10 besten Tipps, so schützen Sie Ihr WordPress vor Hackern

Das ist der II. Teil von: So schützen Sie Ihre Webseite vor Hackerangriffen

Ein  weltweites Botnet aus verseuchten Computern WordPress Sicherheit(ein Bot ist ein Schadprogramm, das den Angreifern ermöglicht, die Kontrolle über einen infizierten Computer zu übernehmen) versucht derzeit alle WordPress Installationen anzugreifen. Die Experten von Unternehmen wie CloudFlare vermuten, dass ein noch viel mächtigeres Botnet aus Servern ausgebaut werden soll, als dies aus den derzeitig infizierten PCs bestehe.

 

Die Angriffe – wegen ihrer brachialen Gewalt auch „Brute Force Attacks“ genannt – sind denkbar einfach. Mit dem Nutzernamen „admin“ und einer Software, die in Windeseile das Passwort ausfindig zu machen probiert, wird versucht sich einzuloggen. Ist das geglückt, wird der Computer mit Malware infiziert und selbst zu einem Teil des Botnets. Und gleichzeitig werden die sensiblen Daten ausspioniert. Das Problem der derzeitigen Angriffswelle ist, dass es sich um so unheimlich viele (90 000) infizierten PCs handelt.

 

Sollte es den Botmastern gelingen, aus den Servern ein neues Botnet aufzubauen, die Atacken auf andere Webseiten fahren, dann wäre dies mit dem Angiff auf US-Banken im vorigen Jahr vergleichbar. http://arstechnica.com/security/2012/10/ddos-attacks-against-major-us-banks-no-stuxnet/

 

So schützen Sie Ihre WordPress Installation

Die beliebteste Blogsoftware WordPress hat Sicherheitslücken. Schon alleine wegen der vielen third-party-extensions, den Plugins, die manchmal schlecht programmiert sind und so zum Sicherheitsrisiko werden, weil darüber die Angriffe stattfinden können.

 

Wie Sie Ihre Seite am besten vor Hackerangriffen und Malware schützen, erfahren Sie hier in einer kurzen Zusammenfassung:

 1. So wenige Plugins wie nötig

Verwenden Sie so wenig wie möglich fremde Plugins und sperren Sie Ihren Admin-Bereich über die .htaccess.

 

2. Keinen Standard Benutzernamen wählen

 Bei den früheren WordPress Versionen war „Admin“ als Standard-Benutzername vorgegeben. Das führte dazu, dass viele Blogbesitzer diesen Benutzername aus Bequemlichkeit beibehielten und die Hacker so ein leichtes Spiel hatten und dies ausnutzten.

 Wählen Sie stets für jede Ihrer Webseiten einen eigenen, individuellen Benutzernamen.

 

3. Wählen Sie ein sicheres Passwort

Noch wichtiger als ein individueller Benutzername ist das Passwort, das aus mindestens sieben unterschiedlichen Zeichen bestehen sollte. WordPress gibt für ein sicheres Passwort folgende Empfehlung heraus: Das Passwort sollte mindestens 7 Zeichen lang sein. Um es sicherer zu machen, verwenden Sie Groß-/Kleinschreibung, Ziffern und Symbole wie: ! ” ? $ % ^ & ).“

Sollten Sie kein Passwort selbst kreieren wollen, dann können Sie sich eines mit einem Passwortgenerator erstellen lassen: http://www.passwort-generator.com/

Weitere Informationen finden Sie hier:   

http://www.uni-due.de/zim/services/sicherheit/sicheres_passwort.shtml

Username und Passwort sollten man ausdrucken und an einem sicheren Ort aufbewahren und auch öfter einmal wechseln.

 

4. Berechtigungen/Attribute vergeben

Sie sollten das Rootverzeichnis (.htaccess, robots.txt, sitemap) so absichern, dass es nicht durchsucht werden kann.

 Die Datei-, Verzeichnisrechte/Attribute kann man über die Rechteverwaltung im Control-Panel des Providers oder über einen FTP-Client (Filezilla) vergeben bzw. abändern.

Beim installieren eines Blogs bzw. eines CMS werden in der Regel die Attribute/Berechtigungen automatisch vergeben.

Je nach Provider müssen die Attribute/Berechtigungen jedoch nachträglich verändert werden.

Und das machen Sie so:

Wenn Sie mittels FTP (Filezilla) auf dem Server Ihre Webseite aufrufen und dort im Root die einzelnen Dateien sehen, dann können Sie jede Datei mit der rechten Maustaste anklicken und es erscheint die Option „Dateiberechtigungen“. Diese klicken Sie an. In dem erscheinenden Popupfenster können Sie dann die Datei- und Verzeichnisrechte für folgende User: „Besitzer Berechtigungen“, “ die „Gruppen Berechtigungen “ und die „Öffentliche Berechtigungen“ individuell einstellen.

 

5. Login-Versuche beschränken

Extrem wichtig ist die Regulierung der Anmeldeversuche. Wenn sich ein Botnet versucht einzuloggen, braucht es dazu mehrere Anmeldungsversuche. Wenn Sie die IP des Angreifers jedoch nach einem oder spätestens nach drei Fehlversuchen sperren und ihn erst wieder nach Stunden freischalten, ist das ein guter Schutz. Das beste Plugin hierfür ist das Limit Login Attempts: http://wordpress.org/plugins/limit-login-attempts/

Dies können Sie nach Ihren Bedürfnissen einstellen. Sollten Sie mit dem Englisch Probleme haben, schreiben Sie mir eine kurze E-Mail, wir helfen Ihnen gerne.

 

4. Immer die aktuelle WordPress-Version nutzen

Seit es WordPress gibt, gibt es Updates. In diesen werden die bestehenden Sicherheitslücken behoben. Deshalb sollten Sie stets die neueste Version benutzen. Aber leider sind meist nicht alle Plugins mit der neuesten Version kompatibel, sodass Ihre Seite durch ein Update auch Schaden erleiden kann. Deshalb sollten Ihre Seite immer zuerst auf einem lokalen Server wie Wamp oder Xampp testen, ob sie mit der der neuesten WorPress Version auch problemlos funktioniert.

Im Backend/Verwaltungskonsole werden Sie immer darüber informiert, ob es eine neue Version gibt. Und mit dem es den automatischen Update-Button, ist das Update in nur wenigen Sekunden erledigt.

Aber denken Sie daran, zuvor immer ein Backup/Sicherheitskopie von der Seite und von der Datenbank zu machen, damit Sie nicht das Nachsehen haben, wenn etwas schiefläuft.

 

5. Checken Sie Ihr Theme vor der Installation

Laden Sie niemals ein WordPress Theme von einer

anonymen Download-Plattformen herunter, es könnte Malware auf ihm installiert  sein. Gehen Sie auf das Theme-Directory von WordPress.org (Die Themes werden hier vor der Veröffentlichung auf bösartige Codes durchgecheckt.

Zu Ihrer Sicherheit können Sie aber selbst noch die Themes durchdtesten, und zwar mit folgenden Plugins:

TAC (das Plugin zeigt Links im Theme-Code an)

Theme-Check (Das Plugin prüft das Theme umfangreich mit einem Check-Button)

Antivirus (das Plugin prüft das Theme auf Spam- oder Malware-Code. Hier lesen Sie die  deutschsprachiger Dokumentation).

 

6. Antispam-Plugins für Kommentare

Wenn Sie auf Ihren Seiten Kommentare zulassen, dann sollten Sie ein Antispam-Pugin installieren, das Ihnen Kommentare mit schädlichen Codes oder Links auf verseuchte Webseiten herausfiltert. Das beste für den deutschen Markt mit seiner speziellen Rechtslage, ist derzeit das Antispam Bee (hier herunterladen) von Sergej Müller. Es speichert keine Daten bei Drittanbietern. Mehr Informationen finden Sie hier: Alles über Antispam Bee

 

7. Sicherheits Plugins

DasBetter WP Security ist ein Sicherheits-Plugin, das die Sicherheitslücken Ihrer WordPress Installation prüft und auswertet. In der Auswertung gibt es Ihnen Empfehlungen, welche Möglichkeiten Sie zur Verbesserung der Sicherheit haben und wie Sie sie einzeln umsetzen.

Es kann mit seinen vielen verschiedenen Einstellungsmöglichkeiten ganz individuell auf die eigenen Bedürfnisse angepasst werden.

Eigentlich schon fast ein “Must Have” für einen WP-Blog oder ein WP-CMS.

 

8. Backup/Sicherungskopie

Neben dem Schutz vor Hacker-Angriffen ist das Wichtigste, dass Sie eine regelmäßige Sicherungskopie von Ihrer Seite und von der Datenbank erstellen. Und zwar, einmal auf dem Server durch den Provider, – einige bieten es kostenlos an, andere verlangen einen kleinen Betrag dafür – und zum anderen im Backend/Verwaltungskonsole mittels eines Plugins.

Das Beste derzeit ist das BackWPup-Plugin. Es kann individuell eingestellt werden und fährt die Backups automatisch. Aber Vorsicht, wenn die Seite gehackt wurde und dann beschädigt oder leer ist, wird genau von dieser beschädigten oder leeren Seite ein Backup gefahren.

Und das ist natürlich dann der Supergau, wenn man das erst nach Wochen feststellt und keine Sicherungskopie mehr von der Seite hat, als sie noch im heilen Zustand war.

Deshalb sollte man seine Seite regelmäßig (einmal pro Woche) kontrollieren, ob noch alles in Ordnung ist.

 

9. Admin-Bereich mit Passwort schützen

Schützen Sie die Verzeichnisstruktur von WP-admin im Controll-Panel durch ein Passwort.

Wenn nun jemand www.meinewebseite.de/wp-admin eingibt,  um sich einzuloggen, würde er automatisch auf eine 404-Seite umgeleitet werden. Diese 404-Seite präparieren Sie aber so, dass sie durch eine 301-Umleitung/Redirect immer auf  die Root-URL: www.meinewebseite.de geleitet. So  kommt der Angreifer nie auf die Anmeldemaske Ihres WordPress-Systems. Die 301-Umleitung wird im Headbereich fest im Template eingetragen.

Sollten Sie Probleme oder Fragen zu dieser Sicherheitsmaßnahme haben, schreiben Sie uns, wir helfen Ihnen gerne.

 

10. Leiten Sie Angreifer direkt auf die FBI-Seite um

Der wirksamste Schutz ist, dass Sie zwei wp-login.php haben. Die eine sichert den Admin-Bereich durch einen Link so ab, dass der Angreifer auf eine Seite Ihrer Wahl geleitet wird. Tippt er www.meinewebseite.de/wp-admin ein, dann landet er beispielsweise auf der Seite des FBIs und Sie können sicher sein, dass Sie nicht gehackt werden.

Eine exakte Beschreibung dieser Sicherheitsmaßnahme, werde ich hier nicht geben, um keine schlafenden Hunde zu wecken.

Sollten Sie Probleme oder Fragen zu dieser Sicherheitsmaßnahme haben, schreiben Sie uns, wir helfen Ihnen gerne.

Schreiben Sie einen Kommentar, ich lese alle.

 

  • Print
  • Digg
  • StumbleUpon
  • del.icio.us
  • Facebook
  • Yahoo! Buzz
  • Twitter
  • Google Bookmarks
  • Add to favorites
  • MisterWong.DE
  • LinkedIn
  • Live
  • Yigg

Schreibe einen Kommentar