Sichere Passwörter und Updates
Dieser Artikel ist ursprünglich am 18. 07. 2017 erschienen.
Das ist eine ganze Weile her. Der Inhalt ist womöglich nicht mehr ganz aktuell.
„Nimm bloß nicht WordPress! Mein Kumpel arbeitet in der IT und der sagt, WordPress ist wahnsinnig unsicher!“
Stimmt das? Nein, das stimmt so nicht. WordPress ist eine Software und um Software muss man sich kümmern. Indem man regelmäßig Updates macht und indem man sichere Passwörter verwendet. Das war’s aber auch schon. Der Kumpel liegt also falsch, WordPress ist ein sicheres System.
Webseiten, die keine Pflege brauchen, gibt es schon auch. Das sind statische HTML-Seiten bei denen keine Scriptsprachen am Werk sind. Folglich kann dort auch niemand Unfug treiben.
Wer lieber ein komfortables CMS haben möchte, der muss sich kümmern. So wie das Betriebssystem auf dem Laptop bekommt auch WordPress regelmäßig Updates. Jedes Update bringt neue, praktische Funktionen und nebenbei werden Sicherheitslücken geschlossen.
Ein Redaktionssystem ist also nichts, dass man einmal installiert und dann vergessen kann. Das System ist ein Stück Software und das braucht Aufmerksamkeit.
2 Regeln für die Sicherheit
Dabei ist es denkbar einfach, WordPress sicher zu machen. Wer die beiden wichtigsten Faustregeln beachtet, ist weitgehend raus aus der Schusslinie.
- Sichere Passwörter = lange Passwörter, am besten ganze Sätze (12 Stellen und mehr)
- Updates, Updates, Updates
Sicherheit ist immer relativ
In einem kleinen Dorf wo jeder jeden kennt, schließt niemand seine Haustür ab, wenn er aus dem Haus geht. In der Großstadt wäre das wahrscheinlich ein Fehler, denn hier leben viel mehr Menschen und darunter sind auch solche mit unlauteren Absichten, die sich in der Masse verstecken.
Bei WordPress ist das ganz ähnlich. Weil WordPress sehr weit verbreitet ist und es viele WordPress-Installationen gibt, sind diese Installationen ein lohnendes Ziel. Einfach weil es so viele davon gibt. Die Chance ist groß, dass sich in der großen Masse ungepflegte Systeme finden, die einmal installiert und dann vergessen wurden. Die mit schwachen Passwörtern abgesichert sind und bei denen niemand jemals ein Update gemacht hat.
Die Ziele der Hacker
Man muss sich von der Vorstellung frei machen, dass da ein ungewaschener Typ im Kapuzenshirt vor seinem Computer sitzt und versucht, ein Passwort zu erraten. So etwas gibt es nur im Krimi. In der Realität laufen die Attacken automatisiert ab. Kleine Programme – so genannte Bots – probieren so lange Buchstabenkombinationen aus, bis zufällig das richtige Passwort dabei ist. Oder sie lesen die beliebtesten Passwörter von Listen herunter (12345, passw0rt, qwerty und so weiter).
Die Bots operieren mit Hunderttausenden von IP-Adressen. Klappt ein Login nicht, wechselt das Angriffs-Programm blitzschnell die IP-Adresse.
Gegen solche Angriffe helfen solide Zugangsdaten. Ein 12- und mehrstelliges Passwort ist nicht so ohne weiteres zu knacken, das würde die bösen Jungs viel zu viel Rechenzeit kosten. Sie wenden sich lieber den leichteren Opfern zu.
Die Bots sind übrigens nicht an Euren Inhalten interessiert. Sie wollen nichts stehlen, im Gegenteil, sie bringen etwas mit. Nämlich Schadcode. Damit machen sie Euren Server zum Werkzeug für ihre kriminellen Aktivitäten. Der Server wird zur Spam-Schleuder oder zur Anzeigen-Verbreitungsmaschine. Oder der Server wird Teil eines bösen Netzwerks das andere Server angreift (Stichwort DDoS-Attacke).
Im täglichen Betrieb merkt ihr erst Mal nichts davon. Aber Google merkt das relativ schnell und setzt einen Warnhinweis. Wer jetzt nicht schnell reagiert, landet auf einer Blacklist. Von der wieder runterzukommen ist harte Arbeit. Aber das ist ein Thema für sich.
Zum Weiterlesen:
Hier gibt es einen älteren Artikel mit einer kleinen Checkliste mit Sicherheitstipps.
Kommentare, die nichts mit dem jeweiligen Artikel zu tun haben, oder die weitgehend inhaltslos sind und keinen Mehrwert für andere Leserinnen und Leser bieten, veröffentlichen wir nicht.
2 Kommentare zu “Sichere Passwörter und Updates”
Ein Problem ergibt sich doch insbesondere immer in den Momenten, in denen ich ein Update nicht nutzen kann, weil es mir meine Konfiguration „zerschießt“. Durch die Vielzahl an Themes ist das Thema in WordPress teilweise schwer zu handhaben.
Hallo, Tim,
kannst du vielleicht etwas näher erklären was du meinst mit „die Konfiguration zerschießen“?
Was hast du denn wie konfiguriert und wie hängt das mit WordPress Core Updates zusammen?
Oder beziehst Du Dich auf ein Theme oder Plugin?
Schöne Grüße
Kirsten
Die Kommentare sind geschlossen.
Wenn du einen Kommentar schreibst, wird dieser inklusive Metadaten zeitlich unbegrenzt gespeichert. Auf diese Art können wir Folgekommentare automatisch erkennen und freigeben, anstelle sie in einer Moderations-Warteschlange festzuhalten.
Wenn Besucher Kommentare auf der Website schreiben, sammeln wir die Daten, die im Kommentar-Formular angezeigt werden, außerdem die IP-Adresse des Besuchers und den User-Agent-String (damit wird der Browser identifiziert), um die Erkennung von Spam zu unterstützen. Aus deiner E-Mail-Adresse kann eine anonymisierte Zeichenfolge erstellt (auch Hash genannt) und dem Gravatar-Dienst übergeben werden, um zu prüfen, ob du diesen benutzt.
Die Datenschutzerklärung des Gravatar-Dienstes findest du hier.
Nachdem dein Kommentar freigegeben wurde, ist dein Profilbild öffentlich im Kontext deines Kommentars sichtbar.