn man seine Themes selber schreibt, ist man natürlich weitaus sicherer unterwegs, als wenn man sich Themes von anderen Quellen zulegt. Natürlich gibt es hier auch seriöse Quellen für Themes. Folgende Plugins überprüfen Themes auf Schadcode: Theme Authenticity Checker (TAC), Theme-Check und AntiVirus.
Man kann natürlich auch über .htaccess die Login-Maske selbst per Passwort schüzen. Ein How-To hat Sergej Müller in seinem Blog beschrieben. Dadurch gelangt man ohne Zugangsdaten gar nicht zur Login-Maske. Das WordPress ist also doppelt gesichert.
Eine weitere Sicherheitslücke sind natürlich auch die Passwörter selbst. Hier empfehlen sich Zufallspasswörter aus Buchstaben (Groß- und Kleinschreibung, Sonderzeichen und Zahlen).
WordPress Backup
Um immer auf der sicheren Seite zu sein, sollte man von seinem System regelmäßig Backups erstellen. Dabei sollte man natürlich darauf achten, dass sowohl das Dateisystem, als auch die Datenbank gesichert werden.
Dies kann man entweder Manuell durchführen, oder man verwendet ein Plugin wie BackWPup. Das Plugin erstellt Backups nach Zeitplan. Diese kann man automatisiert auf externe FTP-Server laden. Cloud-Anbieter wie z.B. Dropbox werden ebenfalls unterstützt.