Heute steht ein ganz wichtiges Thema auf meiner Agenda und zwar die WordPress Sicherheit. Ich weiß das viele Nutzer da draußen es mit der Sicherheit nicht so genau nehmen, das fängt ja schon mit dem Installieren der WordPress Updates an und hört bei sicheren Passwörter wieder auf.
Für alle die es mit der Sicherheit nicht so genau nehmen habe ich hier mal einen Auszug des WordPress Plugins Limit Login Attempts. Alle Daten sind aus diesem Monat!
Warum ist WordPress Sicherheit so wichtig?
31.Juli.2013:
3 failed login attempts (1 lockout(s)) from IP: 91.224.XXX.XXX
Last user attempted: admin
24.Juli.2013:
3 failed login attempts (1 lockout(s)) from IP: 176.33.XXX.XXX
Last user attempted: admin
15.Juli.2013:
failed login attempts (1 lockout(s)) from IP: 31.185.XXX.XXX
Last user attempted: admin
13.Juli.2013:
3 failed login attempts (1 lockout(s)) from IP: 31.185.XXX.XXX
Last user attempted: administrator
09.Juli.2013:
3 failed login attempts (1 lockout(s)) from IP: 212.253.XXX.XXX
Last user attempted: admin
05.Juli.2013:
3 failed login attempts (1 lockout(s)) from IP: 176.33.XXX.XXX
Last user attempted: admin
02.Juli.2013:
3 failed login attempts (1 lockout(s)) from IP: 184.22.XXX.XXX
Last user attempted: admin
Wie du siehst versuchten sich irgendwelche Bots/Menschen fast den gesamten vergangenen Monat in meine WordPress Installation zu “hacken”.
Über den Sinn und Zweck lässt sich natürlich nur spekulieren, aber wenn man sieht wie aggressiv heute „Drive-by Malware“ verteilt wird oder aber auch Backlinks durch massiven Spam generiert werden, kann so gut wie jeder Blog ein Ziel solcher „Angriffe“ werden, völlig unabhängig von Besucher- und Zugriffszahlen.
Du solltest also die Sicherheit auf keinen Fall auf die leichte Schulter nehmen. Damit kommen wir auch schon direkt zum nächsten Punkt…
Conversion-Plugins: Flytools  | Vorteile:  |
 |
Wie erhöht man die WordPress Sicherheit?
Die Sicherheit lässt sich in WordPress auf ganz verschiedene Art und Weise erhöhen. Ein paar gängige und für dich leicht umsetzbare Möglichkeiten, werde ich im folgenden beschreiben.
Updates
Sorge dafür das deine WordPress Installation immer up to date ist. Natürlich sind nicht alle WordPress Updates Sicherheits-Updates, aber dies liest sich aus den meisten Updates Notes auch nicht wirklich raus. Also einfach in den sauren Apfel beißen und immer auf dem neusten Stand der Technik bleiben.
Plugins
Zum einen gibt es gute Plugins wie das oben genannte Limit Logins Attempts um die Sicherheit in WordPress zu erhöhen, zum anderen hilft auch der gesunde Menschenverstand weiter, nämlich dann wenn es, wie im folgenden Punkt, um Benutzer und Passwörter geht.
Benutzerrechte
Das Passwort für deinen Administrator Account sollte so viele verschiedenen Zeichen wie möglich enthalten, mindestens 20, würde ich empfehlen. Des Weiteren siehst du am oben gezeigten Auszug, dass der Benutzername „Admin“ sehr gefragt ist bei Attacken auf eine WordPress Installation.
Lege also am besten einen Admin Account an der einen sehr kryptischen Namen hat, nicht leicht zu erraten, der Account mit dem du Artikel postest, sollte so wenig Rechte haben wie nötig.
Dateirechte
Für die Sicherheit deines WordPress Blogs gibt es nichts schlimmeres als schlecht gesetzte Dateirechte auf deinem Server. Ohne zu weit auszuholen, Dateirechte werden für Dateien und Ordnerstrukturen festgelegt und regeln die Zugriffsrechte auf diese Objekte. (Wer mehr zu diesem wichtigen Thema lesen möchte, hier der Wikipedia Eintrag).
Kontrolliere Dateien und Ordner, ob wirklich so großzügige Rechte vorhanden sein müssen. 777 zum Beispiel sollte sehr rar und mit viel Vorsicht verteilt werden. In der .htaccess solltest du weiterhin den Zugriff auf wichtige Dateien explizit verbieten dies geht mit folgendem Code:
1 2 3 4 | <Files DateiName.Endung> order allow,deny deny from all </Files> |
Weiteres
Lege regelmäßig Backups von deiner Installation an. Wie dies sehr einfach geht, erfährst du in diesem Artikel. Sollte dir mal etwas unregelmäßig vorkommen, so kannst du deine aktuelle WordPress Installation mit einer alten vergleichen. Die schädlichen Dateien sind nicht immer einfach auf den ersten Blick zu erkennen, hast du allerdings ein Backup, was „sauber“ ist, kannst du sofort neue Dateien die dort nicht hingehören erkennen.
Natürlich kannst du nach einem Angriff mit einem Backup den Status Quo wiederherstellen ohne groß auf Malware-Jagd zu gehen.
Ebenfalls solltest du auch ein Auge auf weitere Passwörter haben die mit deinem Blog in Verbindung stehen. Sichere Passwörter und Programme für die FTP Verbindungen, sichere und einmalige Passwörter bei deinem E-Mail Provider und natürlich auch sichere Passwörter bei deinem Hoster.
Fazit
Wie du siehst ist die WordPress Sicherheit nicht nur ein Problem von viel gelesenen und großen Blogs. Die Sicherheit einer WordPress Installation muss vom ersten Tag an auch bei kleinen und neuen Blogs passen.
Es gibt nichts schlimmeres für die Besucherentwicklung eines neuen Blogs, wenn der Leser beim Besuch deines Blogs ein Warnung auf Malware bekommt, wenn deine Kommentare mit dubiosen Links zugespammt sind oder wenn sogar ganze Spamartikel auftauchen.
Hundert prozentige Sicherheit gibt es im Netz natürlich nie, aber du solltest deinen Blog so gut wie es eben geht gegen Angriffe und Manipulationen absichern. In deinem Interesse und vor allem auch in dem Interesse deiner Leser.
Loading...
