WordPress ist ein sehr beliebtes Blog und CMS System und wird bei unserem Hosting Kunden regelmäßig verwendet. Dies hat zur Folge, dass es auch ein beliebtes Ziel für Hacker und die, die es einmal werden wollen, ist. Befolgt man jedoch ein paar grundsätzliche Regeln, ist man schon fast auf der sicheren Seite und das System ist weitgehend sicher.
Aller Anfang: Die Installation von WordPress
Die Installation von WordPress ist einfach erledigt und man fühlt sich schnell ertappt, sich an dieser Stelle einfach durch den Installationsprozess zu klicken, ohne sich weitere Gedanken zu machen. Hier wird aber schon der Grundstein für die Sicherheit des Systems gelegt und man sollte sich an dieser Stelle Zeit nehmen. Hier in Kürze ein paar Ansatzpunkte für die sichere Installation auf Ihrem Hosting.
- Wählen Sie ein ausreichend sicheres Passwort für die Datenbankverbindung
- Ändern Sie das Tabellen Prefix ab. Verwenden Sie nicht „wp“, wie das vorgeschlagen wird. Das schützt sehr wahrscheinlich schon vor SQL Injection Lücken, da meistens davon ausgegangen wird, das wp vor den Datenbanktabellen stehen wird.
- Verwenden Sie nie den Benutzernamen „admin“ oder „webmaster“. Dies sind die Benutzernamen, die als Erstes für automatisierte Versuche verwendet werden, um das Passwort zu erraten (brute force Angriff).
- Verwenden Sie ein ausreichend langes und sicheres Passwort, welches Sie nur für WordPress verwenden.
- Nach der Installation stehen möglicherweise schon Updates bereit. Führen Sie diese Updates bei Verfügbarkeit sofort aus.
Im laufenden Betrieb: Updates, Updates und Updates...
Das A und O beim Betrieb jedes CMS Systems ist das Einspielen von Updates. Bei WordPress sind drei Bereiche beim Update zu beachten. Das Grundsystem, die installierten Plugins (auch inaktive) und das verwendete Theme. Grundsätzlich sind folgende Punkte wichtig:
- Plugins und Themes die nicht benötigt werden. haben auf dem Server nichts verloren. Dies gilt auch, wenn diese nicht aktiviert sind. Was nicht auf dem Server vorhanden ist, kann auch nicht angegriffen und missbraucht werden.
- Verwenden Sie, wenn möglich, nur Plugins und Themes aus bekannten Quellen, welche auch vom Entwickler noch betreut werden. Das finden Sie leicht auf der entsprechenden Internet Seite des Plugins heraus.
- Installieren Sie das Plugin Wordfence, es macht Sie auf Updates und Sicherheitsprobleme aufmerksam und kann vielfältig konfiguriert werden.
Ordnung ist das halbe Leben: System sauber halten
Das gilt auch bei CMS Systemen wie WordPress. Im Laufe der Zeit werden verschiedene Themes und Plugins installiert und ausprobiert. Manche von Ihnen finden im laufenden Betrieb Verwendung, andere liegen einfach nur deaktiviert auf dem Hosting Server herum. Entfernen Sie alles was nicht gebraucht, wird vom Webspace. Was nicht da ist, kann auch nicht für Angriffe missbraucht werden.
Spam, Werbung und Kommentare: Wie werde Sie das Problem los?
Das Versenden von Spam über die Kontaktformulare lässt sich wirkungsvoll durch den Einsatz von Sicherheitsmechanismen wie Captcha Bildern und andere spezialisierte Plugins verhindern. Durch das Plugin Akismet wird auch gleich die Kommentar-Funktion von WordPress vor Spam Einträgen geschützt, welche Sie grundsätzlich deaktivieren sollten, sofern diese nicht gewünscht sind. Es gibt noch viele weitere Lösungen, welche Ihnen bei Problemen dieser Art weiter helfen. Suchen Sie sich hier, die für Sie passende Lösung aus, um den Missbrauch Ihres WordPress Blogs von vornherein zu unterbinden.
Teil 2 dieses Leitfadens wird sich mit dem Absichern der XMLRPC Schnittstelle (xmlrpc.php) befassen.