Seit über 10 Jahren gibt es nun das CMS WordPress, welches ursprünglich als reine Blogging-Plattform gegründet wurde. Mit rund 70 Millionen Benutzern ist es es die am häufigsten genutzte Website-Basis.

Doch mit der Popularität steigt natürlich auch die Attraktivität, unbefugten Zugriff auf die Daten zu erlangen. Da sich die meisten WordPress-Installationen im Basis-Backend kaum unterscheiden, wird dementsprechend auch viel Zeit investiert, um diese Websites zu knacken, weil die meisten Hacking-Methoden global anwendbar sind. Die häufigsten Angriffe sind dabei DDOS-Attacken, um die Website lahmzulegen und Brute-Force-Angriffe, um Zugriff auf das Administratorpasswort zu erlangen.

Um unbefugten Zugriff zu vermeiden, sollte man folgende Tipps beachten:

Fast jeder kennt es: Man stellt sich ein extrem kompliziertes Passwort zusammen, dass allen gängigen Sicherheitsregeln entspricht. Ein Großbuchstabe hier, ein Sonderzeichen da, eine non-generische Zahlenkombination dort usw. Doch dann kommt der Moment, an dem man sich an sein Passwort erinnern muss, z.B. weil man seine Cookies gelöscht hat. Nun heißt es also sich zu erinnern. Und hier treten dann die typischen Probleme auf. War es der Name des Hundes oder der Frau? Wo war gleich wieder das Geburtsjahr und der Großbuchstabe?
Deshalb sollte man sich eine nicht-existente Redewendung o.ä. merken und mit einem Bild verknüpfen. Die Vorteile liegen auf der Hand. Einerseits kann man sich leichter an das Passwort erinnern und darüber hinaus ist es – aufgrund seiner Länge – sogar noch sicherer.

XKCD Password Strength

Quelle: XKCD

Blog-Autoren benutzen oftmals denselben Anmeldenamen für den Admin-Bereich ihrer WordPress-Seite, den sie auch für die Veröffentlichung von Beiträgen benutzen. Somit müssen Angreifer nur noch das dazugehörige Passwort herausfinden, um Zugriff auf die Website zu erlangen. Es ist also sinnvoll, den Admin-Namen bei der Installation abweichend vom Eigennamen zu wählen. Der öffentlich sichtbare Name kann danach im Dashboard unter Benutzer -> Dein Profil -> Öffentlicher Name dennoch auf den eigentlichen Namen geändert werden.
Als verlässliche Helfer gegen unerlaubten Zugriff haben sich Plugins wie Wordfence Security erwiesen. Die Funktionen umfassen dabei u.a.:

  • Firewall-Schutz
  • Brute-Force-Schutz
  • Plugin-Scan nach schädlichen Inhalten
  • Traffic-Monitoring
  • uvm.

Durch die Kombination o.g. Features, wird es Angreifern deutlich erschwert, unerlaubten Zugriff auf das Dashboard zu bekommen. Übrigens: Man sollte darauf verzichten, mehrere Security Plugins parallel zu betreiben, um Komplikationen zu vermeiden und die Homepage-Ladezeit nicht übermäßig zu verlängern. Weniger ist mehr!

Häufig verstecken sich Sicherheitslücken in alten WordPress-Installationen. Deshalb sollten alle WordPress- und Plugindatein immer auf dem aktuellsten Stand gehalten werden, um die Sicherheit der eigenen Website zu erhöhen. Vor jedem Update, sollte man jedoch immer ein Backup seiner Dateien durchführen, um Datenverlust zu vermeiden. Mehr dazu gibt es im folgenden Punkt.
Sollte es im Extremfall doch einmal zu Datenverlust kommen – sei es durch einen erfolgreichen Angriff oder einen eigenen Fehler – empfiehlt es sich immer eine Sicherung der eigenen Daten zu haben. Am wichtigsten sind hierbei die Daten der MySQL-Datenbank. Die Datenbank kann im Administrationsbereich des jeweiligen Hosters über phpMyadmin oder direkt im Dashboard über ein entsprechendes Plugin wie BackWPup heruntergeladen werden.

Darüber hinaus empfiehlt es sich, die Daten auf dem FTP-Server regelmäßig zu sichern. Das gestaltet sich relativ simpel, indem man einfach die Daten vom Server via FTP-Programm anhand drag-and-drop auf die lokale Festplatte kopiert. Alternativ kann man natürlich auch über ein Plugin (s.o) die gesamten Daten regelmäßig gesichert werden. Dabei entsteht jedoch hoher Traffic. Während die Datenbank wenige Megabyte in Anspruch nimmt, können die FTP-Daten sich schnell im niedrigen Gigabyte-Bereich belaufen.
Deshalb sollten automatische Backups nachts durchgeführt werden, um die Website-Ladezeit für etwaige Besucher nicht negativ zu beeinflussen.

Der relative Login-Pfad ist für jede WordPress-Seite gleich. Das ist für etwaige Angriffe ein gefundenes Fressen. Mit Plugins wie WPS Hide Login kann man den Login-Pfad ändern und so eine potenzielle Sicherheitslücke schließen.
Die Dateirechte sind dafür zuständig, inwiefern Nutzer FTP-Daten „manipulieren“ (lesen, schreiben, löschen) können. Das Ändern der Dateirechte sollte nur von erfahrenen Nutzern durchgeführt werden. Eine ausführliche Anleitung gibt es auf Sectio Aurea.