Was Sie tun können, um für mehr Sicherheit in WordPress zu sorgen
Die Sicherheit ist in WordPress-Blogs wieder ein aktuelles Thema. Die Blogsoftware ermöglicht nicht nur eine relative pflegeleichte Betreuung von Webseiten und Blogs, sondern macht diese auch leicht angreifbar, wenn man nicht – über die Installation hinaus – auf die weitere Wartung der Software achtet. WordPress können Sie auch weiterhin anwenden. Doch ist es wichtig, sich etwas mehr um die Sicherheit zu bemühen.
Bei den derzeitig bekannten Angriffen, sogenannte „Brute-Force-Attacks“, wird auf WordPress-Installationen abgezielt. Der eigentliche Angriff an sich ist recht simpel gestaltet und zielt auf die Systeme ab, die als Nutzernamen weiterhin den Standard „admin“ verwenden. Ein weiterer Aspekt dieser Brute-Force-Angriffe sind die Passwörter, die von den Betreibern kurz gehalten werden und weder Zahlen, Groß- und Kleinschreibung oder Sonderzeichen beinhalten, sondern nur aus Buchstaben, die im Alphabet zu finden sind, bestehen. Auch wenn man sich das Passwort gerne kurz und einfach halten möchte, stellt dies aber dennoch ein enormes Sicherheitsrisiko dar.
Experten vermuten, dass damit versucht wird, aus den Servern ein stärkeres Botnet zu schaffen, wodurch sich schließlich größere Attacken auf andere Webseiten steuern ließen. Wie t3n.de berichtete, steht dabei das Vorbild zugrunde, wie im letzten Jahr Webseiten von US-Banken angegriffen wurden. Nicht nur, um sich selbst zu schützen, sind strengere Sicherheitsmaßnahmen lebensrettend, sondern auch für andere Webseitenbetreiber von weitaus größeren Projekten.
Ändern Sie regelmäßig Ihr Passwort und verwenden Sie keinen standardisierten Nutzernamen
Ein einzigartiges Passwort kann die Existenz Ihres WordPress-Blogs erhalten und Sie vor Brute-Force-Angriffen schützen. Betreiben Sie lieber mehr Aufwand mit Ihren Passwörtern, als dass Sie sich irgendwann „in den Arsch beißen“, weil eine Attacke Ihr System lahmgelegt hat. Es finden sich inzwischen weitaus mehr Angriffsflächen, als man annehmen würde.
Überlegen Sie sich für Ihr Passwort eine Kombination, die nicht leicht zu entschlüsseln und vielfältig gestaltet ist. Nicht umsonst wird Ihnen die Möglichkeit geboten, auch Sonderzeichen und Zahlen zu verwenden. Denn je mehr Faktoren Sie berücksichtigen, desto länger dauert es auch, das Passwort zu entschlüsseln. Auf Password-Depot.de finden Sie eine schöne Übersicht, die aufzeigt, wie lange es dauern kann, wenn dieses aus nur Kleinbuchstaben und Zahlen besteht. Die Entschlüsselung erfordert bei maximal 5 Zeichen gerade einmal 0,03 Sekunden!
Je mehr Sie aber in Ihrem Passwort kombinieren, desto schwerer wird es für die Hacker, an Ihr Passwort zu gelangen. Besteht dieses beispielsweise aus 9 Zeichen, wovon 2 Großbuchstaben, 3 Kleinbuchstaben, 2 Zahlen und 2 Sonderzeichen sind, braucht es etwa 9,1 Jahre. Bei einer Kombination von 12 Zeichen können es 7,5 Millionen Jahre werden. Je länger Sie also Ihr Passwort gestalten und je variantenreicher dieses ist, desto mehr tun Sie für Ihre Sicherheit. Beziehen Sie dies auch auf die Passwörter anderer User, die Zugriff auf Ihre Webseite erhalten haben, mit ein.
Standardmäßig ist für jeden WordPress-Account der Nutzername „admin“ eingerichtet. Brute-Force-Attacken haben sich besonders auf solche Accounts spezialisiert, da hierbei die Schwierigkeit nur in der Entschlüsselung des Passworts liegt, aber nicht auch im Nutzernamen. Dieser sollte aber trotzdem als eine wertvolle Sicherheitsbarriere genutzt werden.
In den Einstellungen zum User lassen sich diese aber sehr leicht ändern und neue User anlegen. Für den „Administrator“ sollten Sie einen Nutzernamen wählen, der nicht Ihre Identität preisgibt oder der gleiche ist, wie dieser, der anhand der Kommentare im WordPress-Blog angezeigt wird. Vergessen Sie in den Einstellungen zum Administrator auch nicht, die Rolle des Users festzulegen und mit einer anderen Email-Adresse zu arbeiten. Das erhöht die Sicherheit noch weiter.
Nehmen Sie regelmäßig Updates vor und lassen Sie sich von Security-Plugins unterstützen
Dass in regelmäßigen Abständen Updates zur WordPress-Version, Themes und Plugins ausgerollt werden, passiert nicht ohne Grund. Damit werden oftmals Sicherheitslücken ausgemerzt und die Angriffsfähigkeit vermindert. Dem Blogbetreiber und Webseiteninhaber können diese Updates einen großen Aufwand abnehmen, da in der Regel nur ein paar Klicks von Nöten sind, um diese vorzunehmen. Zudem lassen sich beispielsweise die Updates sehr entspannt durchführen, wenn Sie ohnehin gerade eine Änderung vornehmen, einen neuen Beitrag online stellen oder die Kommentare kontrollieren.
Einige Security-Plugins erleichtern Ihre Arbeit mit dem Blogsystem noch zusätzlich und tragen enorm zur Sicherheit Ihres Blogs bei. Sicherlich fällt es dem einen oder anderen nicht leicht, sich die Mühe zu machen und die Spreu vom Weizen zu trennen – also die richtigen Security-Plugins ausfindig zu machen. In einem aktuellen Artikel auf t3n.de sind die wichtigsten Plugins zusammengefasst, die für Sie nützlich sein können. Hiervon eine kleine Auswahl:
- Erwähnenswert ist das PHP-basierte Plugin „Bad Behavior“, das Ihnen dabei hilft, Link-Spam zu blockieren. Es kann Spammer davon abhalten, deren Müll bei Ihnen abzuladen. Oftmals ist den Spammern nicht einmal das Lesen Ihrer Webseite möglich.
- Ein weiteres Plugin ist „Better WP Security“, dass eine Menge Features bereithält und beispielsweise dazu beitragen kann, Sicherheitslöcher zu stopfen.
- „WebsiteDefender WordPress Security“ ist ein All-in-One-System, dass Ihre Webseite überwacht und mögliche Sicherheitslücken aufdecken kann. Des Weiteren informiert das Plugin über Gegenmaßnahmen, die man ergreifen kann, um diese Lücken zu schließen. Dieses beinhaltet auch einen Passwortgenerator und ein Datenbank-Tool, mit dem Sie WordPress-Datenbanken umbenennen lassen können.
- „Limit Login Attempts“ beschränkt die Anzahl der Login-Versuche auf ein eingestelltes Minimum, sodass Brute-Force-Attacken nicht mehr viele Möglichkeiten offen stehen. Denn gewöhnlich ist in WordPress der Standard eingestellt, dass unbegrenzt viele Logins versucht werden dürfen. Doch mit diesem Plugin unterbinden Sie dies auf effektive Weise.
- Für einige Nutzer kann das Plugin „WP Updates Notifier“ sehr nützlich sein, dass Sie per Email informiert, wenn Updates zu Plugins und Themes verfügbar sind und Sie in Aktion treten sollten. Besonders für Webseiteninhaber, die sich nicht regelmäßig um Aktualisierungen kümmern oder sich eher selten im Dashboard der Präsenz anmelden, ist dieses Plugin zu empfehlen.