WordPress: Wie sicher ist Ihre Webseite?

Posted by on Feb 1, 2015 in Web | No Comments

WPSecurity

Neueste Statistiken belegen es; WordPress ist meistens die erste Wahl, wenn es darum geht, sich für ein Content-Management-System (CMS) zu entscheiden. Über 47% aller Webseiten, die mit einem CMS betrieben werden, haben als Basis eine WordPress-Installation. Bei vielen Webseiten unserer Kunden werkelt WordPress im Hintergrund – zurecht. Auch unser neuer Webauftritt basiert auf diesem Content-Management-System.

Populär zu sein, heißt aber auch, verstärkt ein Ziel für böswillige Angreifer zu werden. So mussten sich auch hierzulande die Server-Betreiber allein im vergangenen Jahr mit zahlreichen Angriffswellen herumplagen; zehntausende von WordPress-Installationen wurden gehackt. Ziel der Angreifer waren insbesondere WordPress-Installationen, die mit einem kostenlosen Theme (Vorlage) ausgestattet waren. Doch ‚kostenlos‘ ist eigentlich nicht die richtige Bezeichnung; genau genommen handelt es sich um Raubkopien von anderen (kostenpflichtigen) Themes.

CMSUsage

 

Hacker haben es aber nicht nur auf Themes alleine abgesehen, sondern bedienen sich gerne auch den sogenannten Plugins, also zusätzliche Installationen innerhalb von WordPress, die den Funktionsumfang der Webseite erweitern sollen. Hier werden Sicherheitslücken schamlos ausgenutzt. Solche Plugins werden immer mehr auch als Teil eines Themes implementiert und angeboten. Was zur Folge hat, dass die Zuständigkeit von entsprechenden Aktualisierungen (Updates) in den Bereich des Theme-Anbieters fällt. Beim Auftauchen einer Sicherheitslücke in einem Plugin erfolgte dann die Anweisung an den Käufer des betroffenen Theme meist zu spät (oder gar nicht); man solle das eine oder andere Plugin unbedingt aktualisieren.

Dass man sich vor solchen Angriffen nicht vollständig schützen kann, versteht sich von selbst. Doch auch in diesem Bereich lässt sich das Risiko durchaus verringern. Deshalb hier ein paar Tipps:

  • Finger weg von raubkopierten Themes und Plugins.
  • Updates von Themes, Plugins und WordPress (CMS) regelmäßig einspielen.
  • Informieren Sie sich über Sicherheitslücken und halten Sie sich auf dem Laufenden (Anlaufstellen bei WordPress ist beispielsweise wpvulndb.com).
  • Was tut Ihr Hosting-Partner in diesem Bereich? Lassen Sie sich informieren und beobachten Sie seine Informationswelle; eine offene und regelmäßige Kommunikation ist ein gutes Zeichen.
  • Führen Sie eine Zwei-Schritt-Verifizierung ein. Zusätzlich zum Benutzernamen und Passwort wird für eine Anmeldung im WordPress-Backend ein Buchstaben-/Zahlencode notwendig (Abhilfe schafft hier u.a. das Plugin ‚Google Authenticator‘).
  • Dateiberechtigungen richtig setzen: WordPress setzt Dateiberechtigungen von Haus aus richtig (644 für Dateien sowie 755 für Verzeichnisse). Für die Konfigurationsdatei wp-config.php wird eine Berechtigung 400 empfohlen. So kann diese nur noch vom Dateibesitzer gelesen werden.
  • Regelmäßige (und natürlich auch funktionierende) Backups Ihrer Dateien erstellen

Tweet about this on TwitterShare on Google+Pin on PinterestShare on FacebookPrint this page