Hilfe - WordPress

WordPress sicher betreiben

Alle Websites werden automatisiert von Bots angegriffen. Ziel sind Hacking und Spam, die viele Gefahren bergen.

WordPress steht hier in einem besonderen Focus von Angreifern, weil dieses Scripte weltweit am häufigsten für Websites eingesetzt wird. Wir erläutern hier einige der wichtigsten Sicherheitsmaßnahmen.

Automatische Aktualisierungen

Auch wenn automatische Aktualisierungen im Einzelfall Probleme machen können, überwiegen die Vorteile.

Bruteforce-Schutz für das WordPress-Login (wp-login.php)

Der Zugriff auf die Datei wp-login.php sollte mit einem .htaccess-Passwortschutz abgesichert werden. Quasi jedes WordPress wird massenhaft mit Loginversuchen attackiert. Es gibt verschiedene Plugins, die Captchas oder Firewall-Funktionen in das Wordpress einbauen, IPs sperren können und Angriffe per Email benachrichtigen. Alle diese Methoden haben den entscheidenen Nachteil, dass der Angreifer sich bereits IM Wordpress befindet, damit php-Scripte und MySQL-Abfragen auslöst. Bei massiven Loginversuchen wird damit auch eine hohe Last erzeugt und diese Scripte stellen -wie jede zusätzliche Software- einen weiteren Angriffsvektor dar.

Ein vorgeschalteter .htaccess-Passwortschutz dagegen stoppt diese Attacken bereits VOR dem Wordpress, reduziert die Last massiv und verkraftet ein vielfaches mehr Zugriffe.

Bruteforce-Schutz auf die XMLrpc-Schnittstelle

Mit der XMLrpc-Schnittstelle (Remote Procedure Calls) hat Wordpress eines der gefährlichsten Möglichkeit geschaffen, unterschiedlichste Anfragen/Daten an die Website zu senden. Diese Schnittstelle sollte unbedingt deaktiviert werden und es sollten keine Plugins verwendet werden, die mit dieser Schnittstelle arbeiten.

Manuelle Wartung durch den Webmaster

Jede Website muss regelmäßig manuell durch den Webmaster geprüft werden. Dazu gehören nicht nur Funktions- und Updateprüfungen, sondern auch ein Blick in die Logfilestatistik und die Dateien des Webs. Je häufiger man das macht desto einfacher und schneller geht das auch. Es sollte mindestens 1x pro Woche geprüft werden, denn lauft der Dateschutzbestimmungen dürfen Logfiles nur noch wenige Tage in der Originalform aufgebwahr werden. Sollte ein Hack vorliegen und keine analysefähigen Logfiles vorhanden sein, ist die Seite verloren und muss neu aufgesetzt werden.

Der Aufwand solcher Prüfungen ist minimal und steht in keinem Verhältnis zum Aufwand und Schaden, der durch eine gehackte Seite entstehen kann.

Formulare allgemein - Registierfunktion, Newsletter u.a.

Wenn die Seite keine Registrierung für Mitglieder anbietet, dann unbedingt die Registrierfunktion deaktivieren!

Alle Formulare die Daten speichern/senden und E-Mails auslösen (das sind quasi alle Formulare) müssen gegen Botzugriffe geschützt werden. Dafür gibt es verschiedene Möglichkeiten, wie z.B. Captchas. Zu beachten gilt das einfache Captchas (Rechenaufgaben etc.) heute von Bots problemlos überwunden werden.

Eine Kombination verschiedener sichtbarer (Captchas) und unsichtbarer Techniken (versteckte Felder, Reputationsprüfungen, etc.) sind zu empfehlen.

Backups

Backups sind das wichtigste Hilfsmittel um gehackte Websites zu bereinigen oder Fehler bei Updates oder anderen Vorgängen leicht beheben zu können. Die meisten Provider machen automatische Backups ( wir auch), aber alle Seitenbetreiber haben auch die Verpflichtung eigene Backups anzufertigen. Nach Möglichkeit sollten Backups auch regelmäßig außerhalb des Webspace-Accounts gelagert werden. Rücksicherungsverfahren sind oft kompliziert und sollten regelmäßig geprüft werden. Dabei erkennt man auch, ob ein Backup tatsächlich brauchbar ist.