WordPress ist ein Content Management System, welches es seinen Nutzern besonders einfach macht. Die Installation ist in wenigen Minuten abgeschlossen, die Einrichtung ein Kinderspiel und neue Themes und Plugins werden mal eben so nebenbei installiert. Die Blogwelt scheint mit WordPress recht einfach zu sein, zumindest auf den ersten Blick.
Auf den zweiten offenbart sich dann, dass WordPress zwar durchaus simpel zu bedienen ist, die Verwaltung aber dennoch etwas mehr Fachwissen erfordert. Denn so einfach das alles auch ist, so gleichbleibend ist es. Erscheint eine Sicherheitslücke auf der Bildfläche, ist sie somit in unzähligen WordPress Blogs vorhanden, nicht nur im eigenen, was einen Angriff für Hacker entsprechend lohnenswert macht. Daher ist WordPress, vor allem aufgrund seiner enormen Verbreitung, ein ständiges Ziel für derartige Attacken.
Das wiederum bedeutet, dass WordPress zwar unkompliziert und von Haus aus relativ sicher ist, aber eben dennoch eine gewisse Kontrolle erfordert. Wer sich dessen nicht bewusst ist, der wird früher oder später gehackt werden und dann geht oft gar nichts mehr. Heute möchte ich euch daher fünf typische Fehler in Sachen WordPress Security vorstellen und erklären, wie ihr sie vermeiden könnt und warum das überhaupt notwendig ist.
1. Ungeschütztes Backend
Was nahezu jeder vergisst, ist, dass der Login, in welchem sich der Admin für gewöhnlich einloggt, für alle Besucher sichtbar ist. Bei WordPress gibt es dabei aber noch eine Besonderheit. Weil das CMS extrem weit verbreitet ist, weiß auch jeder ganz genau, wo sich der Login befindet und wie er dorthin gelangt. Also finden im Grunde genommen permanent Brute-Force-Attacken auf das Backend statt, die noch dazu komplett automatisiert ablaufen.
Um das zu verhindern, wird im besten Fall ein Verzeichnisschutz mittels .htpasswd eingerichtet. Als minimale Schutzmaßnahme empfiehlt sich ein WordPress Plugin wie Limit Login Attempts Reloaded oder noch umfangreicher Ninja Firewall. Das schützt euer Backend vor den permanenten Angriffen und meldet diese auf Wunsch sogar via Logging. Auf keinen Fall sollte der Login so erreichbar bleiben, wie WordPress ihn in als Standard hinterlegt.
2. Mieses WordPress Hosting
WordPress hatte schon immer seine ganz eigenen Besonderheiten und Ansprüche an einen Server. Was für andere Content Management Systeme wichtig ist, scheint WordPress auch heute noch nicht zu interessieren und so bilden sich ganz neue Flaschenhälse in Sachen Performance. Wer einfach nur irgendeinen Server oder Webspace mietet, wird daher schnell Probleme bekommen. Jedenfalls dann, wenn mal mehr als zwei Besucher gleichzeitig auf euren Blog zugreifen möchten.
Gleichzeitig sorgen ein schlechtes Hosting und eine miese Performance für Angriffspunkte, denn wann immer ein System überlastet ist, wird es angreifbar. Zudem sind viele Server gar nicht für WordPress konfiguriert. Sehr oft kommt es vor, dass Kunden sich einen Server mieten, aber keine Ahnung von dessen Technik und Einrichtung haben. Dann ist dieser unsicher konfiguriert und somit ein Sicherheitsrisiko. Wer einen Server betreibt, sollte immer auch über ein wenig Fachwissen verfügen.
Meine absoluten WordPress Hoster Empfehlungen sind:
3. Keine regelmäßigen Updates
Wer sich mit all der Technik rund um WordPress nicht auskennt, der scheut oft auch die automatischen Updates. Diese sorgen unter Umständen nämlich gerne mal dafür, dass ein genutztes Plugin nicht mehr wie gewohnt funktioniert, oder sogar Inkompatibilitäten hervorruft und dann gesamten Blog lahmlegt. Automatische Updates sind daher immer heikel zu betrachten und die meisten haben schlichtweg Angst davor, dass hinterher gar nichts mehr geht.
Diese Angst ist tatsächlich berechtigt, ändert aber nichts an der Tatsache, dass WordPress seine Updates dringend braucht und mit jedem Update auch etwaige Sicherheitslücken schleißt. Werden diese nicht geschlossen, bildet sich wieder ein neues Angriffsziel. Nach jedem Update stelle ich nämlich eine gesteigerte Anzahl an Angriffsversuchen fest. Diese Angriffe versuchen, genau die Sicherheitslücken auszunutzen, die nach dem Update nicht mehr vorhanden wären. Sie zielen also auf diejenigen ab, die mit dem Update noch gewartet haben.
Wenn ihr euch nicht um die Updates kümmern möchtet, schaut euch meine Wartungspakete an.
4. Fehlende Backups
Sicherheit heißt immer auch Vorsorge. Backups sind entweder recht teuer, oder aber sie verursachen Arbeit, weil die Automatisierung zu aufwendig wäre. Also verzichten viele Blogger auf sie und vergessen dabei, dass alles, für was sie arbeiten, nach einem Angriff ein für alle Mal vernichtet wäre.
Natürlich gibt es die Möglichkeit, Schadcode aus einem gehackten Blog herauszutrennen, doch die Wahrheit ist, dass dieser im Normalfall sehr tief verankert worden ist. Das Entfernen würde also viel Zeit und Geld in Anspruch nehmen. Wird ein Blog gehackt, macht es oft mehr Sinn, den letzten funktionierenden Zustand wiederherzustellen und die ausgenutzte Sicherheitslücke zu schließen.
Backups sind somit von großer Bedeutung. Je öfter ein Backup erstellt wird, desto frischer ist immerhin der letzte gesicherte Zustand eures Blogs. Bei einem Datenverlust oder Ausfall verliert ihr also weniger, wenn ein Backup vorliegt.
Meine Top 3 Backup Plugins:
5. Sonstige Sicherheitsprobleme
Zwar hätte ich sehr einfach einen fünften Punkt auflisten können, doch zum Abschluss wollte ich mich vielmehr all den kleinen Sicherheitsproblemen widmen, die in einem Blog auftauchen. Angefangen damit, dass viele Blogger weder für ihren Server noch für ihre WordPress-Installation eine Firewall einrichten. Zudem nutzen die meisten nur schwache Passwörter, bei denen es schlichtweg eine Frage der Zeit ist, bis eine Brute-Force-Attacke sie knackt.
Mit am schlimmsten ist sicherlich, wenn Premium Themes oder Premium Plugins von unsauberen und oft sogar illegalen Quellen heruntergeladen werden. Das ist zwar möglich, doch gerade hier befindet sich sehr häufig schadhafter Code in den Dateien, der dann Tür und Tor für die Angreifer öffnet. Ungenutzte Themes und Plugins sollten zudem immer komplett entfernt werden. Überhaupt solltet ihr euch im Klaren darüber sein, dass jede Erweiterung auch potenzielle eigene Sicherheitslücken mitbringen kann. Es spielt also durchaus eine Rolle, wer für die Software verantwortlich war und wie gut er sich mit der WordPress-Entwicklung auskennt.
Es gibt viele solche vermeintliche »Kleinigkeiten«, die eigentlich recht große und ernst zu nehmende Punkte sind. Doch wer bis jetzt noch nicht begriffen hat, worauf es ankommt, der sollte vielleicht doch lieber einen Experten wie mich damit beauftragen, als selbst Hand anzulegen.
WordPress Security, ein unterschätztes Problem?
Die Sicherheit von WordPress ist ein unterschätztes Problem. Von der Performance wird mittlerweile viel geredet, doch die meisten Blogger sind sich nicht im Klaren darüber, wie stark und oft WordPress angegriffen wird und wie normal solche Angriffe über die Jahre geworden sind.
Vor allem durch die Popularität von WordPress ist es zudem so, dass die meisten Attacken auf Brute-Force-Methoden setzen und weitgehend automatisiert stattfinden. Viele stellen sich immer vor, dass ihr Blog ganz gezielt von einer einzigen Person, also einem Hacker, angegriffen wird, doch oft sind es einfach nur Bots, die vorbeischauen und allerlei Sicherheitslücken zu finden versuchen. Es geht daher gar nicht um euch persönlich, sondern um euren Blog, der eine zu knackende Sicherheitslücke enthält.
Die fünf typischen Fehler sollen dabei als Ermahnung dienen und euch klar machen, wie wichtig es ist, zumindest grundlegende Standards in Sachen WordPress Security einzuhalten. Wer das nicht selbstständig kann, darf sich gerne an mich wenden, damit ich es übernehme. Vielleicht also bis bald.