WordPress sicherer machen – Security Hinweise

Wenn eine Software beliebt ist und von vielen Usern benutz wird, ist die Gefahr sehr groß, dass Hacker versuchen gerade die “Riesen” zu hacken. Wie bei den Betriebssystemen Windows, so ist das bei den Weblog Systemen der Marktführer WordPress.

Was aber kann ich machen, dass ich nicht selber gehackt werde? Dazu habe ich einige Tipps und Hinweise für euch. Die Reihenfolge ist aber nicht nach Wichtigkeit gelistet.

1. Auf die neuste Version updaten

In den neuen Versionen sind meist Sicherheitslücken und Fehler beseitigt. Sollte jedoch ein Update von 2.6.2 auf 2.7 erfolgen, so kann man auch abwarten, denn meist enthält ein Versionssprung auch noch Fehler. Sollten jedoch schwerwiegende Sicherheitslücken geschlossen sein, so ist es sinnvoller upzudaten. Allerdings ist es kein Problem und meist besser und sicherer gleich auf die nächsthöhere Version zu updaten

Wenn eine neue Version von WordPress herauskommt, so erfahrt ihr das meist immer schon in eurem Blog oder auf wordpress-deutschland.org oder hier auf dem Webmaster Watchblog.

2. SFTP statt FTP

Sehr unsicher ist FTP, da mit jedem Upload das Passwort unverschlüsselt übertragen wird. Die meisten Hoster bieten daher SFTP an. Läd man eine Datei hoch (z.B. über Filezilla), kann man bei Servermanager -> Servertyp auswählen, ob man über FTP, SFTP, FTPS oder FTPES die Dateien hochladen möchte.

Ob man nicht weiß, ob der Hoster das anbietet, einfach eine Email an den Support schreiben.

3. Zugriffsrechte für Ordner

Meistens sind die Zugriffsrechte falsch gesetzt, sodass Hacker Dateien einsehen können, was sie allerdings nicht sollen. Prüfe einfach mal, ob man bei deinem Blog auf wp-content/plugins zugreifen kann. Sollte jetzt eine Auflistung der Plugins kommen, so ist dies nicht gut. Jetzt gibt es zwei Möglichkeiten, dass dieser nicht mehr sichtbar ist.

Einfach eine leere index.html in wp-content/plugins/ hochladen und schon wird nichts mehr angezeigt.

Eine zweite Möglichkeit besteht darin, eine .htaccess Datei zu erstellen und in dieser zu schreiben:

# Prevents directory listing
Options -Indexes

Danach einfach wieder hochladen in wp-content/plugins und schon sollte die Auflistung nicht mehr erscheinen.

4. Der Sicherheitssschlüssel

Neu in WordPress hinzugekommen ist der Sicherheitsschlüssel:

define(‘AUTH_KEY’, ‘put your unique phrase here’);
define(‘SECURE_AUTH_KEY’, ‘put your unique phrase here’);
define(‘LOGGED_IN_KEY’, ‘put your unique phrase here’);

Dieser befndet sich in der wp-config.php. Aus Sicherheitstechnischer Sicht sollte man diese mit einer zufälligen Zeichengruppe ersetzen. WordPress hat dazu eine Seite, um automatisch solche Codes zu erstellen.

5. Benutzerregistrierung

Eine Sicherheitslücke stellt natürlich auch die Benutzerregistrierung dar. Diese sollte man ausschalten, wenn man diese nicht benötigt. Durch sogenannte Exploits haben Hacker, wo die Registrierung erlaubt war, den Blog gehackt. Allerdings ist diese Schwachstelle in der letzten WordPress Version bereinigt.

6. Das Passwort

Eigentlich selbstverständlich: Man sollte nicht ein zu einfaches Passwort wie “geheim” oder “abc” oder “12345″ nehmen. Diese können sehr schnell geknackt werden.

Wenn man bei WordPress (die neueren Versionen) das Passwort von seinem Profil ändern will, so gibt es jetzt eine sogenannte Passwortstärke. Diese gibt an, ob das Passwort Schlecht, gut oder stark ist. Da kann man dann abschätzen, ob das Passwort schwer oder leicht zu hacken sein wird.

7. WordPress Plugins

Es gibt auch WordPress Plugins, die die Sicherheit erhöhen bzw. Sicherheitslücken aufdecken. Darunter der WordPress Exploit Scanner und WP Security Scan.

Allerdings sollte man nicht zu viele WordPress Plugins verwenden, da mit jedem aktivierten Plugin die Sicherheit gefährdet wird und Hacker dann über bestimmte Plugins reinkommen können. Daher gilt auch hier: Updatet die Plugins sobald eine neue Version herausgekommen ist. Wenn das Plugin bei wordpress.org hochgeladen wurde und du eine der neueren WordPress-Versionen benutzt, dann kannst du dies automatisch updaten lassen.

Es gibt auch auch Plugins, die die Sicherheit erhöhen sollen:

• Der WordPress Exploit Scanner
  Dieser durchsucht alle Dateien von WordPress nach schädlichem Code. Danach kann man diese Dateien dann austauschen, wenn es sich wirklich um Schadcode handelt.
• WP Security Scan
  Dieses Plugin schaut, ob dein verwendetes Passwort sicher ist (musst du bei Security Scan eingeben – eigentlich nicht mehr benötigt, da es in WordPress eine solche Funktion jetzt gibt), ob die Dateiberechtigungen korrekt sind, die Datenbank richtig gesichert ist, versteckt die Version von WordPress und erhöht die Sicherheit des Adminbereichs.

Diese werde ich demnächst vorstellen.

Wenn es doch mal passiert …

Sollte deine Website doch gehackt werden und deine Startseite ist weiß, so schaue erst einmal, ob nur die index.php verändert wurde. Diese dann einfach austauschen mit der originalen Datei. Sollte es immernoch nicht funktionieren, so sind wohl doch die Datenbank oder andere Dateien verändert oder gelöscht wurden.

Daher sollte man regelmäßig Backups machen, um nicht mit leeren Händen da zu stehen. Dazu gibt es zwei Möglichkeiten.

1. Manuell

Dazu gehst du einfach auf phpMyAdmin und klickst deine Datenbank an. Danach gehst du in der Leiste oben auf Exportieren. Dort scrollst du etwas nach unten, machst den hacken bei Senden, stellst noch eine Kompression ein und lädst es auf deinen Computer.

Um es dann wieder einzuspielen, klcikst du einfach auf importieren oben in der Leiste und wählst die Datei aus. Schön ist die Datenbank wieder auf dem Stand, wo du die Datei erstellt hast.

2. Mit dem Plugin WordPress Database Backup

Der Nachteil bei der manuellen Methode ist, dass man es regelmäßig machen muss und wenn dann ein hacker kommt, hat man gerade zwei Monate kein backup erstellt.

Damit dies nicht passiert, gibt es das Plugin WordPress Database Backup.

Fazit

Man hat viele Möglichkeiten seinen Blog vor Hackern zu schützen, aber es gibt nicht den 100-prozentigen Schutz davor. Deshalb sollte man vorbeugende Maßnahmen treffen und wenn es doch mal passiert, ein Backup zur Seite zu haben.