Werden Sie zum Hackerschreck: 9 Tipps, um Ihre WordPress-Seite zu sichern

Wer einen WordPress-Blog zu wenig kontroversen Themen wie Gartenbau oder Lifestyle-Themen betreibt, denkt oft gar nicht daran, dass irgendjemand diese Seite mit bösen Absichten infiltrieren könnte. Doch auch wenn Sie der freundlichste Blogger im Internet sein sollten und niemand sich direkt an Ihrem Themenfeld stört, gibt es zahlreiche Gründe, warum ein Angriff auf Ihren Blog profitabel sein könnte. Identitätsdiebstahl, die Nutzung Ihrer WordPress-Details zum Zugriff auf andere Plattformen, purer Vandalismus oder schlichtweg ein neidischer Konkurrent: Es gibt mehr als genug Gründe, warum andere Ihnen nachstellen könnten und Sie sich Sorgen um die Sicherheit Ihrer WordPress-Blogs machen sollten.

Zum Glück können Sie schon mit relativ geringem Aufwand die allermeisten Angriffe abwehren, die oft von Amateuren ausgeführt werden und nur dann funktionieren, wenn grundlegende Konzepte der EDV-Sicherheit unzureichend beachtet wurden. Im Folgenden präsentieren wir Ihnen 8 nützliche Tipps, wie Sie diese Fehler vermeiden und Ihren WordPress-Blog vor herkömmlich verwendeten Angriffstaktiken schützen können.

Bedenken Sie dabei jedoch immer, dass auch die beste Systemsicherheit ein unvorsichtiges Nutzerverhalten nicht ausgleichen kann. Gehen Sie immer umsichtig mit Ihren Daten um, geben Sie Ihre Passwörter nicht weiter und öffnen Sie keine verdächtigen Dateien auf Ihrem Rechner. Nun aber zu den Tipps, die ganz konkret Ihre WordPress-Seite betreffen.

1. Nutzen Sie sichere Passwörter und ändern Sie diese regelmäßig

Dies mag wie ein banaler Tipp klingen, aber fragen Sie sich einmal selbst: Ist Ihr Passwort bei WordPress einzigartig, wird also auf keiner anderen Plattform von Ihnen benutzt? Hat es mehr als 10 Stellen? Enthält es wenigstens eine Zahl, ein Sonderzeichen oder einen Großbuchstaben? Bloß weil Ihr Passwort nicht gerade identisch mit Ihrem Nutzernamen ist, muss es noch lange nicht sicher sein.

Bei sogenannten Bruteforce-Attacken versuchen Hacker, durch das rapide Ausprobieren einfacher Passwörter Ihren Account zu knacken, in der Hoffnung, dass Sie vielleicht des Komforts wegen nur ein kurzes, herkömmliches Passwort gewählt haben. Vermeiden Sie dies, indem Sie mindestens ein zweistellig langes Passwort verwenden, das möglichst keine vielfach verwendeten Begriffe enthält (also zum Beispiel nicht „Donaudampfschiff“) und mit Zahlen und Sonderzeichen gespickt ist.

Außerdem sollten Sie dieses Passwort mindestens alle paar Monate ändern. Manchmal erlangen Hacker Zugriff zu ganzen Datenbanken voller Passwort-Nutzername-Kombinationen, die jedoch erst einige Monate später veröffentlicht werden, wenn der Hacker einen geeigneten Käufer gefunden hat. Haben Sie in der Zwischenzeit Ihre Daten geändert, laufen Attacken gegen Sie ins Leere. Werden Sie präventiv tätig und machen Sie Hackern das Leben schwer!

PS: Wenn Sie wie ich zu der Erkenntnis gekommen sind, dass das alles zwar ein super Vorsatz ist, aber an der persönlichen Realität scheitert, sollten Sie unbedingt mal einen Blick auf Last Pass werfen. Dann müssen Sie sich nur noch ein krummes Passwort merken. Alle anderen übernimmt dann diese Browser-Erweiterung.

2. Beobachten Sie Ihre Dashboard-Aktivität

Auf Ihrem Dashboard können Sie feststellen, was die Nutzer Ihrer Seite in der Vergangenheit getrieben haben. In 99 Prozent der Fälle wird dies völlig unschuldiges Verhalten sein, also ein Kommentar, eine Verlinkung oder ein harmloser Upload. Potentiellen Missetätern können Sie damit jedoch schnell auf die Schliche kommen. Hat ein Nutzer wiederholt versucht, eine schädliche Datei auf Ihrem Blog anzubringen? Wollte er die Seite durch Überlastung zum Absturz bringen? Diese und andere Hacker-Strategien können Sie nachvollziehen, wenn Sie den Verlauf Ihres Dashboards genauer beobachten.

Der erste Schritt nach der Identifizierung eines potentiellen Angriffs ist das Blocken des entsprechenden Nutzers; oft genügt dies schon, da hier lediglich versucht werden sollte, Ihre Verwundbarkeit zu testen. Wenn Sie zeigen, dass Sie aufmerksam sind, wird sich der Übeltäter ein leichteres Ziel suchen. Bleibt der Nutzer hartnäckig, können Sie, je nach Art der Attacke, auf spezialisierte Plugins oder Software zurückgreifen, um sein Werk zu unterbinden.

In besonders schweren Fällen, die auch rechtliche Konsequenzen nach sich ziehen könnten, haben Sie mit Ihren Dashboard-Logs einen guten Anhaltspunkt, um Ermittlern erste Hinweise auf die Identität des Hackers zu liefern. Dies sollte jedoch nur in den seltensten Fällen nötig werden.

3. Sichern Sie Ihren eigenen Rechner vor Malware

Zwar können Sie Ihre WordPress-Seite zur Festung ausbauen, doch all das wird wenig Wirkung zeigen, wenn Sie durch einen unzureichend geschützten Rechner ein Einfallstor für Hacker liefern.

Zur Basisausstattung eines jeden Rechners mit Internetanschluss gehört ein hochwertiges, eingeschaltetes und regelmäßig aktualisiertes Virenschutzprogramm; ein Browser, ebenfalls auf dem neuesten Stand gehalten, mit relevanten Sicherheitsplugins zum Blocken von schädlichen Werbeskripten und Popups; ein aktuelles Betriebssystem (wer etwa noch immer mit Windows XP unterwegs ist, sollte dringend ein paar Euro investieren); und ein E-Mail-Account bei einem namhaften Anbieter wie Gmail, der Post mit schädlichem Inhalt sofort filtert und Sie gar nicht erst in Gefahr bringt.

Installieren Sie keine Programme von Quellen, denen Sie nicht vertrauen. Halten Sie eine Quelle für solide, aber erhalten Warnung von Ihrem Virenschutzprogramm, dann vertrauen Sie lieber dem Programm statt Ihrem Instinkt. Vermeiden Sie Webseiten, zu deren Nutzung Sie allzu viele Plugins aktivieren müssen. Je mehr Sie davon benutzen, umso anfälliger wird Ihr Browser für Angriffe.

Wenn es doch trotz allem einmal zu einer schweren Vireninfizierung gekommen sein sollte, formatieren Sie die Festplatte und setzen Sie das ganze System neu auf. Verlassen Sie sich nicht darauf, mit einer oberflächlichen Säuberung alles entfernt zu haben; viele Programme sind hartnäckig und gut im Versteckspielen.

4. Greifen Sie auf eine 2-Faktor-Authentifizierung zurück

Mit der 2-Faktor-Authentifizierung schützen Sie Ihr WordPress-Konto für den Fall, dass der primäre Zugang kompromittiert wurde. Haben Sie aus irgendeinem Grund den Zugang zu Ihrem Konto verloren, können Sie so über Ihr Telefon oder eine E-Mail-Adresse ungewollte Änderungen an Ihrem WordPress-Konto verhindern und neue Zugangsdaten festlegen, über die Sie sich in Ihr WordPress-Konto einloggen können.

Sie haben 2 Möglichkeiten, diese Methode zu nutzen. Die erste empfiehlt sich, wenn Sie ein Smartphone mit Kamera besitzen und QR-Codes scannen können. In diesem Fall können Sie das Plugin Google Authenticator mit Ihrem WordPress-Konto verbinden und die gleichnamige App nutzen, um auf Ihrem Smartphone Zugangscodes zu Ihrem Konto zu generieren. Haben Sie kein Telefon mit diesen technischen Voraussetzungen, können Sie das Plugin WordPress 2-Step Verification nutzen, um eine E-Mail-Adresse als zweiten Authentifizierungsfaktor festzulegen.

Generell empfiehlt sich jedoch die Nutzung eines Telefons als „zweite Verteidigungslinie“, da Hacks auf Ihren WordPress-Account nicht selten von einem unerlaubten Zugriff auf Ihr E-Mail-Konto ausgelöst werden.

In diesem Fall bringt Ihnen das E-mail-basierte System natürlich wenig, wenn Sie keinen Zugriff mehr auf Ihr E-Mail-Konto haben. Solange Sie also Ihr Smartphone nicht verlegen, ist es definitiv die bessere Wahl.

5. Verschieben Sie Ihre wp-config.php

In der Datei „wp-config.php“ werden wichtige Informationen zu Ihrer WordPress-Installation gespeichert. Sollte ein Hacker Zugriff auf diese Datei erlangen, kann er schnell erkennen, wo mögliche Schwachstellen in Ihrer Sicherheitsinfrastruktur liegen und diese entsprechend ausnutzen. Besser also, wenn er diese Datei am besten gar nicht erst vorfindet.

Dazu müssen Sie sie einfach aus dem Root-Verzeichnis Ihrer WordPress-Installation, das generell öffentlich zugänglich ist (denn sonst könnte niemand Ihren Blog sehen), eine Ebene höher verlegen, wo nur Sie Zugriff haben, um es den neugierigen Augen der Öffentlichkeit zu entziehen. Dabei wird jedoch keineswegs Ihr Blog in Mitleidenschaft gezogen, denn die Systemdateien von WordPress interagieren auch dann mit Ihrem Blog, wenn Sie nicht in öffentlichen Verzeichnissen liegen.

Beachten Sie dabei bloß, dass die Datei nicht umbenannt wird und Sie sie tatsächlich nur verschieben, nicht editieren. Es geht hier nicht darum, komplizierte Änderungen in der Datei selbst vorzunehmen, sondern nur um eine Lagerung im nicht-öffentlichen Teil Ihrer WordPress-Installation. Dazu benötigen Sie keine ausgeprägten technischen Fähigkeiten. Um einen Totalausfall zu verhindern, erstellen Sie vor dem Verschieben eine Sicherungskopie der Datei auf Ihrem Rechner. Sollte nach der Dateiverschiebung der Blog nicht mehr funktionieren, laden Sie sie einfach wieder ins Root-Verzeichnis und suchen Sie nach der Quelle des Problems.

6. Verstecken Sie Ihren Admin-Login

Eine bestechend simple Verteidigungsmaßnahme: Um Ihren Account zu übernehmen, muss ein potentieller Hacker erst einmal die Login-Seite finden, mit der Sie sich in Ihr Konto einwählen. Indem Sie diese schwerer auffindbar machen, nehmen Sie Übeltätern praktisch die Tür weg, über die sie in Ihr Konto eindringen müssen.

Dafür stehen Ihnen zwei Plugins zur Verfügung: WPS Hide Login und Protect WP-Admin. Diese Plugins ändern die Adresse Ihrer Login-Seite auf einen Namen, der nur Ihnen bekannt ist, um Hackern den Zugang zu erschweren. Es empfiehlt sich außerdem, die Login-Seite nicht in Suchmaschinen indexieren zu lassen. Auch dabei können Ihnen diese Plugins womöglich behilflich sein.

Bedenken Sie jedoch, dass Sie sich mit dieser Taktik auch selbst „ausschließen“ können, wenn etwa Ihre Festplatte den Geist aufgibt und Sie sich nicht aus dem Kopf an Ihre Login-URL erinnern können. Schreiben Sie sich am besten auf einem Zweitrechner oder ganz klassisch auf einem Blatt Papier auf, wie Ihre neue Login-Adresse lautet, damit Sie diese nicht verlieren. Schließlich sollten nur ungebetene Gäste vom Zugang abgehalten werden, nicht Sie selbst!

7. Erzwingen Sie SSL auch im Admin-Bereich

Wenn Sie sich mal in einem Bahnhof oder Café in Ihre WordPress-Seite einloggen müssen, laufen Sie Gefahr in einen “Man-in-the-middle” Angriff zu geraten. Die ebenfalls anwesenden Hacker hören quasi mit und können die HTTP Zugriffe auslesen. Wenn Sie sich dann einloggen, werden die Zugangsdaten im Klartext übermittelt und erlauben in der Folge den ungehinderten Zugriff auf Ihre Website.

Das kann durch die Nutzung von SSL verhindert werden. Üblicherweise wird ein solches Zertifikat vom Host bereitgestellt, oder muss von Ihnen zuvor bestellt werden. Wenn das Zertifikat für Ihre Website aktiviert wurde, steht Ihnen der Zugriff mit HTTPS zur Verfügung. Sie müssen dann nur noch dafür sorgen, dass der Zugriff anders gar nicht mehr geht:

Dazu öffnen Sie die wp-config.php und fügen folgenden Code ein:

// Use SSL (HTTPS) für den Login.
define('FORCE_SSL_LOGIN', true);
// Use SSL (HTTPS) für den Admin Bereich.
define('FORCE_SSL_ADMIN', true);

 

Damit können Sie sich nicht einmal mehr versehentlich so einloggen, dass Dritte Ihre Zugangsdaten abgreifen können.

8. Schränken Sie Ihre Plugin-Nutzung ein

Nun haben wir Ihnen in den letzten paar Punkten einige nützliche Plugins empfohlen und ermahnen Sie am Ende doch dazu, Mäßigung bei deren Nutzung walten zu lassen. Das muss aber kein Widerspruch sein. Die Infrastruktur Ihres Blogs steht und fällt mit guten, sicheren Plugins; wenn Sie sich jedoch damit überladen, machen Sie Ihre Seite schwer benutzbar und anfällig für Attacken, die auf Sicherheitsfehler in Plugins spezialisiert sind.

Generell sollten Sie sich bei Ihren Plugins folgende Fragen stellen:

  • Benötige ich diese Funktion wirklich oder spiele ich nur damit herum?
  • Wie sieht das Feedback anderer WordPress-Nutzer zu diesem Plugin aus? Fallen die Rezensionen großteils positiv aus? Oder lade ich mir hier ein experimentelles Programm herunter, das meine Sicherheit gefährdet?
  • Wird das Plugin regelmäßig aktualisiert? Wenn nicht, besteht die große Gefahr, dass sich mit der Zeit Sicherheitslücken auftun, die nicht mehr gestopft werden.

Haben Sie sich für ein Plugin entschieden, sollten Sie in Ihrem Dashboard regelmäßig kontrollieren, ob Updates vorliegen. Installieren Sie diese immer, sobald Sie davon hören. Sie haben keinen Vorteil davon, veraltete Software zu benutzen; im Gegenteil ist dies oft genau das Einfallstor, über das Hacker Zugang zu Ihrem Blog erlangen. Dasselbe gilt übrigens auch für die WordPress-Software selbst.

9. Wählen Sie einen qualitativ hochwertigen Webhosting-Dienst aus

Wenn Sie Ihren WordPress-Blog auf Ihrer eigenen Webseite lagern, zahlen Sie für diese Dienstleistung Geld an einen Webhosting-Service, den Sie zu diesem Zweck ausgewählt haben. Möglicherweise spielte damals vor allem der Preis eine Rolle und Sie haben nicht länger über andere Aspekte des Anbieters nachgedacht. Dafür wird es spätestens jetzt Zeit!

Auf der Internetplattform Ihres Anbieters können Sie vermutlich schnell die folgenden Fragen beantworten:

  • Bietet er SSL/TLS-Zertifikate an, die Ihren Nutzern sichere Verbindungen ermöglichen?
  • Trifft er DDoS-Vorkehrungen und wenn ja, welche? Bei einer DDoS-Attacke wird die Webseite überlastet und damit zum Erliegen gebracht; sehr ärgerlich, aber mit der richtigen Strategie vermeidbar.
  • Erstellt er Sicherungskopien Ihrer Dateien – wenn ja, ist dies in Ihrem Paket enthalten oder müssten Sie dafür extra zahlen?
  • Können Sie sich im Ernstfall schnell und unkompliziert an den Kundendienst wenden? Vielleicht sogar rund um die Uhr?

Mindestens drei, besser alle vier dieser Fragen sollten mit „ja“ beantwortet werden; und zwar nicht nur generell, sondern ganz konkret bezogen auf Ihr Hosting-Paket. Sie selbst können zwar zahlreiche Schritte unternehmen, um Ihren Blog zu sichern, aber wenn die Plattform, auf der er lagert, nicht ausreichend gesichert wird, bleiben Sie trotzdem angreifbar. Wechseln Sie notfalls auf einen Anbieter, der mehr Sicherheitsfeatures bietet; dies geht in der Regel relativ unkompliziert für Sie.

Generelle Tipps zum sicheren Umgang mit WordPress (und jedem anderen CMS)

Wie bereits weiter oben erwähnt, veröffentlichen sowohl WordPress als auch die Plugin-Hersteller regelmäßig Software-Updates. Oft werden neben Verbesserungen bei der Sicherheit auch neue nützliche Funktionen angeboten; zögern Sie nicht und nutzen Sie diese Updates, sobald sie erscheinen. Sie können diese Arbeiten natürlich auch auslagern, also die WordPress Wartung outsourcen. Das entspricht dann ungefähr einer Gebäudeversicherung für Ihre Website. Wenn was passiert, ist immer jemand da, der sich darum kümmert und den alten Stand wieder herstellt. Und damit das möglichst gar nicht erst passiert, werden entsprechende Sicherheitsvorkehrungen installiert.

Wenn Sie einen Blog gemeinsam mit mehreren Autoren führen, dann vergewissern Sie sich, dass auch Ihre Mitschreiber ein adäquates Verständnis für digitale Sicherheit besitzen. Schränken Sie notfalls die Rechte der Mitschreiber ein, um im Falle unerlaubter Zugriffe das Schlimmste zu verhindern.

Regelmäßige Sicherungskopien Ihrer Daten können zwar keine Hackerangriffe verhindern, aber im Fall des Falles sehr nützlich sein, um schnell und kompliziert wieder dort weiterzumachen, wo Sie vorher aufgehört haben. Ansonsten könnten Sie viele Stunden und Tage darin investieren, Ihren Blog wieder auf den alten Stand zu bringen. Lästig!

Wir hoffen, dass dieser Artikel keine allzu große Paranoia in Ihnen auslöst. Mit der richtigen Vorbeugungsstrategie müssen Sie sich im Grunde keine Sorgen machen, Opfer eines Hackerangriffs zu werden. Vorsicht ist die Mutter der Porzellankiste: Dies gilt im digitalen Zeitalter vielleicht noch mehr als früher.

Viel Glück und Erfolg bei der Sicherung Ihrer WordPress-Seite. Schon mit ein wenig Aufwand schlafen Sie heute Nacht womöglich viel ruhiger!

 

Teilen

Link in die Zwischenablage kopieren

Kopieren