+49 6293 3519740 (Mo-Fr, 08-12 Uhr) s.kasper@ginkgo-design.de

6 Tipps für mehr WordPress-Sicherheit

Sicher und stressfrei bloggen?

WordPress ist eines der am meisten verbreiteten Blogsysteme. Und damit macht es sich angreifbar. Wenn Sie Sicherheitsaspekte vernachlässigen, können Sie sogar für entstandene Schäden haftbar gemacht werden. Sollte Ihre Website also gehackt werden und diese dann Schadsoftware (Viren, Trojaner usw.) auf den PCs Ihrer Besucherinnen verteilen, kann es teuer werden.

Es gibt kein perfekt abgesichertes System, aber es gibt einiges, das man für mehr WordPress-Sicherheit und Performance tun kann.

1. Weniger Plugins für mehr WordPress-Sicherheit

Mein Grundsatz: Weniger ist mehr!

Schloss

WordPress bietet als Blogsystem eine Reihe nützlicher Funktionen und bringt Standard-Themes wie Twenty Seventeen mit. Die Funktionen können über Plugins erweitert werden, das Layout kann man über eine Fülle an zusätzlicher Themes anpassen.

Bevor Sie ein Plugin installieren, denken Sie darüber nach, ob die Funktionen wirklich brauchen. Jedes Plugin ist eine Erweiterung der ursprünglichen Software und stammt häufig von fremden Plattformen. Das birgt verschiedene Sicherheitsrisiken.

Einerseits können unseriöse Entwicklerinnen sogenannte Backlinks im Quellcode verstecken. Diese Backlinks, die für das menschliche Auge meistens „unsichtbar“ sind, bedeuten für Google vor allem eines: Ihre Website ist eine billige Linkschleuder, die am besten ganz weit hinten in den Suchergebnissen angezeigt wird.

Andererseits können bei der Entwicklung auch Fehler passieren und so kann das Plugin unbeabsichtigte Sicherheitslücken enthalten, die Hackern die Tür zur Website öffnen.

Installieren Sie deshalb Plugins nur über das WordPress-Verzeichnis oder von seriösen Anbietern. Das gleiche gilt übrigens auch für Themes.

Ein weiterer Aspekt ist, dass sowohl Plugins als auch Themes unter Umständen höhere Ladezeiten mit sich bringen. Merke: Je länger eine Website lädt, umso schlechter für die Besucherinnen – und umso mieser die Suchmaschinenergebnisse. Google mag schnelle und sichere Websites.

Und was ist mit speziellen Sicherheits-Plugins wie Wordfence & Co.? Die braucht es nicht unbedingt. Im Gegenteil, denn auch sie birgen Risiken und können nichts retten, wenn die wirklich wichtigen Sicherheits-Aspekte vernachlässigt werden.

2. Rollenverteilung? Ja, aber richtig!

Bei WordPress hat man die Möglichkeit, bis zu vier verschiedene Rollen für Benutzer zu vergeben. Sie sollten immer mindestens zwei Benutzerprofile für Ihre WordPress-Site erstellen.

Neue Benutzer kann ein Administrator über den Menüpunkt „Benutzer“ neu hinzufügen.

#1 Administrator

Der Administrator hat Zugriff auf alles und die Website sollte sich deshalb auf maximal einen solchen Account beschränken. Dieser Benutzer kann die komplette Website löschen und konfigurieren, neue Benutzer hinzufügen und Plugins oder Themes hochladen. Der Benutzername sollte außergewöhnlich und nicht leicht ersichtlich sein. Also bitte keinesfalls „admin“ oder „administrator“. Mit dem Administrator-Account machen Sie vor allem Updates oder Installationen. Sie erstellen mit ihm keine Beiträge oder Seiten.

#2 Redakteur

Mit dem Redakteur-Account können Sie Beiträge und Seiten erstellen ansehen, bearbeiten, veröffentlichen und löschen, sowie Bilder und andere Medien hochladen. Der Name des Redakteurs erscheint je nach Konfiguration als Autorenname in den Beiträgen. Außerdem kann er Kommentare freischalten (oder auch nicht), Kategorien, Links und Schlagwörter (Tags) verwalten.

#3 Autor

Der Autor kann Beiträge erfassen und diese auch bearbeiten. Er kann seine eigenen Beiträge veröffentlichen, löschen  und Medien hochladen. Allerdings hat er keinen Schreib-Zugriff auf Beiträge anderer Autorinnen.

#4 Mitarbeiter

Auch ein Mitarbeiter kann Beiträge erfassen und eigene Beiträge bearbeiten. Allerdings hat er keine Berechtigung, diese dann auch zu veröffentlichen oder Bilder/Medien hochzuladen. Die Beiträge müssen vor Veröffentlichung durch einen Administrator geprüft und freigegeben werden.

3. Sichere Passwörter

123456 ist kein sicheres Passwort!

See my password on the back sideDenken Sie sich ein gutes und damit sicheres Passwort aus, das Sie ansonsten nirgendwo verwenden.

Das Hasso-Plattner-Institut (HPI) veröffentlicht jedes Jahr die Top Ten der am häufigsten verwendeten deutschen Passwörter. Erneuter Spitzenreiter war 2017 die Ziffernfolge „123456“.  Aber auch „hallo“, „admin“ oder „passwort“ sind noch immer sehr beliebt und sehr gerne gesehen bei den ganz Bequemen ist „hallo123“.

Kommt Ihnen bekannt vor? Dann ist jetzt der Zeitpunkt gekommen, das Passwort zu ändern.

Doch wie findet man ein gutes und sicheres Passwort?

Gut und sicher bedeutet übrigens nicht, dass es ein kryptisches Gemisch aus Buchstaben, Zahlen und Sonderzeichen ist. Viel besser – und einfacher zu merken – sind Sätze, die aus ganz normalen Worten gebildet wurden. Der Künstler Randall Munroe hat unter dem Kürzel xkcd hat dazu einen wunderbaren Comic gezeichnet.

Ich bilde meine Passwörter zum Beispiel aus Buchtiteln ohne Leerzeichen, hänge dann noch ein Sonderzeichen und eine Zahl an und fertig ist mein sehr sicheres Passwort, das nicht so schnell zu knacken ist.

Wer nun glaubt, mit einem Passwort ist es getan, der irrt sich. Jede Plattform, jeder Login sollte ein eigenes Passwort haben. Nur so mindert man das Risiko, denn wird doch mal ein Account gehackt, ist der nächste über ein ganz anderes Passwort weiterhin geschützt.

Das kann sich natürlich irgendwann niemand merken. Deshalb speichere ich alle meine Passwörter in meinem Passwort-Manager KeePass, den es als Open Source für Windows, Linux, Mac, IOS, Android und auch als Plugin für diverse Browser gibt.

4. Abmahnsicher unterwegs

Datenschutz & Datensicherheit

Vereinfacht gesagt: Mit einem SSL-Zertifikat wird Ihre Website verschlüsselt und die Passwörter werden nicht im „Klartext“ versendet und können nicht so leicht von Hackern abgefangen werden. Erkennbar ist dieses Mehr an Sicherheit an dem https und dem kleinen grünen Schloss in der Adresszeile.

Wenn Sie ein Kontaktformular auf Ihrer Website nutzen und personenbezogene Daten (Name, E-Mail-Adressen) versenden, dann ist die Verschlüsselung sogar gesetzlich vorgeschrieben.

Die meisten Webhoster bieten inzwischen die kostenlosen Let’s Encrypt-Zertifikate, die sich mit wenigen Klicks installieren lassen. Ein paar Anpassungen sind danach noch nötig, aber der Aufwand von rund ein bis zwei Stunden (je nach Kenntnissen) lohnt sich. Empfehlenswert sind hier vor allem all-inkl oder Netcup (wo auch meine eigenen Kundenserver gehostet werden). Bei Hosteurope ist die Einrichtung der kostenlosen Zertifikate leider umständlicher. Von einem Hosting bei 1&1 oder Strato halte ich alleine aus Performance-Gründen nicht viel.

5. Sichere Dateirechte

Nutzen Sie auch für das Hochladen von Dateien eine verschlüsselte Verbindung, zum Beispiel über SFTP. Das geht leicht mit einem Programm wie WinSCP. Achten Sie auch auf korrekte Dateirechte.

Ein weiterer Kniff ist der Schutz des Admin-Verzeichnisses wp-admin, der über die oben erwähnte .htaccess und eine zusätzliche .htpasswd vorgenommen werden kann. Ein kleines Online-Tool ist dabei hilfreich.

Erst erstellt man damit die .htpasswd, anschließend dann die .htaccess

Doch Vorsicht: Wenn Sie sich damit nicht auskennen, kann durch falsche Einstellungen in der .htaccess die ganze Webseite nicht mehr erreichbar sein.

6. Updates!

Aktuelle Software ist das A & O

Der wichtigste Tipp kommt zum Schluss:

Halten Sie Ihre Webseite immer aktuell durch regelmäßige Updates und sichern sie zusätzlich durch Backups.

BergsteigerFür den Fall der Fälle: Das Backup!

Verlassen Sie sich nicht auf die Backups, die Ihr Hoster macht. Vertrauen ist gut, Kontrolle ist besser. Ich nutze für die Backups das Plugin BackWPup. Es ist einfach zu handhaben und sichert sowohl die Dateien als auch die Datenbank. Auch das Einspielen der Backups ist relativ einfach. Über Cronjobs kann man die Sicherung automatisieren, zum Beispiel einmal pro Woche.

Ich sichere auch immer zusätzlich, bevor ich ein Update mache oder etwas Größeres an der Website verändere. Die Backupdatei sollte nach Möglichkeit nicht im gleichen Verzeichnis wie die Website selbst liegen, denn wird die Website gehackt, betrifft das in dem Fall dann natürlich auch das Backup. Besser ist es, wenn man die Sicherung per FTP in ein anderes Verzeichnis lädt, aber auch ein Speichern in der Cloud ist mit dem Plugin möglich. In diesem Fall müssen Sie aber auch wieder ein paar Sicherheitsaspekte bedenken.

Und nochmal: Updates!

Warum sind nun die regelmäßigen Updates so wichtig?

Ich hatte es am Anfang schon erwähnt: WordPress ist inzwischen eine der am häufigsten genutzten Software für die Erstellung von Websites. Dieser Bekanntheitsgrad macht es Hackern einfach, denn die Wahrscheinlichkeit, dass da jemand ein Sicherheitsupdate nicht gemacht hat, ist sehr hoch.

Ich kontrolliere mindestens einmal pro Woche alle meine eigenen Websites und die meiner Kundinnen. Wird eine Sicherheitslücke über ein dringendes Update geschlossen, reagiere ich innerhalb weniger Stunden. Gerade bei diesen „Security-Fixes“ sollte man nicht länger als 12 bis 24 Stunden warten, denn die Wahrscheinlichkeit, dass die Site gehackt wird, steigt mit jeder verstreichenden Minute. Dafür gibt es spezialisierte Hack-Bots, die systematisch das Internet nach diesen Schwachstellen abgrasen und es nur eine Frage der Zeit ist, bis sie auf die veraltete Site stoßen.

Sicherheit ist kein Hexenwerk …

… schützt Sie aber vor bösen Überraschungen.

Im Falle einer gehackten Webseite können Sie für entstandene Schäden haftbar gemacht werden und mit Ihrer Reputation sieht es auch nicht mehr so gut aus.

Sie haben also gute Gründe, gleich mit der Absicherung Ihrer Seite loszulegen. Viel Erfolg!
Susanne Kasper

Dieser Artikel erschien gekürzt als Kolumne in der Zeitschrift „Die Federwelt“, Ausgabe 1/2018