WordPress absichern & schützen

<- Zurück

Wer sich heute mit Programmen beschäftigt, die einen hohen Verbreitungsgrad erreicht haben, wird zwangsläufig mit dem Problem konfrontiert, dass die Programme häufig auch als Plattform für Schadsoftware genutzt werden und das Programm Opfer eines Angriffs wird. Windows ist auf Desktop-Betriebssystemebene sicherlich das bekannteste Beispiel. Aber auch WordPress ist als ein beliebtes Ziel von Attacken zu nennen und nicht ohne Grund finden sich immer wieder gute Tipps, um seine kostbare WordPress-Installation vor fremden Zugriffen zu schützen.

Natürlich steigt das Angriffspotential und die Attraktivität für Angriffe einer Internetseite immer auch mit dem Bekanntheitsgrad und der Nutzung der Seite. Habe ich kaum Seitenbesucher und ist die Seite eher schlecht zu finden, lohnt sich vielleicht der Aufwand für einen Angriff nicht. Hier sollte man sich aber nicht täuschen. Manch einer macht sich auch einfach nur einen Spaß daraus, in fremde Rechner oder Internetseiten einzubrechen. Leute, die so etwas machen, wollen sich dann vielleicht sogar noch als Hacker bezeichnen und vergessen dann ganz schnell, dass diese Bezeichnung vollkommen deplatziert ist.

Wir werden hier versuchen, die relevanten und möglichen Sicherheitsmaßnahmen aufzuführen, Anleitungen zur Umsetzung geben, auf bereits vorgestellte Maßnahmen Hinweisen und gegebenenfalls ergänzen.


Sicherheit bei WordPress

Die erste und mitunter wichtigste Regel, die du befolgen solltest, ist nicht unbedingt schwer umzusetzen und doch sehe ich bei vielen Seiten, dass gerade diese Regel nicht immer beachtet wird:

Oberstes Gebot! Halte deine WordPress-Installation und alle Plugins immer auf dem aktuellen Stand und erstelle regelmäßige Backups deiner Inhalte. Dies gilt auch für die übrige Software auf deinem Webserver, insbesondere MySQL-Datenbank, Webserver und PHP-Version. Weitere Informationen & Anleitungen ->


Zugangskonten, Benutzernamen & Login

Nachfolgend findest du zusammengefasst Hinweise, wie du deine WordPress-Installation im Bereich der Anmelderoutine schützen kannst. Klickst du auf das jeweilige Thema, erhältst du weiterführende Informationen und Anleitungen. Zur Themenübersicht ->

Anmeldung und Kommentarfunktion schützen

Es kommt nicht selten vor, dass Angreifer versuchen, in deine Seite einzubrechen und um so wichtiger ist es, diesen Bereich mit weiteren Schutzmaßnahmen auszustatten. Damit Angreifer deinen Login-Bereich nicht mit permanenten Anmeldeversuchen belagern, kannst du dies … [Mehr…]

Plugins und Themes

Du hast durch die Installation von Erweiterungen (Plugins) die Möglichkeit WordPress mit weiteren Funktionen auszustatten. Dafür steht dir im Bereich PLUGINS -> Plugins installieren eine Fülle von Zusatzsoftware zur Verfügung. Auch das Layout und Design kannst du unter dem Menüpunkt DESIGN -> Themes installieren verändern. Hier solltest du auf folgende Merkmale achten:

  • Das Plugin bzw. Theme sollte aktiv weiterenwickelt und aktualisiert werden.
  • Prüfe, wie oft das Plugin bzw. Theme verwendet, wie es bewertet und kommentiert wurde. Hier erhältst du auch Hinweise zu eventuellen Sicherheitsproblemen.

Lade keine Plugins oder Themes von nicht vertrauenswürdigen Seiten herunter. Recherchiere im Internet, ob es sich bei den Angeboten um wirklich verwendbare Tools handelt oder ob es sich dabei sogar um Schadsoftware handelt.

WordPress.org verwaltet kostenlose Designvorlagen und Tools in den folgenden beiden Bibliotheken:

Weitere Informationen erhältst du auf den Seiten Plugins und Themes installieren und verwenden.

Aktualisierung & Backup

Wie oben schon erwähnt, solltest du WordPress, Themes & Plugins immer auf dem aktuellen Stand halten. WordPress weißt dich auf anstehende Aktualisierungen hin. Durch das Aktualisieren werden u.a. Sicherheitslücken und Fehler behoben. Weitere Informationen & Anleitungen (noch in Bearbeitung) ->

Wichtig! Bei der Aktualisierung von Themes werden alle manuellen Änderungen überschrieben. Solltest du z.B. die function.php deines Themes geändert haben, um die
WordPress-Version aus dem Quelltext zu entfernen und die Login-Fehlermeldungen abzgeschaltet haben, musst du diese Änderungen nach der Aktualisierung erneut einarbeiten.

Neben den Aktualisierungen ist auch ein regelmäßiges Sichern (Backup) des Systems und der Datenbank empfehlenswert. Weitere Informationen & Anleitungen (noch in Bearbeitung) ->

Maßnahmen vor und nach der Installation

Um WordPress auf einem Server zum Laufen zu bringen, muss im Administrationsbereich des Webhosters eine Datenbank angelegt werden. Die Datenbank erhält zudem einen eigenen Benutzernamen und ein Passwort. [Mehr…]

WordPress mit dem Sucuri Security Plugin absichern

Dieses Plugin bietet etliche sicherheitsrelevante Features und kann einige manuelle Sicherheitsmaßnahmen und das Backup erledigen. Du findest das Plugin bei wordpress.org ubnter der folgenden Seite:

https://wordpress.org/plugins/sucuri-scanner

Bevor du das Plugin installierst und verwendest, solltest du unbedingt ein Backup deiner Installation und deiner Datenbank vornehmen, da das Tool sehr tief in die Strukturen deiner Seite eingreift. Bitte beachte auch unsere Hinweise auf der Seite Plugins & Erweiterungen.

Fortgeschrittene Maßnahmen

Mike Kuketz – IT-Security

  1. Basisschutz

  2. Schutzmaßnahmen

  3. Security Plugins

  4. .htaccess Schutz

  5. Serverseitiger Schutz

  6. Spam-Bot Protection

  7. Parasitenabwehr von Bots

  8. Angriffe auf die XMLRPC-Schnittstelle (xmlrpc.php) unterbinden

Kontrolle durch externe Tools

Es ist auch möglich, Hinweise auf Schadhaften Code auf der eigenen Seite durch externe Anbieter zu erhalten. Drei einfache und kostenlose Angebote finden sich in den Webmaster Tools von Google, Bing und yahoo. Diese Tools werden hauptsächlich dazu verwendet, seine Seite und Sidemaps bei den Suchmaschinen einzureichen. Dennoch bieten diese Tools auch einen externen Blick auf die Seite, so wie sie von der Suchmaschinen wahrgenommen wir.  Du erfährst dort auch, wenn eine Seite oder ein Beitrag nicht erreichbar ist und ob Inhalte unter Spamverdacht stehen. Die Anbieter von Webmaster Tools bieten ihre Leistungen nur an, wenn man sich auch als Seiteninhalber verifizieren kann. Wie diese Webmaster Tools einrichtet, erläutern wir auf den folgenden Seiten:

  • Google (wird noch bearbeitet)
  • Bing (wird noch bearbeitet)
  • Yahoo (wird noch bearbeitet)
  • weitere …

Zur Übersicht ->


Kommentare sind geschlossen.