Kaum ein ande­res The­ma ist so bri­sant wie die Web­­sei­­ten-Sicher­heit, beson­ders wenn wir ein Sys­tem wie Wor­d­Press nut­zen. Galt Wor­d­Press vor eini­gen Jah­ren noch als rei­ne Blo­g­­ger-Plat­t­­form, sind wir heu­te viel wei­ter. Rie­si­ge Web­sei­ten, Online-Shops, Foren und natür­lich noch immer der klas­si­sche Blog las­sen sich mit Wor­d­Press rea­li­sie­ren. Die Ent­wick­lung hat sich den ver­schie­de­nen Sei­ten­for­men ange­passt, die Sicher­heit wur­de auf die neu­en Web­­sei­­ten-Bedür­f­­nis­­se aus­ge­legt. Den­noch bie­tet Wor­d­Press von Haus aus nicht alle Siche­run­gen, die wich­tig sind.

WIE WIRD WORDPRESS SICHER?

Fan­gen wir bei den Basics an. Nein nein, es wird nicht lang­wei­lig. Um die Ver­bin­dung gene­rell sicher zu machen, benö­ti­gen wir eine siche­re ver­schlüs­sel­te Über­tra­gung der Daten. Also jagen wir die Daten über das htt­ps-Pro­­­to­­koll durch die Lei­tung. Sen­si­ble Daten beim Log­in oder in einem Online-Shop kön­nen so nicht abge­fan­gen wer­den. Per SSL bzw. TLS-Ver­­­schlüs­­se­­lung tau­schen Brow­ser und Web­sei­te Daten sicher aus.

Dies schützt unse­re Web­sei­te auf Wor­­d­­Press-Basis lei­der nicht vor Bru­­te-For­ce-Angri­f­­fen oder schützt uns vor fie­sen klei­nen Hin­ter­tür­chen. Dafür grei­fen wir tie­fer ins Sys­tem ein und je nach Web­ser­ver kön­nen wir über 30 Punk­te deak­ti­vie­ren, die ein Angrei­fer nut­zen könn­te, um sich Zugriff zu unse­rem Wor­d­Press zu ergaunern.

WEBSEITE VOR ANGRIFFEN SCHÜTZEN

Eine der häu­figs­ten Zie­le ist die Log­in-Sei­­te. Die­se ist bei fast allen Wor­­d­­Press-Instal­la­­ti­o­­nen gleich. Näm­lich, na? Wis­sen Sie es? Genau!

unsere-webseite.de/Wp-login.php

Eine Bru­­te-For­ce-Atta­­cke ver­sucht sich immer wie­der, in unser Sys­tem ein­zu­log­gen. Meist mit einem ein­fa­chen Benut­zer­na­men und pro­biert abwech­selnd ver­schie­de­ne Pass­wör­ter. Das geht so schnell, dass pro Sekun­de meh­re­re Ein­log­ver­su­che statt­fin­den. Klar, das ist eine rie­si­ge lasst für unse­ren Ser­ver. Also holen wir nicht nur mehr Sicher­heit raus, son­dern gewin­nen auch noch an Performance.

Für den Log­in machen wir Fol­gen­des: Wir ver­bie­ten als Log­in Namen den User Admin. Und las­sen jede IP-Adres­­se sper­ren, die “Admin” ein­tippt. Zusätz­lich las­sen wir jede IP-Adres­­se sper­ren, die sich ver­sucht hat fünf mal falsch ein­zu­log­gen. Davon sind alle Com­pu­ter hin­ter die­ser IP-Adres­­se betrof­fen. Klar, soll­ten Sie sich ver­se­hent­lich falsch ein­log­gen, kann eine auto­ma­ti­sche Deak­ti­vie­rung der Sper­re ein­ge­baut werden.

WIE ÄNDERE ICH DEN LOGIN-SLUG VON WORDPRESS?

Aber einen Trick haben wir noch zusät­lich: Wir ver­ste­cken ein­fach die Log­in-URL von Wor­d­Press. Jeder der ver­sucht /wp-login.php oder wp-admin.php ein­zu­ge­ben lan­det auf einer 404-Sei­­te. Also eine Lan­ding­pa­ge die signa­li­siert, ups, die Web­sei­te ist nicht ver­füg­bar. Sie ahnen es schon, oder? Lan­det eine IP-Adres­­se zu häu­fig auf einer 404-Sei­­te wird sie gesperrt.

WORDPRESS GEHT NOCH SICHERER

Das war erst der Anfang. Ein paar Fein­hei­ten haben wir noch auf Lager. Eini­ge Angrei­fer laden über For­mu­lar­fel­der oder Lücken frem­de Datei­en auf dem Ser­ver. Dies kann zum Bei­spiel durch eine alte Wor­­d­­Press-Instal­la­­ti­on pas­sie­ren, also ach­ten Sie immer auf eine aktu­el­le Ver­si­on! Unse­riö­se und nicht gewar­tet Plugins gehö­ren eben­so dazu.

Hat der Angrei­fer eine Datei auf den Ser­ver gebracht, z.B. Ein aus­zu­füh­ren­des PHP-Script, kann er die­ses akti­vie­ren. Im bes­ten Fall ver­sen­det Ihr Ser­ver von nun an Spam­nach­rich­ten in die gan­ze Welt und fun­giert als Bot eines Netz­wer­kes. Im schlimms­ten Fall erlangt der Angrei­fer direkt Zugriff auf Ihre Instal­la­ti­on von Wor­d­Press und kann Daten auf der Web­sei­te ändern. In bei­den Fäl­len kann Ihre Web­sei­te von Goog­le abge­straft wer­den und sie lan­den auf einer E‑Mail-Black­­lis­­te. Das bedeu­tet, dass Ihre Domain von eini­gen E‑Mail Ser­vern nicht mehr als gül­tig und seri­ös ein­ge­stuft wird.

ZUGRIFF AUF WORDPRESS UNTERBINDEN

Wir ver­bie­ten den PHP-Upload. Ein Script darf ab jetzt kei­ne Datei­en mehr auf unse­rem Ser­ver spei­chern. Zusätz­lich sichern wir die wich­tigs­ten Wor­­d­­Press-Datei­en vor uner­laub­ten Ände­run­gen. Dadurch ist die wp-config.php nicht mehr beschreibbar.

SICHERHEIT BEI WORDPRESS IST BEI UNS STANDARD

Sie sehen schon, wir geben uns gro­ße Mühe unse­re Web­sei­ten sicher zu gestal­ten. Es liegt häu­fig am Ser­ver, wel­che Ein­stel­lung wir set­zen kön­nen. Wir bera­ten Sie bei der Wahl des rich­ti­gen Ser­vers oder Hos­ters natür­lich. Wir geben Ihnen ger­ne Tipps, auf was Sie bei der Neu­in­stal­la­ti­on von Wor­d­Press oder einem Relaunch Ihrer bestehen­den Web­sei­te ach­ten kön­nen. Ins­ge­samt kön­nen wir über 30 Tipps & Tricks bei Wor­d­Press anbrin­gen, um die Per­for­mance und die Sicher­heit zu verbessern.

Frü­her hieß es zu häu­fig und zu schnell, dass eine nor­ma­le Wor­­d­­Press-Instal­la­­ti­on unsi­cher wäre. Es wur­de als Blog-Sof­t­­wa­re oder unin­ter­es­san­tes CMS-Sys­­tem abge­stem­pelt. Heu­te sieht die Sache deut­lich ent­spann­ter aus. Wor­d­Press hat sehr gute Pro­gram­mie­rer und die Com­mu­ni­ty ver­langt nach einer siche­re­ren Web­­sei­­ten-Lösung, des­halb wer­den Lücken und Feh­ler bin­nen weni­ger Tage oder Wochen nach bekannt­wer­den gefixt. Ande­re Pro­gram­mie­rer ent­wer­fen Sicher­heits­plugins und ver­bes­sern die Lage von Wor­d­Press und dem Ser­ver, auf dem es instal­liert ist, deutlich.

Eine gute Online-Mar­­ke­­ting-Agen­­tur rich­tet Ihnen nicht nur Wor­d­Press ein, son­dern legt guten Wert dar­auf, dass die Sicher­heits­punk­te nicht zu knapp kom­men. Ein gut abge­si­cher­tes Wor­d­Press ist siche­rer, schnel­ler und stär­ker als vie­le ande­re CMS-Sys­­te­­me. In Ver­bin­dung mit unse­rem Ser­ver wird Wor­d­Press rasend schnell, sehr sicher und der Web­sei­ten­be­trei­ber freut sich über gestie­ge­ne Besu­cher­zah­len dank Google.

Als klei­nes Bon­bon für alle die Kun­de bei uns sind und Ihre Web­sei­te auf einem Ser­ver bei uns Hos­ten: Wor­d­Press Sicher­heit ist bei uns Stan­dard. Zusätz­lich updaten wir Ihre Wor­­d­­Press-Web­­sei­­te und die dazu­ge­hö­ri­gen Plugins min­des­tens vier Mal im Jahr. So dass Sie nicht Gefahr lau­fen, zu lan­ge ver­al­te­te Plugins oder ein altes Wor­d­Press zu nutzen.