Kaum ein anderes Thema ist so brisant wie die Webseiten-Sicherheit, besonders wenn wir ein System wie WordPress nutzen. Galt WordPress vor einigen Jahren noch als reine Blogger-Plattform, sind wir heute viel weiter. Riesige Webseiten, Online-Shops, Foren und natürlich noch immer der klassische Blog lassen sich mit WordPress realisieren. Die Entwicklung hat sich den verschiedenen Seitenformen angepasst, die Sicherheit wurde auf die neuen Webseiten-Bedürfnisse ausgelegt. Dennoch bietet WordPress von Haus aus nicht alle Sicherungen, die wichtig sind.
So wird WordPress sicher
Fangen wir bei den Grundlagen an. Nein, nein, es wird nicht langweilig. Um die Verbindung generell sicherzumachen, benötigen wir eine sichere verschlüsselte Übertragung der Daten. Also jagen wir die Daten über das https-Protokoll durch die Leitung. Sensible Daten beim Login oder in einem Online-Shop können so nicht abgefangen werden. Per SSL bzw. TLS-Verschlüsselung tauschen Browser und Webseite Daten sicher aus.
Dies schützt unsere Webseite auf WordPress-Basis leider nicht vor Brute-Force-Angriffen oder schützt uns vor fiesen Hintertürchen. Dafür greifen wir tiefer ins System ein und je nach Webserver können wir über 30 Punkte deaktivieren, die ein Angreifer nutzen könnte, um sich Zugriff zu unserem WordPress zu ergaunern.
Webseite vor Angriffen schützen
Eine der häufigsten Ziele ist die Login-Seite. Diese ist bei fast allen WordPress-Installationen gleich. Nämlich, na? Wissen Sie es? Genau!
unsere-webseite.de/wp-login und unsere-webseite.de/wp-admin
Eine Brute-Force-Attacke versucht sich immer wieder, in unser System einzuloggen. Meist mit einem einfachen Benutzernamen und probiert abwechselnd verschiedene Passwörter. Das geht so schnell, dass pro Sekunde mehrere Login-Versuche stattfinden. Klar, das ist eine riesige Last für unseren Server. Also holen wir nicht nur mehr Sicherheit raus, sondern gewinnen auch noch an Performance.
Für den Login machen wir Folgendes: Wir verbieten als Login Namen den User Admin. Und lassen jede IP-Adresse sperren, die „Admin“ eintippt. Zusätzlich lassen wir jede IP-Adresse sperren, die sich versucht hat fünfmal falsch einzuloggen. Davon sind alle Computer hinter dieser IP-Adresse betroffen. Klar sollten Sie sich versehentlich falsch einloggen, kann eine automatische Deaktivierung der Sperre eingebaut werden.
So änderst du den Login-Slug bei WordPress
Aber einen Trick haben wir noch zusätzlich: Wir verstecken einfach die Login-URL von WordPress. Alle Versuche /wp-login.php oder wp-admin.php einzugeben, landen auf einer 404-Seite. Also eine Landingpage, die signalisiert, ups, die Webseite ist nicht verfügbar. Sie ahnen es schon, oder? Landet eine IP-Adresse zu häufig auf einer 404-Seite, wird sie gesperrt.
WordPress geht noch sicherer
Das war erst der Anfang. Ein paar Feinheiten haben wir noch auf Lager. Einige Angreifer laden über Formularfelder oder Lücken fremde Dateien auf dem Server. Dies kann zum Beispiel durch eine alte WordPress-Installation passieren, also achten Sie immer auf eine aktuelle Version! Unseriöse und nicht gewartet Plugins gehören ebenso dazu.
Hat der Angreifer eine Datei auf den Server gebracht, z. B. ein auszuführendes PHP-Script, kann er dieses aktivieren. Im besten Fall versendet Ihr Server fortan Spamnachrichten in die ganze Welt und fungiert als Bot eines Netzwerkes. Im schlimmsten Fall erlangt der Angreifer direkt Zugriff auf Ihre Installation von WordPress und kann Daten auf der Webseite ändern. In beiden Fällen kann Ihre Webseite von Google abgestraft werden und Sie landen auf einer E-Mail-Blacklist. Das bedeutet, dass Ihre Domain von einigen E-Mail-Servern nicht mehr als gültig und seriös eingestuft wird.
Zugriff auf WordPress unterbinden
Wir verbieten den PHP-Upload. Ein Script darf ab jetzt keine Dateien mehr auf unserem Server speichern. Zusätzlich sichern wir die wichtigsten WordPress-Dateien vor unerlaubten Änderungen. Dadurch ist die wp-config.php nicht mehr beschreibbar.
WordPress-Sicherheit ist bei uns Standard
Sie sehen schon, wir geben uns große Mühe unsere Webseiten sicher zu gestalten. Es liegt häufig am Server, welche Einstellung wir setzen können. Wir beraten Sie bei der Wahl des richtigen Servers oder Hosters natürlich. Wir geben Ihnen gerne Tipps, worauf Sie bei der Neuinstallation von WordPress oder einem Relaunch Ihrer bestehenden Webseite achten können. Insgesamt können wir über 30 Tipps & Tricks bei WordPress anbringen, um die Performance und die Sicherheit zu verbessern.
Früher hieß es zu häufig und zu schnell, dass eine normale WordPress-Installation unsicher wäre. Es wurde als Blog-Software oder uninteressantes CMS-System abgestempelt. Heute sieht die Sache deutlich entspannter aus. WordPress hat hervorragende Programmierer und die Community verlangt nach einer sichereren Webseiten-Lösung, deshalb werden Lücken und Fehler binnen weniger Tage oder Wochen nach Bekanntwerden gefixt. Andere Programmierer entwerfen Plugins für die Sicherheit und verbessern die Lage von WordPress und dem Server, auf dem es installiert ist, deutlich.
Eine gute Online-Marketing-Agentur richtet Ihnen nicht nur WordPress ein, sondern legt guten Wert darauf, dass die Sicherheitspunkte nicht zu knapp kommen. Ein gut abgesichertes WordPress ist sicherer, schneller und stärker als viele andere CMS-Systeme. In Verbindung mit unserem Server wird WordPress rasend schnell, sehr sicher und der Webseitenbetreiber freut sich über gestiegene Besucherzahlen dank Google.
Als kleines Bonbon für alle, die Kunde bei uns sind und Ihre Webseite auf einem Server bei uns hosten: WordPress Sicherheit ist bei uns Standard. Zusätzlich updaten wir Ihre WordPress-Webseite und die dazugehörigen Plugins mindestens viermal im Jahr. Sodass Sie nicht Gefahr laufen, zu lange veraltete Plugins oder ein altes WordPress zu nutzen.
