WordPress Webhosting sicher machen
Dieser Artikel zeigt auf, wie effektiv das eigene WordPress Webhosting vor unbefugten Zugriffen geschützt werden kann.
Content Management System wird weltweit für WordPress am häufigsten eingesetzt. Die hohe Verbreitung von WordPress sehen allerdings Hacker als beliebtes Ziel, um sich auf Daten unbefugt Zugriff zu verschaffen und Schadsoftware zu verbreiten. Hauptsächlich der steigende Bekanntheitsgrad eigener Webseiten, kann von Störenfrieden oder verärgerten Konkurrenten zu einer hohen Bedrohung für die Sicherheit der Daten werden. Die Angreifer versuchen einen Weg zum Administrationsbereich zu finden, damit dort die Schadsoftware installiert werden kann. Schwachstellen in der Hauptinstallation werden gesucht und ebenso in Plug-Ins, die zusätzlich verwendet wurden. Dessen sind sich viele Anwender gar nicht bewusst oder es wird über das Thema WordPress und Sicherheit nicht ernsthaft nachgedacht. Ein ausreichender Schutz ist bei wichtigen Bereichen oftmals nicht vorhanden, die Passwörter sind zu einfach oder das gesamte System befindet sich nicht auf dem aktuellen Stand. Durch diese Unachtsamkeit haben Angreifer ein leichtes Spiel und können das System kompromittieren.
Nachfolgend eine Zusammenstellung der 6 wichtigsten Punkte, um WordPress Webhosting vor unbefugtem Zugriff zu schützen:
1. WordPress Webhosting regelmäßig aktualisieren lassen
Die Software WordPress wird fast monatlich aktualisiert, ein Versionsupdate erscheint als Fenster und informiert über das Update, damit werden die neuesten Features, Fehlerbehebungen und bekannt gewordene Sicherheitslücken geschlossen. Bei Verwendung von WordPress wird in der Regel nicht die einfache Standardinstallation genutzt, sondern um ein individuelles Theme und verschiedene Plug-Ins erweitert. Wie für WordPress selbst, gilt dies ebenso für diese Erweiterungen. Damit die Angriffsfläche für Hacker und Bots sehr gering wird, ist der aktuelle Stand für das gesamte System enorm wichtig. Um sich die zur Verfügung stehenden Updates anzeigen zu lassen, genügt ein Log-in in den Administrationsbereich, dort können die Updates direkt vorgenommen werden. Werden viele Webseiten betreut und kein regelmäßiges Log-in in jede Installation vorgenommen, stehen Hilfsmittel wie das Plug-In WP Updates Notifier zur Verfügung. Das Plug-In sendet an den Administrator automatisch per E-Mail eine Nachricht, falls neue Updates zur Verfügung stehen.
2. Sicheres Passwort und einzigartiger Benutzername
Eine äußerst effektive und sichere Methode, einen Angriff abzuwehren, ist die Wahl eines einzigartigen Benutzernamens und ein sicheres Passwort. Die Benutzernamen zum Log-In lauten normalerweise in Verwaltungsoberflächen Admin, Root oder einfach Administrator. Dieses nutzen Hacker, um sich Zugang über sogenannte Brute-Force-Angriffe zum System zu verschaffen. Bekannte Benutzernamen werden dafür verwendet und anhand von Wörterbuchlisten einfach verschiedene Kennwörter ausprobiert. Besteht ein individueller Benutzername, müssen das Passwort geknackt und gleichzeitig alle möglichen Kombinationen von Benutzernamen versucht werden. Daher ist ein sicheres Passwort unumgänglich. Viele Nutzer bevorzugen als Passwort Zeichenkombinationen, die leicht zu merken sind, manchmal sogar Zahlen wie 123456 oder den eigenen Vornamen. Mit den Wörterbuchlisten sind derartige Zeichenketten schnell herausgefunden und geknackt. Ein absolut sicheres Passwort sollte mindestens 12 Zeichen besitzen und mit Buchstaben, Zahlen und Sonderzeichen versehen sein.
3. Änderung WordPress Tabellenpräfix
Wenn in der Datenbank Sicherheitslücken vorhanden sind, werden einige Angriffe von sogenannten SQL-Injections darauf abgezielt. Damit versuchen Hacker auf die Datenbank zugreifen, um mit Einschleusung eigener Befehle dort Schaden anzurichten. Als Standard wird häufig das Tabellenpräfix wp_ bei WordPress in der Datenbank verwendet und Angriffe sind hauptsächlich auf dieses Tabellenpräfix ausgerichtet. Die Umbenennung in einen individuellen Namen, zum Beispiel up2uwp_ kann für mehr Sicherheit sorgen. Einfacher ist es, direkt bei der Installation von WordPress die Änderung vorzunehmen, denn das Tabellenpräfix nachträglich zu ändern ist aufwendig und das funktioniert nur über die wp-config.php.
4. Verschlüsselte Verbindungen nutzen
Genau wie die WordPress Installation werden auf den Webspace per FTP Verbindungen geladen und auf eine verschlüsselte Übertragung sollte hier ebenfalls unbedingt geachtet werden. Denn von Webhosting-Anbietern wird normalerweise eine sichere Verbindung über das SFTP-Protokoll erlaubt. Weiterhin besteht die Möglichkeit, einige Webhosting Tarife FTP über SSH zu nutzen. Hauptsächlich beim Arbeiten in öffentlichen WLAN Netzen sollte der Zugriff auf die Zugangsdaten durch unbefugte Dritte geschützt werden. Daher ist für den gesamten Webspace der Einsatz eines SSL Zertifikates zu empfehlen. Damit sind die Verschlüsselung für jede Verbindung zwischen Browser und WordPress und der Zugriff auf die Administrator-Anmeldung gesichert.
5. Passwortschutz per .htaccess aktivieren
Viele Webhoster verwenden einen Apache Webserver auf ihren Servern. Damit wird von .htaccess Konfigurationsdateien der Einsatz unterstützt und individuelle Funktionen wie weitere Maßnahmen zum Zugriffsschutz von Verzeichnissen lassen sich umsetzen. Auf den Administrationsbereich einer WordPress Installation wird somit der öffentliche Zugriff komplett unterbunden. In der .htaccess Datei muss dazu lediglich die Funktion aktiviert werden und im Verzeichnis mit Passwort und Benutzernamen ist eine entsprechende .htpasswd Datei zu hinterlegen. Bei weiteren Fragen zur Umsetzung hilft der eigene Webhosting-Anbieter weiter, häufig kann diese Einstellung allerdings bequem über die Webspace Verwaltungsoberfläche vorgenommen werden.
6. Bei WordPress Plug-Ins ist Vorsicht geboten
Viele Nutzer installieren reichlich Plug-Ins für jegliche Funktionen, denn mithilfe von Plug-Ins lässt sich die Funktionalität von WordPress recht einfach erweitern. Je mehr Erweiterungen allerdings eingesetzt werden, umso mehr wird für den Hacker Angriffsfläche geboten. Wenn Kenntnisse zum Programmieren vorhanden sind, werden eigene WordPress Addons entwickelt und veröffentlicht, da ist es nicht auszuschließen, dass sich im Code einige Fehler einschleichen, und genau diese werden zu Sicherheitslücken. Wie sich Plug-Ins im Hintergrund überhaupt auswirken, können Nutzer ohne Fachkenntnisse gar nicht nachvollziehen. Deshalb ist eine Überprüfung vor dem Einsatz durchzuführen, ob sich die Quelle der Erweiterung als vertrauenswürdig darstellt. Dazu kann sich die Gewissenhaftigkeit verschafft werden, ob hinter dem Plug-In ein bekannter Programmierer steckt. Des Weiteren ob vielleicht erfahrene Anwender den Quellcode bereits eingesehen und dazu eine Bewertung veröffentlicht haben. Daher ist es ratsam, nur Plug-Ins zu verwenden, die zwingend notwendig sind. Wie beim Computer zu Hause sind zahlreiche Plug-Ins für WordPress vorhanden, deren Versprechen mehr Sicherheit oder schnellere Zugriffszeiten beinhalten, die allerdings sehr oft mehr schaden als nutzen. Denn wirklich hilfreich haben sich allerdings nur wenige Plug-Ins gezeigt. Dazu zählt zum Beispiel Limit Login Attempts, der fehlerhafte Anmeldeversuche limitiert oder der Virenscanner WP Anti Virus für die Webseite, um Computerviren, Trojaner usw. erkennen und vernichten zu können.