Um Dein Blog vor Hackern zu schützen, bedarf es mehr als ein paar Sicherheitsmaßnahmen in WordPress selbst. Nur mit einer Sicherheits-Strategie, die Deine sämtlichen Online-Aktivitäten umfasst, bist Du wirklich geschützt.
Wenn ein Angreifer sich auf anderem Weg beispielsweise Dein Admin-Passwort besorgen kann oder das WordPress-Login einfach umgeht, helfen alle WordPress-Sicherheitsmaßnahmen nichts. Deshalb ist es noch wichtiger, sich eine Sicherheitsstrategie zuzulegen, die auch das gesamte Umfeld absichert: ein SFTP-Zugang, der Login zum Strato-Backend, der eigene E-Mail-Account und einiges mehr.
Aber ist das nicht übertrieben? Schließlich hast Du nichts für Hacker Interessantes – denkst Du. Was Hacker jedoch tatsächlich suchen, sind Ressourcen, die sie für illegale Zwecke missbrauchen können, ohne dabei entdeckt zu werden: Sie wollen zum Beispiel illegale Dateien, Bilder und Videos tauschen oder schädlichen Code verbreiten. Um ihr Ziel zu erreichen, platzieren sie außerdem unbemerkt Spam-Links oder tauschen Werbebanner und Affiliate-Codes aus, sodass nicht mehr Du, sondern der Hacker die Vermittlungsprovisionen kassiert.
Hacker-Angriffe geschehen automatisiert und systematisch. Fällt einem Hacker beispielsweise Dein E-Mail-Passwort in die Hände, weil Dein E-Mail-Provider gehackt wurde, oder filtert er in einem offenen WLAN Dein FTP-Passwort heraus, kann er mit diesen Informationen unter Umständen kompletten Zugriff auf Deinen Webspace bekommen.
Deshalb ist es wichtig, dass Du Dich generell möglichst sicher durchs Internet bewegst und keine einfachen Angriffspunkte bietest. Einige der nachfolgend aufgezeigten Maßnahmen sind sehr einfach umzusetzen, andere bedeuten etwas Aufwand oder die Umstellung Deiner Gewohnheiten.
Verschlüsselte Verbindungen
Greife auf sicherheitsrelevante Websites wie beispielsweise WordPress, Dein Webspace per FTP, Deinen E-Mail-Account oder Dein Onlinebanking nur über sichere Verbindungen zu. Das kann am Handy eine Datenverbindung Deines Mobilfunkanbieters sein oder Dein eigener Internet-Zugang zu Hause.
Bist Du in fremden WLANs unterwegs, sind zusätzliche Sicherheitsmaßnahmen unabdingbar. Grundsätzlich lassen sich die Daten in einem offenen WLAN von jedem mitlesen, der ebenfalls mit diesem WLAN verbunden ist.
Mindestens solltest Du also Passwörter nur über gesicherte Verbindungen übertragen, also SSL-verschlüsselt. Bei den meisten E-Mail-Anbietern ist das der Fall, für Dein eigenes WordPress musst Du die SSL-Verschlüsselung aber selbst einrichten.
Solltest Du dennoch einmal ein Passwort über eine unverschlüsselte Verbindung nutzen müssen, ändere das Passwort hinterher so bald wie möglich über eine sichere Verbindung.
VPN-Verbindung nutzen
Deutlich sicherer fährst Du mit einer sogenannten VPN-Verbindung. Dabei stellt Dein Laptop oder Smartphone eine verschlüsselte Verbindung zu einem Server des VPN-Dienstleisters her. Er überträgt alle Daten komplett verschlüsselt und damit für Angreifer quasi unsichtbar zunächst auf diesen Server. Erst von dort aus gehen die Daten dann an den eigentlichen Bestimmungsort, also beispielsweise zu Deinem WordPress-Login. Ein Hacker kann so – anders als bei einer SSL-Verschlüsselung – nicht einmal sehen, was Du überhaupt im Internet machst.
VPN-Dienste gibt es in gewissem Umfang kostenlos, beispielsweise das renommierte, in der Schweiz ansässige Proton VPN. VPNs mit schneller Datenübertragung und unbegrenztem Volumen kosten allerdings monatliche Gebühren ab etwa 5 Euro. Auch manche Desktop-Firewalls bringen inzwischen eigene VPN-Funktionen mit. Wer zu Hause mit einer Fritzbox surft, kann sich von unterwegs per VPN mit der Fritzbox verbinden und auf diesem Weg die sichere heimische Internet-Verbindung nutzen.
Sichere Passwörter
Eigentlich selbstverständlich, aber aus Bequemlichkeit oft vernachlässigt: Nutze für alle Accounts wirklich sichere Passwörter und verwende für jeden Zugang ein anderes Passwort. Denn nutzt Du identische Passwörter beispielsweise für die WordPress-Datenbank, Deinen STRATO Zugang, den FTP-Zugriff auf Deinen Webspace oder den E-Mail-Account, vervielfacht sich für einen Hacker die Chance, dieses eine Passwort zu knacken und damit Zugriff auf all Deine Accounts zu bekommen.
Auch wenn Dein E-Mail-Account auf den ersten Blick nichts mit WordPress zu tun hat: Über die WordPress-Funktion zum Wiederherstellen des Passwortes ist es ein Leichtes, über Deinen E-Mail-Account die Kontrolle über Deine WordPress-Installation zu übernehmen.
FTP: nur verschlüsselt
Besonders leicht übersieht man die Risiken bei der Datenübertragung per FTP. Gängige FTP-Clients wie Filezilla übertragen Daten nämlich standardmäßig mit dem unverschlüsselten FTP-Protokoll und speichern FTP-Passwörter unverschlüsselt auf der Festplatte.
In Filezilla kannst Du SFTP (SSH File Transfer Protocol) über die Verbindungseinstellungen aktivieren. Als Server legst Du dort ssh.strato.de fest, als Protokoll wählst Du SFTP. Der Benutzername ist Deine Domain, das Passwort das STRATO Masterpasswort. Das legst Du im STRATO Backend unter Sicherheit – Passwörter festlegen – Masterpasswort fest.
Auch wenn es etwas Mühe macht: Erlaube Browsern und FTP-Clients niemals, Passwörter auf der Festplatte zu speichern. Gib sie stattdessen bei der jeweiligen Verbindung immer neu ein. Denn zu leicht könnte diese Passwort-Datei in falsche Hände geraten.
Veraltete Dateien am Webserver
Besonders beliebt bei Hackern sind veraltete und vergessene Dateien auf Webservern. Eventuell hast Du früher einmal irgendeine App ausprobiert oder ein zusätzliches WordPress zum Testen installiert, das Du längst nicht mehr nutzt. Auch wenn diese Dateien von keiner Webseite her verlinkt sind: Hacker kennen die Standard-Pfade und Dateinamen von alten App-Versionen mit Sicherheitslücken und finden solche Dateien über automatisierte Such-Scripts.
Kümmere Dich deshalb um Datenhygiene in Deinem Webspace: Lösche alles, was Du nicht mehr benutzt und halte alles andere mit Updates ständig auf dem aktuellsten Stand.
Missverständnis: „Viel hilft viel“
Bei allen Risiken solltest Du dennoch nicht dem Missverständnis aufsitzen, dass viel automatisch auch viel bringt. Absolute Sicherheit gibt es nicht und jede Sicherheitsmaßnahme hat ihren Preis – ob Zeit und Nerven, Geld oder Performance-Einbußen durch Sicherheitsmaßnamen. Zwei oder drei parallel installierte Sicherheits-Plugins beispielsweise machen Dein Blog unverhältnismäßig langsam und kosten damit Besucher und Google-Ranking.
Sicherheit ist immer eine Risikoabwägung. Der Aufwand muss verhältnismäßig bleiben. Für einen Webshop mit hohen Umsätzen kann schon ein Ausfall von einer Stunde ein Desaster sein, während ein Hobby-Blogger hackerbedingt auch mal eine Woche Offline-Zeit verschmerzen kann.
Wäge also bei Sicherheitsmaßnahmen das Risiko in Deiner persönlichen Situation ab: Was passiert konkret, wenn ich gehackt werde? Und wie hoch ist der Widerherstellungs-Aufwand? Für ein Hobby-Blog reichen vielleicht schon regelmäßige Backups aus, sodass sich das Blog nach einem Hackerangriff wiederherstellen lässt. Eine Shop-Website, die sensible Kundendaten verarbeitet, muss unbedingt verhindern, dass diese Daten in falsche Hände geraten.
Zu viel vermeintliche Sicherheit kann auch schaden
Viele Sicherheits-Tutorials für WordPress, die man im Internet findet, berücksichtigen diese Risikoabwägung nicht. Die dort beschriebenen, umfangreichen Maßnahmen verursachen in den meisten Fällen mehr Probleme, als sie potenziell der Sicherheit zuträglich sind.
Da wird beispielsweise empfohlen, das Plugin-Verzeichnis umzubenennen oder die Datei wp-config.php am Webserver in ein höheres, aus dem Web nicht zugängliches Verzeichnis zu verlegen. Weiß man hier nicht ganz genau, was man tut und versteht die technischen Zusammenhänge nicht hundertprozentig, ist das Risiko größer als der Nutzen. Beispielsweise funktionieren manche Plugins plötzlich nicht mehr oder WordPress lässt sich überhaupt nicht mehr aufrufen.
Bei allem Streben nach Sicherheit: Das primäre Ziel ist der Spaß am Bloggen, nicht die Abwehr von Hackern. Gesundes Augenmaß ist daher wichtiger.
Anonymous sagte am
Endlich mal eine gut strukturierte Infoseite, die „rund“ ist und auf der NICHT eine Menge Programmier-Hintergrund-Detailwissen unterstellt wird, wie es bei vielen Seiten, die von den Programmier-Nerds selbst verfasst zu werden scheinen, der Fall ist!
Prima SO, weiter SO!
… hat mir richtig gut gefallen (vor allem die genaue FTP-SSL-Anleitung, wo es bei mir bisher immer mal wieder ein paar Fragezeichen im Hinterkopf gab).
Andreas Wehry sagte am
Hallo,
na das hören wir doch gerne. Freut mich! 🙂
Und immer dran denken, SFTP ist sicherer als FTP! 😉 Mehr dazu hier: https://www.strato.de/blog/sftp/
Liebe Grüße
Michael