Sicherheit: WordPress absichern, Edition 2018

Symbolbild, WordPress-Sicherheit, CC0 von Pixabay

Mir ist bewusst, dass das Thema Sicherheit und somit auch die WordPress-Sicherheit bei den meisten kein Lieblingsthema sein dürfte und es daher von vielen gerne ignoriert wird. Aber hier muss man meiner Meinung nach durch. Das Thema ist einfach zu wichtig als, dass man es lange ignorieren kann.

Um sich zu motivieren, sich dennoch mit dem Thema ausführlicher zu beschäftigen, sollte man es ein bisschen wie die Kraftsportler sehen.

Nur die wenigsten mögen das Aufwärmen, obwohl es wichtig ist. Alle wollen sofort mit den Gewichten loslegen. In unserer Analogie: alle wollen an Content und Design.

Was hat WordPress-Sicherheit mit Aufwärmen vor dem Krafttraining zu tun?

Aber das Vernachlässigen von Aufwärmen, Dehnen und diversen Mobilitätsübungen kann sich unter Umständen schnell rächen: Das Verletzungsrisiko steigt und man muss im Fall der Fälle Wochen oder sogar Monate das eigentliche Training ausfallen lassen und sich der Heilung der Verletzung widmen.

So ähnlich ist es auch bei Bloggern und bei den anderen Nutzern von WordPress-Websites. Sicherheit wird häufig ignoriert und alle wollen sich direkt dem Design oder dem Content zuwenden.

Dabei spielt die Sicherheit eine wichtige Rolle und sollte nie vernachlässigt werden, da sich das vergleichsweise schnell rächen kann. Jeder der eine gehackte Website auf Vordermann bringen musste, weiß, wovon ich rede. Man verwendet Ressourcen – also Zeit und/oder Geld – um die Seite wieder zu reparieren bzw. zum Laufen zu bringen und kann sich nicht auf die eigentliche Arbeit konzentrieren.

Es gibt eine weitere Analogie zwischen Krafttraining und Aufwärmen einerseits und WordPress und der Beschäftigung mit der Sicherheit andererseits. Besserer “Fokus” auf das Training und zusätzliches Lernen über den eigenen Körper durch Aufwärmen entspricht dem, dass man bewusster an das WP-Projekt herangeht und mehr über WP lernt.

Beschäftigung mit Sicherheit ist daher keine verschwendete Zeit. Im Gegenteil.

Warum ist die WordPress-Sicherheit so wichtig?

Bei WP gibt es mehr “Spieler” als bei statischen Websites. Es kommen noch PHP und MySQL hinzu. Das erweitert die Angriffsfläche und zu den WP-eigenen Schwachstellen muss man auch auf die Schwachstellen der anderen Mitspieler, also von PHP und MySQL, achten. Kurz gesagt: eine dynamische Website bietet einfach mehr Angriffsfläche.

Hohe Verbreitung = ein lohnendes Ziel

WordPress ist mit Abstand das beliebteste CMS und beherrscht den Markt der Content-Management-Systeme mit knapp 60 %. Nimmt man auch die statischen Websites hinzu, dann laufen momentan knapp 29% aller Websites weltweit mit WordPress.

Durch die hohe Verbreitung, einer hohen Anzahl an Plugins und Themes ist WordPress ein lohnenswertes Ziel für potenzielle Angreifer.
In der Standardinstallation und ohne Plugins ist WordPress eine relativ sichere Sache, und mit wenigen, einfachen Schritten, die ich im Folgenden nennen werde, kannst du die eingerichtete Installation zusätzlich absichern und es einem Angreifer noch schwerer machen in dein System einzudringen.

Maßnahme Nr. 1: Individueller Benutzername und starkes Passwort

Die Sicherheitsmaßnahmen fangen bereits mit der Installation an. Gönne dir einen individuellen Benutzernamen und ein starkes Passwort.

Individueller Benutzername und starkes Passwort in WordPress
Sicherheit fängt schon bei der Installation an: wähle einen individuellen Benutzernamen. Das von WordPress generierte Passwort zu nehmen ist eine gute Idee, da es ein starkes ist.

Während des kurzen Installationsprozesses wirst du unter anderem gebeten auch einen Benutzernamen und das Passwort für den ersten Nutzer bzw. den Administrator zu bestimmen.

Da dich dieser Schritt keine extra Zeit oder Mühe kostet, entscheide dich bitte für einen individuellen Benutzernamen. Nimm bitte nicht admin, Administrator, Webmaster, Demo, Test oder Ähnliches für die Produktivwebsite.

Ein individueller Name muss jetzt keine exotische Buchstabenkombination sein. Dein Vorname oder Spitzname ist schon ausreichend um dich von der Masse abzuheben und schützt dich gut vor den plumpen Angriffen auf die gängigen Benutzernamen, da diese dann ins Leere laufen.

Plumpe Angriffe auf WordPress
aufgezeichnete Angriffe auf den Benutzernamen admin und administrator. IPs wurden geschwärzt.

Starkes Passwort ist Pflicht und keine Kür

Während der Installation generiert WordPress ein Passwort. Es ist zwar ein schwer zu merkendes aber ein von der Installationsroutine als stark gekennzeichnetes Passwort. Ich würde Ihnen empfehlen das Passwort zu nehmen und es in die Zwischenablage zu kopieren oder noch besser in den Passwortmanager zu überführen.

Wozu ein schwaches Passwort führen kann, zeigt folgender Vorfall. Mitte 2016 wurde TechCrunch gehackt. Es handelt sich hierbei um ein sehr großes und bekanntes IT-Portal. Dabei wurde keine Lücke in WordPress oder einem Plugin zum Verhängnis, sondern das schwache Passwort des Redakteurs.

Maßnahme Nr. 2: Loginversuche begrenzen

Eine äußerst sinnvolle und auch schnell eingerichtete Sicherheitsmaßnahme ist die Einschränkung der Loginversuche für einen festgelegten Zeitraum. Damit erschwert man die automatisierten Angriffe auf die Installation (engl. Brute Force) mit denen der Angreifer versucht richtige Kombination aus dem Benutzernamen und Passwort zu erraten.

Um Loginversuche zu beschränken, gibt es mehrere Lösungen bzw. Plugins, mit denen man dies realisieren kann. Ich persönlich empfehle hierfür momentan Limit Login Attempts Reloaded, da es sich sehr einfach einrichten lässt und nicht nur das Login sondern auch XML-RPC-Schnittstelle beobachtet.

Allerdings muss man anmerken, dass diese Maßnahme lediglich gegen weniger elegante Angriffe schützt, die zum Beispiel über die gleiche IP kommen. Hier kann das Plugin ein Muster erkennen und gemäß den eingestellten Regeln reagieren.

Erfolgen die Angriffe dagegen etwas eleganter, zum Beispiel, wenn sie zeitlich verteilt über mehrere IPs kommen, dann kann dieses Plugin logischerweise wenig ausrichten.

Maßnahme Nr. 3: Benutzerrechte mit Bedacht einsetzen oder arbeite nicht immer mit Admin-Rechten

WordPress verfügt über eine Benutzerverwaltung, die in der Standardinstallation fünf Benutzergruppen kennt.

Mein erster Ratschlag bezüglich der Benutzerverwaltung wäre, dass du sparsamer mit den Benutzerrechten umgehst. Nehmen wir mal an, du betreibst ein Weblog, wo mehrere Autoren tätig sind. Dann wäre es ratsam, dass du den neuen Autoren bzw. den Autoren mit wenig WordPress-Erfahrung lediglich die Rechte als Mitarbeiter einräumst.

Den erfahrenen Autoren kannst du Autor-Rechte geben und nur denjenigen, die das ganze koordinieren und leiten, sollten auch Rechte als Redakteur bekommen. Die Administrationsrechte sollte nur derjenige haben, der tatsächlich für die Pflege der WordPress-Installation verantwortlich ist. Das hier einem, dass eine oder andere Plugin den Strich durch die Rechnung machen kann, ist mir durchaus bewusst.

Mein zweiter Rat in diesem Zusammenhang wäre, dass du dich nicht immer mit den Administratorrechten einloggst. Gönne dir den Luxus eines zweiten Accounts. Einen mit Admin-Rechten und den anderen mit Autor- oder maximal Redakteur-Rechten. Nutze den Administrator-Account nur für administrative Tätigkeiten, wie zum Beispiel Plugins und WordPress aktualisieren, und verfasse die neuen Beiträge mit dem Account mit weniger Rechten.

Es ist ein deutlicher Unterschied ob der Angreifer es, dann irgendwann schafft einen Account mit Autorenrechten zu knacken oder ob er im Besitzer der Administrationsrechte ist.

Maßnahme Nr. 4: Aktualisieren und auf dem Laufenden bleiben

Der vierte Tipp in Bezug auf die Sicherheit, ist eine Selbstverständlichkeit, wird aber dennoch von vielen Nutzern sträflich vernachlässigt, wie ich aus meiner Erfahrung als WordPress-Dienstleister beobachten kann. Hauptgründe für diese Vernachlässigung ist zum einen Unwissenheit und zum anderen der Zeitmangel.

Man sollte das Geschehen rund um WordPress beobachten um schnell reagieren zu können, zum Beispiel um Sicherheitsupdates für WordPress und die Plugins einzuspielen oder unsichere Erweiterungen zumindest zeitweise zu deaktivieren.

Die Sicherheitsupdates für die Installation, für die Plugins und für die Themes solltest du zügig einspielen – zügig jetzt bitte nicht mit hektisch verwechseln.

Nehme diesen Punkt nicht auf die leichte Schulter. Du willst bestimmt nicht, dass jemand gekaufte Backlinks in deinen Blogartikeln setzt oder auf deiner Website Werbung anzeigt wird, wenn Besucher von Google-Suche auf deine Website gelangen… das und einiges mehr begegnete mir auf WordPress-Installationen, die nicht mehr gepflegte Themes und Plugins im Einsatz hatten und die ich dann im Auftrag der Betreiber bereinigen musste.

Darüber hinaus solltest du auch wichtige Anbieter von News zu sicherheitsrelevanten Themen im Auge behalten. Neben dem offiziellen Weblog solltest du meiner Meinung nach zumindest noch die zwei folgenden Quellen folgen:

Maßnahme Nr. 5: wenn nicht benötigt, dann bitte die XML-RPC-Schnittstelle sperren

Die XML-RPC-Schnittstelle wird für zwei Bereiche benötigt. Einmal für das Pingback-System innerhalb von WordPress und wenn Sie auf WordPress mit externen Anwendungen, wie zum Beispiel externen Editoren zugreifen wollen.

Greifen Sie nicht mit externen Anwendungen zu und sind Ihnen die Pingbacks nicht wichtig, dann können Sie diese Schnittstelle blockieren, die standardmäßig aktiv ist und zwar unter anderem mit folgendem Code in der .htaccess-Datei:

<files xmlrpc.php>
Order deny,allow
deny from all
</files>

Mit Hilfe dieser Anweisung werden die externen Zugriffe auf die Schnittstelle bzw. die Datei xmlrpc.php blockiert. Das Problem an dieser Schnittstelle ist es, dass man gleichzeitig mehrere hundert Passwort-Abfragen an sie abschicken kann.

Ein paar abschließende Worte

Die von mir im Rahmen des Artikels vorgestellte Maßnahmen sind nicht die einzigen, die man anwenden kann. Sie sind aber vor allem schnell und leicht umzusetzen, auch von Nutzern mit weniger Erfahrung und sie entfalten eindeutig eine Wirkung.

Darüber hinaus sollten Sie das Thema Sicherheit ganzheitlich angehen. Dazu sollte man die Sicherheitsmaßnahmen nicht einzeln, sondern als ein Gesamtpaket betrachten, wo sich die einzelnen Maßnahmen ergänzen und nicht in die Quere kommen.

Zum Thema Sicherheit gehören auch Maßnahmen gegen Spam auf deiner Installation und Backups: also ein holistisches Sicherungskonzept muss her. Sollten irgendwann deine Sicherheitsmaßnahmen nicht ausreichen, dann kannst du mit einem sauberen Backup in kurzer Zeit wieder mit deiner Arbeit loslegen.

Bildnachweis: Vorschaubild und das Gym-Bild sind CC0 und stammen von Pixabay: 1 und 2.

Wir arbeiten seit 20 Jahren mit WordPress und bieten diverse Dienst­leistungen rund um das System an. Kontaktiere uns für weitere Informationen oder für ein Angebot.

Verwandte Beiträge:

8 Kommentare

  1. Danke für diese Hinweise!
    Wie sinnvoll ist die Benutzung von Plugins wie iThemes Security (Better WP Security)?
    Oder gibt es andere Plugins, die Ihr empfiehlt?

    Danke im Voraus!

    1. Ich persönlich bin skeptisch gegenüber solchen Security-Suites. Die bringen eine Reihe an Funktionen und damit steigt die Gefahr, dass es Probleme mit anderen Plugins gibt. Ich hatte neulich eine Kundin, die mit WordFence Ihre Website für Suchmaschinen ausgesperrt hat.

      1. Ich halte ebenfalls nicht von solchen Suiten. Ich gehe auch den Weg, wie du ihn gehst. Die XML-RPC-Schnittstelle hatte ich noch nicht auf dem Schirm. Ich passe auch noch den Tabellenpräfix an.

  2. Vielen Dank liebes Perun.net Team!

    Was Sichertehit angeht, bin ich nicht gerade gut informiert und merke gerade wie dringend ich noch daran arbeiten MUSS !!!

    Zur Zeit besteht bei einigen meiner Seiten das Problem, dass ich Seitenaufrufe durch URLS bekomme, die ich gar nicht besitze. Als Beispiel steht dann in der WordPress Statistik anstelle von http://www.perun.net dann http://www.perun.net/wahlt_die_afd !!!!

    Am Anfang kam es nur bei einer Seite vor. Mitlwerweile sind 4 verschiedene Websiten betroffen.

    Wie kann sowas nur enstehen? Bin über jeden Profi Tip sehr dankbar!

    Herzliche Grüße,

    Max

    1. Hallo Max,

      solches Problem hatte ich bis jetzt nicht. Aber das erinnert mich an etwas ähnliches was ich hatte: Referrer-Spam in Jetpack.

      Ich denke man kann nicht viel dagegen machen, aber man kann die Einträge filtern und so die Statistiken sauber halten (siehe Link).

  3. Durch sehr gehäufte Erinnerungen meines Plugins, das Loginversuche begrenzt, bin ich auf diesen Artikel gestoßen. Die gute Nachricht: Alle Maßnahmen habe ich erfüllt. Trotzdem irritiert mich, dass mich in den letzten 10 Stunden ca. 150 E-Mails über “9 ungültige Anmeldeversuche (3 Sperrungen)” erreicht haben. Sonst erhalte ich 5-10 die Woche.

    Muss ich mir Sorgen machen? Oder einfach die Füße still halten?
    Ich habe die Schwelle des Plugins etwas gesenkt – aber das löst das Problem nicht.

    1. Die E-Mail-Benachrichtigungen deaktiviere ich immer. Bei einigen Seiten würde sonst mein Postfach überlaufen, weil sie permament aus der Ukraine und sonst woher beballert werden.

      Sorgen mache ich mir da keine. Sowas ist aus meiner Erfahrung heraus eher normal.

Kommentare sind geschlossen.