Hacker nehmen gerne WordPress-Installationen unter Beschuss. Das liegt aber nicht daran, dass WordPress besonders unsicher ist. der Grund ist, dass WordPress so weit verbreitet ist. WordPress-Installationen sind also rein von der Masse her ein lohnendes Ziel.
Ein weiterer Grund ist, dass WordPress häufig von Leuten installiert wird, die sich nicht so gut auskennen. Sie sind sich nicht klar darüber, dass ein Redaktionssystem nichts ist, dass man einmal installiert und dann vergessen kann. Das System braucht Aufmerksamkeit, man muss es pflegen. Und man sollte bei Installieren ein paar Regeln beachten.
5 goldenen Regeln für mehr Sicherheit
- Backups machen (und sie nicht auf dem Server aufbewahren)
- Kein Administrator-Account namens „admin“
- Nur einen Admin-Account, alle anderen (die Autoren) haben keine Admin-Rechte
- Sichere Passwörter = lange Passwörter (12 Stellen)
- Updates, Updates, Updates
Leute, macht Backups. Wenn Ihr ein Backup habt, ist es nicht so schlimm, wenn mal was schiefgeht. Es gibt eine Reihe von guten PlugIns, die das automatisch für Euch erledigen. Automatisch ist wichtig, denn wer nur dann ein Backup macht, wenn es ihm grade einfällt, hat mit Sicherheit genau dann keines, wenn er es am Dringendsten bräuchte.
Einmal eingerichtet, macht das PlugIn einmal pro Woche ganz selbsttätig eine Sicherungskopie von Eurer Seite und Ihr seid auf der sicheren Seite.
Es ist sinnvoll, die Backups nicht auf dem Server in der WordPress-Installation selbst zu speichern. Im Falle einer Malware-Infektion könnte auch die Backup-Dateien betroffen sein. Bewahrt das Backup auf Eurem Rechner auf, auf einer Festplatte oder irgendwo in der Cloud (z.B. Dropbox).
Noch etwas ist wichtig: Ein Backup, das man nicht wieder herstellen kann, ist nicht viel Wert. Bevor Ihr Euch auf ein Plugin verlasst, probiert vorher unbedingt aus, ob Ihr Eure Seite auch wirklich aus dem Backup wieder herstellen könnt.
Zu viele Häuptlinge und zu wenige Indianer
Es sollte möglichst nur ein Administrator-Konto per Installation geben. Autoren, die im Blog namentlich erscheinen, sollten keine Admin-Rechte besitzen. Hier reichen die Redakteurs-Rechte vollkommen aus.
Es sollte keinen Account auf Eurer Installation geben, die unter dem Usernamen „admin“ läuft.
Checkliste WordPress Sicherheit
- Alles, was Ihr nicht braucht, löschen (PlugIns und Themes)
- Keine ungepflegten Installationen auf demselben Server liegen lassen (Testversionen etc.)
- Den eigenen Rechner regelmäßig auf Schadsoftware scannen
- SFTP nutzen (Daten können nicht von extern ausgelesen werden)
- Verschiedene Passwörter für WP Admin, Datenbank und FTP benutzen
- Regelmäßige Updates des Systems (WordPress-Versionen) machen
- Regelmäßige Updates der PlugIns machen
- Themes updaten, falls der Entwickler das Theme pflegt
- Backups machen (und sie nicht auf dem Server aufbewahren)
- Kein Administrator-Account namens „admin“
Kommentare
•
Danke für diesen schönen Artikel zur Sicherheit von WordPress und zum Umgang mit Accounts.
•
Ein sehr guter und informativer Artikel! Wie man sieht, kann man auch mit (verhältnismäßig) wenig Aufwand seinen WordPress Blog um ein vielfaches Sicherer machen.
•
Besten Dank für die Infos!
BackWpUp ist ein netter tipp.
•
Ein gelungener Artikel. Inhaltlich möchte ich noch zwei kleine Anmerkung zum Thema Passwort machen. Ein 12-Stelliges Passwort alleine macht keinen Sinn. Wichtig ist das es keinen Bezug zu einem hat und Alphanumerisch aufgebaut ist – ideal mit Sonderzeichen. Auch „leetspeek“ oder dergleichen ist KEINE Hilfe.
Schlecht: Gartenarbeit (vor allem wenn es ein GartenBlog wäre. Stichwort Social Engineering
Schlecht: G@rt3n@rb31t (Moderne Systeme wie johncracker testen derartiges mit)
Ok: eL_1XGSfT#n4t
Am besten ein Passwortgenerator verwenden. Einige Suchmaschinen wie DuckDuckGo.com bieten sowas auch an.