Security-Tipps
Mit diesen Tools wird Ihre WordPress-Seite sicherer
Foto: Casimiro PT - shutterstock.com
WordPress ist beliebt, vielleicht sogar die beliebteste Content-/Blogging-Software, die heute verwendet wird. Nach Angaben von W3techs wird WordPress von zwei Dritteln der analysierten Blogging-Sites verwendet. Diese Beliebtheit macht sie auch für Hacker interessant.
Warum Angreifer WordPress ins Visier nehmen
Hinzu kommt, dass WordPress-Anwender nicht immer auf die neuesten Versionen aktualisieren. Einige sind sogar um mehrere Hauptversionen im Rückstand. Das macht es Hackern leichter, die anfälligsten Websites ausfindig zu machen und Angriffe zu starten. Es ist eine Herausforderung, auf dem Laufenden zu bleiben, da die Software häufig aktualisiert wird.
Wegen dieses Verwaltungsaufwands sind die meisten Organisationen besser bedient, wenn sie ihre Websites bei einem verwalteten WordPress-Dienst hosten. Diese Dienste aktualisieren in der Regel auf neue Versionen von WordPress und dier zugrundeliegenden Software, sobald diese verfügbar sind. Trotzdem sollten Sie sich über die jeweiligen Richtlinien informieren. Sie bieten in der Regel auch Backup-Möglichkeiten und verfügen möglicherweise über andere Sicherheitsfunktionen.
Sie können WordPress auf Ihrem eigenen Server betreiben. Das gibt Ihnen viel Kontrolle, aber Sie brauchen die richtige Kombination von Fähigkeiten Know-how und passender Infrastruktur, damit diese Strategie zum Erfolg führt. Wenn Sie bereits andere Websites über eine solche Infrastruktur betreiben, könnte der interne Betrieb die beste Lösung sein, aber Sie sollten sich der damit verbundenen Verantwortung bewusst sein.
WordPress arbeitet mit PHP-Skripten, die im Laufe der Jahre ihre eigenen Probleme hatten. IT-Manager sollten dieses Problem im Keim ersticken, indem sie sicherstellen, dass ihre PHP-Version aktuell ist. WordPress selbst stellt diese praktische Liste mit Vorschlägen zur Verfügung, wie Sie Ihre Version überprüfen und sicher aktualisieren können. Diese Abhängigkeit von Updates ist vielleicht die größte Sicherheitsschwäche von WordPress. Prüfen Sie daher regelmäßig, welche PHP-Version Ihre Website verwendet.
Neben der zugrundeliegenden PHP-Engine verwenden die meisten WordPress-Websites Plugin-Tools und Themes, um ihr Erscheinungsbild zu verbessern und Funktionen hinzuzufügen. Es ist nicht einfach, sicherzustellen, dass diese Plugins frei von Infektionen sind. Einige wurden im Laufe der Jahre für Angriffe genutzt, wie z. B. Form Lightbox, Appointments, RegistrationMagic - Custom Registration Forms, WooCommerce, WP No External Links und Flickr Gallery.
Ein extremes Beispiel hierfür ist ein Plugin mit der Aufgabe , bei der Einhaltung der GDPR zu helfen. Es enthielt jedoch zwei Fehler in Hinblick auf die Erweiterung Ausweitung von Berechtigungen, die dem Administrator Zugriff auf die gesamte WordPress-Website gewährten. Die Probleme wurden schließlich gefunden und in Version 1.4.3 des Plugins behoben. Dies bringt einen wichtigen Punkt zur Sprache. Nicht jeder Plugin- oder Theme-Entwickler achtet auf die Codesicherheit.
Viele WordPress-Administratoren sind Anfänger, wenn es um IT-Betrieb im Allgemeinen und Security im Besonderen geht, und Angreifer wissen, dass es einfach ist, eine unsichere WordPress-Website einzurichten. Ein Beispiel dafür ist Nehmen wir diese eine Phishing-Kampagne aus dem Jahr 2018, die auf WordPress-Administratoren abzielte. In der Nachricht hieß es, dass das "WordPress DataBase [sic] Upgrade" erforderlich sei, und viele Menschen fielen auf die Verlockung herein. Auf einer DefCon-Konferenz waren Hacker in der Lage, innerhalb von 30 Minuten, nachdem sie online gegangen waren, eine angreifbare WordPress-Site zu finden. Dieser Angriff mit der Bezeichnung WPSetup nutzte die Transparenz bei der Ausstellung neuer SSL-Zertifikate aus.
So wählen Sie den richtigen Anbieter für WordPress-Sicherheitssoftware aus
Es gibt mehrere Anbieter, die sich auf die Sicherung von WordPress-Websites mithilfe der Plugin-Architektur spezialisiert haben. Sie finden diese Sicherheits-Plugins auf der WordPress-Website. Dort können Sie sehen, ob das Tool mit der neuesten Version von WordPress getestet wurde, wann das Plugin zuletzt aktualisiert wurde und wie viele Benutzer die Software heruntergeladen haben und verwenden. Die meisten dieser Tools senden Ihnen regelmäßig E-Mail-Berichte über den Status Ihrer WordPress-Sicherheit, wenn das Volumen der Angriffe von einer einzigen IP-Quelle aus zunimmt und andere potenzielle Probleme auftreten.
Bevor Sie sich für ein bestimmtes Tool entscheiden, vergewissern Sie sich aber, dass Sie die Bedeutung dieser Reports verstehen und wissen, wie Sie die Konfigurationsseiten im auf der Hauptseite des WordPress-Dashboards nutzen, wo Sie das Verhalten der Tools steuern und wie Sie eine Zusammenfassung des Sicherheitsstatus Ihrer Website einsehen können.
Wordfence gibt es sowohl in einer kostenlosen als auch in einer kostenpflichtigen Version (100 $ pro Jahr) und ist mit mehr als 4 Millionen Downloads das beliebteste Tool. Die kostenlose Version ist für die meisten kleinen Unternehmen ausreichend. Sie enthält eine eigene WordPress-Firewall, die Login-Sicherheit, IP-Blockierung und Sicherheitsscans auf Malware abdeckt. Die Premium-Version bietet Echtzeit-Updates für IP-Blacklists, Malware-Signaturen und Firewall-Regeln sowie Zwei-Faktor-Authentifizierung (2FA) und Länderblockierung. Sie wurde bis zur aktuellen Wordpress-Version 5.9.1 getestet.
IThemes Security, ehemals Better WP Security, wurde bereits mehr als eine Million Mal heruntergeladen und bietet 2FA und Unterstützung für v5 von WordPress. Es gibt eine kostenlose und eine kostenpflichtige Version (ab $50 pro Jahr für eine einzelne Website). Zu den Premium-Funktionen gehören die Generierung von Passwörtern und Richtlinieneinstellungen, der Online-Dateivergleich, die Protokollierung von Benutzeraktionen und die Planung von Malware-Scans. Es wurde bis zur Version 5.8.3 getestet.
Arsenal21'S All-in-One WP Security hat ebenfalls mehr als eine Million Downloads. Eine bemerkenswerte und lohnenswerte Funktion ist das automatische Ändern des Admin-Kontos auf einen anderen Namen. Es ist kostenlos und quelloffen. Zu den wichtigsten Funktionen gehören Schwachstellen-Scans, die Implementierung und Durchsetzung von WordPress-Sicherheitspraktiken und eine Sicherheits-Scorecard für Ihre WordPress-Website. Es wurde bis zur Version 5.9.1 getestet.
Der Scanner von Sucuri ist ebenfalls in einer kostenlosen und einer kostenpflichtigen Version erhältlich. Er bietet Malware-Scans, Blacklist-Überwachung und (gegen eine Gebühr) eine eigene WordPress-Firewall. Mehr als 900.000 Websites haben Sucuri heruntergeladen, und die Tarife beginnen bei 200 Dollar pro Jahr für jede Website. Es wurde bis Version 5.9.1 getestet.
Diese Tools sind nicht zu empfehlen
Zwei Tools, von denen man sich fernhalten sollte, sind der kostenlose Scanner von Comodo und Jetpack. Ersteres ist nur ein Lockmittel, um Ihre E-Mail-Adresse zu erhalten und Ihnen dann Beratungsdienste zu verkaufen. Letzteres wird von dem Unternehmen hergestellt, das WordPress.com betreibt, aber sein Schutz ist weniger robust als der der vier oben genannten Produkte.
Bewährte WordPress-Sicherheitspraktiken
Bevor wir uns mit den besten Praktiken befassen, sollten wir eine der schlechtesten erwähnen: die Art und Weise, wie WordPress-Administratoren ihre Administrator-Authentifizierungsdaten auswählen. Eines der besten Dinge, die Sie tun können, ist, Ihren Kontonamen von "admin" in etwas anderes zu ändern, z. B. eine zufällige Buchstabenfolge. Viele Brute-Force-Angriffe auf WordPress beginnen damit, diesen Kontonamen auszuprobieren und Ihr Passwort aus Hinweisen im Dark Web zu erraten.
In diesem Leitfaden für Anfänger werden weitere grundlegende Sicherheitsmaßnahmen behandelt, z. B. die Begrenzung von Anmeldeversuchen, die Sperrung bestimmter Verzeichnisse für den Lesezugriff und die Deaktivierung des Durchsuchens von Verzeichnissen. Ein weiterer Vorschlag: Verwenden Sie bei der Ersteinrichtung Ihres Servers die Datei .htaccess, um den Zugriff auf Ihre WordPress-Website auf Ihre eigene IP-Adresse zu beschränken. Vergessen Sie nicht, diese Beschränkung zu entfernen, wenn Sie mit der Einrichtung fertig sind, sonst kann niemand die Website sehen, und Sie könnten ausgesperrt werden, wenn Ihr ISP Ihnen eine neue Adresse gibt.
Sichern Sie Ihre Anmeldungen mit einer mehrstufigen Authentifizierung (MFA). Mehrere Plugin-Anbieter bieten MFA als Funktion an, darunter die kostenlose Version von Defender und die kostenpflichtige Version von iThemes. Die kostenlosen Versionen vieler dieser Plugins sind für kleinere Installationen völlig ausreichend.
Reduzieren Sie die Gesamtzahl der Plugins. Als ich meinen WordPress-Server zum ersten Mal einrichtete, war ich verrückt nach Plugins und installierte mehr als ein Dutzend davon, um verschiedene Dinge zu tun. Jetzt weiß ich, dass ich einen Fehler gemacht habe, und der sicherste Server hat die geringste Anzahl von Plugins. Widerstehen Sie der Versuchung, alle Arten von Plugins hinzuzufügen, die Ihre Sicherheit gefährden.
Die Aktualisierung einer Website mit zahlreichen Plugins kann eine Herausforderung sein, da viele Plugins und Themes mit der neuen Software nicht mehr funktionieren können. (Dies war z. B. ein Problem bei der letzten großen Aktualisierung auf v.5.) Wenn Sie also eine Aktualisierung planen, sollten Sie auch andere Software berücksichtigen, die auf Ihrer Website läuft. Natürlich müssen Sie auch Ihre gesamte weitere Software auf dem neuesten Stand halten.
Achten Sie bei der Auswahl eines Themes für Ihre Website darauf, dass Sie nur Themes und Plugins aus vertrauenswürdigen Quellen herunterladen. Kurz gesagt: Tun Sie alles, was Sie können, um Ihre Angriffsfläche zu verringern. Ein Plugin, das Sie verwenden sollten, ist das Anti-Spam-Tool Akismet, mit dem Sie Trolle und potenzielle Phisher gut erkennen können.
Halten Sie Ihre WordPress-Themes auf dem neuesten Stand. WordPress-Themes, die den visuellen Stil der Website bestimmen, sind Code und haben daher Auswirkungen auf die Sicherheit. Aktualisierungen von Themes enthalten manchmal auch Korrekturen für Sicherheitsprobleme, so dass Sie darauf achten sollten, diese zu installieren. Noch besser: Sie können Themes so einstellen, dass sie sich automatisch aktualisieren. Allerdings müssen Sie dies händisch für jedes installierte Theme manuell tun müssen, auch selbst wenn es nicht aktiv ist.
Aktivieren Sie den SSL/HTTPS-Zugang zu Ihrer Website, um die Kommunikation zu verschlüsseln. Stellen Sie sicher, dass Ihr Hosting-Anbieter dies unterstützt und Ihnen ein SSL-Zertifikat zur Verfügung stellt. Achten Sie darauf, dass es immer auf dem neuesten Stand ist, sonst erhalten Ihre Benutzer störende Browser-Fehlermeldungen auf Ihrer Website.
Machen Sie regelmäßig Backups Ihrer Website-Inhalte. Eines der ärgerlichsten Probleme ist die Frage, wie Sie Ihre Website am besten sichern können. WordPress verfügt über eine einfache Exportfunktion zur Erstellung einer XML-Datei, die Sie offline speichern sollten, und Sie können diesen Prozess mit entsprechenden PHP-Skripten automatisieren, wenn Sie über entsprechende Kenntnisse verfügen. Einige Hosting-Anbieter bieten im Rahmen ihrer Managed-Pläne automatische Backups an. Sie können diese aber auch manuell durchführen, indem Sie sich regelmäßig an den Kalender erinnern lassen. Eine weitere Möglichkeit besteht darin, eines der kostenlosen Angebote von Wordpress.com zu nutzen und Ihre Inhalte als Backup zu importieren. Neben der Möglichkeit, ein externes Backup zu erstellen, kann dies auch nützlich sein, um die neuen WordPress-Funktionen zu sehen, wenn die Updates veröffentlicht werden.
Bleiben Sie auf dem Laufenden mit WordPress-spezifischen Sicherheitsquellen wie Plugin Vulnerabilities und Wordfence's eigenem Blog. Beide posten regelmäßig über Exploits und Zero-Day-Angriffe, die von ihren eigenen Instrumentierungsnetzwerken aufgedeckt wurden. Darüber hinaus kann ein kürzlich von dem Forscher Krzysztof Zajac entwickeltes halbautomatisches Tool verschiedene Schwachstellen auf potenzielle Probleme untersuchen. (jm)
Dieser Beitrag basiert auf einem Artikel unserer US-Schwesterpublikation CSO Online.