Willkommen im STRATO Blog. Hier gibt es News und Tipps rund ums Hosting.

 

Menu

Veröffentlicht am: 16. September 2013

Aktualisiert am: 17. Januar 2016

Wordpress sicher wie im Tresor

WordPress: Einfach sicher bloggen

Als beliebtestes Content Management System ist WordPress immer wieder das Ziel von Angriffen. Mit den folgenden vier Schritten machst Du Dein Blog sicherer.

1. Geheimer Benutzername

Für einen Administrator sind Standardbezeichnungen wie „admin“ oder der öffentlich sichtbare Autorenname keine gute Idee. Um es Angreifern schwerer zu machen, gibst Du Dir am besten einen geheimen Namen in Kombination mit einem sicheren Passwort. Bei den STRATO Hosting Paketen WP Starter und WP Plus kannst Du das gleich bei der Einrichtung erledigen. Wenn Du WordPress bereits installiert und einen unsicheren Admin-Benutzernamen verwendest: einfach ein neues Admin-Konto anlegen, ausloggen, mit diesem neuen Account wieder einloggen und den alten Administrator löschen.

2. So wenige Plugins wie möglich

Selbst gepflegte Plugins von erfahrenen Entwicklern sind potenzielle Sicherheitslücken. „So viel wie nötig, so wenig wie möglich“, empfiehlt deshalb WordPress-Entwickler Sergej Müller. Plugins verlangsamen ohnehin das System und erhöhen die Abhängigkeit von deren Weiterentwicklung. Wer sich auf wenige Plugins beschränkt und diese zeitnah aktualisiert, reduziert das Risiko deutlich.

3. Offizielles WordPress-Verzeichnis nutzen

Die beste Quelle für kostenlose Plugins und Themes ist das offizielle WordPress Verzeichnis. Durch die große Community werden Sicherheitslücken schneller bekannt und behoben. Achte bei der Auswahl auf das Datum der letzten Aktualisierung, die Anzahl der Downloads, Bewertungen und das Feedback in den Foren.

4. Login-Bereich schützen

Bei Brute-Force-Attacken wird versucht, durch automatisiertes Ausprobieren an Zugangsdaten zu kommen. Das Plugin WP Limit Login Attemps beschränkt die möglichen Anmeldeversuche und blockt zwischenzeitig die IPs potenzieller Angreifer. Hilfreich ist auch die Captcha-Abfrage – für Menschen zwar umständlich, für Bots aber ein Problem.
Was tun im Notfall?

5. Vorsorge ist besser

Um dennoch für den Notfall gerüstet zu sein, solltest Du regelmäßig Backups machen. Inhalte lassen sich einfach über die eingebaute Exportfunktion sichern, Bilder und Dateien per FTP. Letzteres erledigt das Feature STRATO BackupControl vollautomatisch – so lassen sich alte Speicherstände per Knopfdruck wiederherstellen. Wer hier systematisch vorgeht, hat selbst bei einem erfolgreichen Angriff wenig zu befürchten.

In dem Fall aber gilt es schnell zu handeln: FTP- und WordPress-Zugänge ändern, das letzte Backup einspielen, gegebenenfalls WordPress und Desktop-Antivirenprogramme aktualisieren. Danach ist Ursachenforschung angesagt: Sind andere Blogger ebenfalls betroffen? Ist ein installiertes Plugin für das Problem verantwortlich? Gibt es Auffälligkeiten im Verzeichnisbaum oder in den Log-Dateien? Antworten findest Du unter anderem im WordPress-Forum.

Der Autor:

Autor: Christian Lingnau

Ich heiße Christian Lingnau und bin freier Redakteur für Hosting-Themen, insbesondere WordPress.

7 Kommentare

  1. Peter sagte am 16. September 2013 um 11:26:

    Kleine Ergänzung von mir, die nicht nur für WP-Nutzer gilt:

    1. Regelmäßig die Logfiles auf dubiose Zugriffe kontrollieren.
    Oft sind Muster in der Art und Weise der Zugriffe auf den Server zu erkennen, die wenig bis nichts mit dem „normalen“ Surfverhalten zu tun haben und als Vorbereitung zu eventl. Hackversuchen gewertet werden können.

    2. Einzel-IPs oder IP-Bereiche, die ständig als Ausgangspunkt von suspekten Zugriffen zu erkennen sind, mittels .htaccess aussperren, sofern man auf Besucher aus diesen Regionen verzichten kann.

    In diesem Zusammenhang sind besonders der asiatische Raum und der amerikanische Kontinet (USA, Südamerika) auffälig.

    Die Strato-Logfiles, die fast in Echtzeit bereitgestellt werden, sind dabei sehr hilfreich. So kann man im Bedarfsfall zeitnah reagieren.

    Diese Art der Prävention hat sich bei mir als zuverlässig und zweckmäßig erwiesen.

    Antworten
  2. Prof. Kornelius Zeth sagte am 25. September 2013 um 0:23:

    sorry – aber es ist ziemlich doof, einen Handycode-SME zu fordern. Es soll immer noch Leute ohne Handy geben. Bitte gebt mit Bescheid, ob mir die domains nun gehören oder nicht.

    Antworten
  3. Pascal sagte am 16. Februar 2016 um 21:03:

    Als sinnvolles Security Plugin würde ich noch Wordfence empfehlen. Tolle Sache!

    Antworten
  4. Matthias sagte am 28. März 2016 um 23:41:

    Hallo Herr Lingnau,

    als User, dessen WordPress-Seite schon einmal wegen eines Plugins (wysija) mit Schadcode infiziert war, finde ich Sicherheitstipps ja immer wunderbar. Nach so einem Problem beschäftigt man sich natürlich etwas eingehender mit der ganzen Materie – wobei ich mir aber trotzdem eher ein gesundes Halbwissen attestieren würde.

    Aber selbst unter dem Gesichtspunkt des Halbwissens finde ich es zumindest schwierig neuen/unbedarften WordPress-Usern (und ich denke an diese richtet sich der Post eher) z.T. Snakeoil oder unvollständige Infos an die Hand zu geben, insb. unter der Überschrift „Einfach sicher bloggen“. Sonst entsteht ein Gefühl der Sicherheit – das so nur bedingt angebracht ist.

    1. Geheimer Benutzername
    Man sollte als Nutzernamen nicht „admin“ nutzen und ein sicheres Passwort wählen – so weit so gut. Nur ist auch „Gh3H3!M“ als Nutzername nicht automatisch sicherer, denn WordPress ist z.T. recht freigiebig mit den Namen. Siehe z.B. hier:
    [Link entfernt]
    Insofern: ein anderer Name als „admin“ schützt schon gegen einen gewissen Teil von Angriffen, ist aber nur ein erster Schritt und schon garnicht automatisch geheim.

    4. Login Bereich schützen
    Das Plugin halte ich größtenteils für Snakeoil – Bruteforce-Attacken erfolgen ja meist aus Netzen und nicht einer einzigen IP (wodurch das Plugin da nicht greift). Das Captcha selbst bietet auch nur noch bedingt ein Plus an Sicherheit.
    Weitere sinnvolle Möglichkeiten, neben dem Tipp von Pascal, gäbe es z.B. noch hier:
    http://www.elmastudio.de/wordpress/wordpress-login-vor-angriffen-schuetzen/
    https://www.kuketz-blog.de/serverseitiger-schutz-wordpress-absichern-teil5/
    (wie z.B. den zusätzlichen .htaccess-Schutz)

    Viele weitere Sicherheitsbausteine, wie veränderte Datenbank-Kürzel, wie schaut ein sicheres Passwort aus, etc. werden hier erst garnicht aufgeführt.

    Will heißen: Es ist ja im Interesse von Strato, dass die Seiten der Kunden möglichst sicher sind, was z.B. den Support ja sicherlich entlasten dürfte. Man könnte argumentieren, dass jemand, der von der Materie keine Ahnung hat, lieber keine Website aufsetzen sollte – geht aber nunmal an der Realität vorbei. Und gerade die WordPress-Hosting Angebote richten sich ja eher an User ohne viel Vorwissen.

    Insofern stellt doch Anfängern wirklich eine möglichst umfassende und verständliche Übersicht zur Verfügung (nicht zwingend im Blog hier) – die auch Vor- und Nachteile einzelner Ansätze aufzeigt – damit diese es nicht auf die harte Tour lernen müssen.

    LG
    Matthias

    Antworten
    • Christian Lingnau sagte am 29. März 2016 um 10:53:

      Hallo Matthias,

      danke für Ihr umfangreiches Feedback! Hinweis vorab: Da wir hier keine Informationen verbreiten wollen, wie man Nutzernamen ausliest, habe ich den entsprechenden Link entfernt (ich hoffe Sie haben Verständnis dafür). Der Beitrag soll in der Tat Einsteigern einfache Tipps geben, wie sie ohne technische Vorkenntnisse ihre WordPress-Installation sicherer machen können. Sie haben natürlich Recht, dass das nur ein erster Schritt sein kann.

      Zum Thema Sicherheit veröffentlichen wir regelmäßig Beiträge und das für unterschiedliche Zielgruppen. Wie man zum Beispiel Datenbank-Kürzel ändert und einen Verzeichnisschutz einrichtet, haben wir hier beschrieben: https://blog.strato.de/wordpress-potenzielle-sicherheitsluecken-schliessen/. Das ist komplexer und richtet sich an erfahrene Nutzer, so dass es in einem separaten Beitrag behandelt wurde. Zum Thema sichere Passwörter empfehlen wir Generatoren in Verbindung mit PW-Managern: https://blog.strato.de/tools-passwoerter/. Den Hinweis mit den Vor- und Nachteilen einzelner Lösungen finde ich interessant, danke dafür!

      Viele Grüße
      Christian

      Antworten

Hinterlasse eine Antwort Antworten abbrechen

Bitte beachte, dass sich Dein Kommentar auf den Artikel beziehen sollte. Wenn Du ein persönliches Kundenanliegen besprechen möchtest, wende Dich bitte an unseren Kundenservice auf Facebook, Twitter oder über Hilfe & Kontakt.
Wir freuen uns, wenn Du uns Deinen Namen hinterlässt. So wissen wir, wie wir Dich bei unserer Antwort ansprechen können.
Wenn Du Deine E-Mail-Adresse einträgst, wirst Du per Mail über unsere Antwort informiert. Sie wird zum Schutz Deiner Daten aber nicht veröffentlicht. Beide Angaben sind freiwillig.

Hier bloggen

Lisa Kopelmann
Ist Ansprechpartnerin für den Blog und berichtet über aktuelle STRATO Themen

Oliver Meiners
Schreibt über alles, was für Dich als STRATO Kunde wichtig ist

Michael Poguntke
Schreibt über den Online-Speicher HiDrive, den Homepage-Baukasten, Webshops und Server

Bianca Restorff-Adrion
Schreibt über Karriere & die Menschen bei STRATO

Christian Lingnau
Bloggt über WordPress & andere CMS

Franz Neumeier
Gibt Tipps zum erfolgreichen Bloggen

Sven Hähle
Kennt sich bei Domains hervorragend aus

Patrick Schroeder
Erzählt die Stories unserer Kunden

Ann-Christin Schmitt
Schreibt über HiDrive, den Homepage-Baukasten und guten Websitecontent

Christian Rentrop
bloggt über Software-Themen