• Beitrag zuletzt geändert am:Juli 8, 2022
  • Beitrags-Kategorie:WordPress

Hacker-Spielplatz WordPress? So sicherst du deine Website

Keine Website ist vor Angriffen sicher – das vorneweg. Es gibt aber Möglichkeiten, es den Online-Gaunern und digitalen Wegelagerern so schwer wie möglich zu machen.

 

Hilfe extra für WordPress-Einsteiger

Auch WordPress-Einsteiger können ihre Website mit ein paar einfachen Einstellungen und Vorkehrungen schützen. Und keine Sorge – du musst dich dafür mit keiner Datenbank herumärgern oder komplizierte Codes eintippen.

Ich gebe dir 7 Tipps an die Hand, die alle:

  • nicht viel Zeit kosten
  • keine Programmier-Skills erfordern
  • und sofort umgesetzt werden können

Außerdem wirst du mit meinen Tipps auch besser verstehen, auf welche Art sich Hacker Zugang zu deinem Backend, also zum technischen System deiner Website, verschaffen. Und warum dich gerade die folgenden Vorkehrungen vor Attacken schützen können.

Offtopic: Ist WordPress wirklich so unsicher?

WordPress hat den Ruf, allerlei Gauner anzuziehen, da es das weltweit meistgenutzte CMS (= Content Management System) ist. Immerhin sind knapp 40 Prozent aller Websites (weltweit!) mit WordPress gebaut.* Für Hacker also eine besonders große „Spielwiese“.

Hacker spezialisieren sich auf ein CMS, suchen dort nach Sicherheitslücken und konzentrieren sich dann auf Angriffe auf dieses System.

Es ist zwar richtig, dass WordPress vermehrt Hacker-Angriffe abbekommt. Nicht richtig ist, dass dieses mächtige Tool damit automatisch unsicherer ist als andere Systeme. Denn weil WordPress von so vielen Menschen genutzt wird, ist das Interesse bei den Entwicklern auch besonders groß, das System permanent zu optimieren und damit die Nutzer vor Angriffen zu schützen.

  • Quelle: Statista Research Department, Stand Dezember 2020, Top 10 Content-Management-Systeme (CMS) weltweit nach Nutzung für Webseiten im Dezember 2020, https://de.statista.com/statistik/daten/studie/320685/umfrage/nutzungsanteil-der-content-management-systeme-cms-weltweit/

Zusammengefasst

WordPress hat häufiger mit Attacken zu tun, ist aber nicht automatisch unsicherer als andere Systeme. Entscheidend ist (wie bei jedem anderen CMS auch), ob du die Tür in dein System für Eindringlinge offen stehen lässt, nur anlehnst oder sicher verschließt.

Mache dein Backend sicher vor Angriffen: 7 schnelle und einfache Tipps

1. Verwende keinen Username „admin“

Benutze stattdessen einen anderen Namen, einen Fantasienamen oder hänge an „admin“ noch einen Zusatz an.

Warum?
Weil der Benutzername „admin“ einer der meistverwendeten Benutzernamen überhaupt ist. Hacker haben damit praktisch schon die halbe Miete. Nun brauchen Sie nur noch das Passwort. Da viele Menschen sehr einfallslos bei der Wahl ihres Passworts sind und im schlimmsten Fall einfache Zahlenkombinationen wie „12345“ hernehmen, ist das nicht nur eine offene Haustür für den Eindringling, sondern geradezu eine Einladung zu Kaffee und Kuchen.

Admin ist bereits dein Benutzername? DAS solltest du tun:

Benutzernamen können im Nachhinein nicht mehr verändert werden. Wenn dein Benutzername „admin“ lautet, solltest du für dich einen neuen Benutzer mit Administrator-Rechten anlegen und anschließend den Benutzer „admin“ löschen.

Achtung

Clevere Programme finden auch individuelle Benutzernamen heraus – z.B. über den Quellcode. Die Programme lesen diesen aus und finden im Buchstaben- und Code-Wirrwarr den Username. Der nächste, wichtige Schritt ist daher ein besonders gutes Passwort.

2. Benutze ein hochsicheres Passwort

Klingt logisch, wird aber oft genug vernachlässigt. Verwende in deinem Passwort Groß- und Kleinschreibung, Zahlen und erlaubte Sonderzeichen wie &#$?! usw.

Warum?
Hacker kennen die beliebtesten Passwörter wie 00000, 12345 oder passwort (kein Scherz –wird wirklich verwendet).

Du glaubst mir nicht? Dann schau selbst:

  • Quelle: Hasso Plattner Institut, Stand Dezember 2020, Die beliebtesten deutschen Passwörter 2020 – Platz 6 diesmal: ichliebedich, https://hpi.de/pressemitteilungen/2020/die-beliebtesten-deutschen-passwoerter-2020-platz-6-diesmal-ichliebedich.html 

Du darfst dir dabei aber nicht vorstellen, dass ein Hacker zu Hause an seinem PC sitzt und ein Passwort nach dem anderen ausprobiert. Hacker sind IT-Spezialisten, die ein eigenes Computerprogramm geschrieben haben und dieses über die Login-Bereiche von WordPress-Websites jagen.

Das Programm probiert im Sekundentakt Passwort für Passwort aus. Du kannst dir vorstellen, wie viele Login-Versuche mit der Zeit zusammenkommen. Wenn du jetzt (wie im ersten Tipp angesprochen) neben dem klassischen Benutzernamen „admin“ noch ein schwaches Passwort verwendest, kann sich schnell jemand Unbefugtes Zugang zu deinem Backend verschaffen.

3. Installiere nicht jedes x-beliebige Plugin

Überprüfe die Plugins, die du nutzen möchtest, ganz genau, bevor du sie installierst. Du kannst beispielsweise darauf achten, wann das letzte Update veröffentlicht wurde, wie viele Nutzer es verwenden und wie die Bewertungen ausfallen.

Warum?
Ich weiß: Plugins machen die Welt schöner, deine Website bunter und so vieles einfacher, wenn man über keine Programmierkenntnisse verfügt. Aber jedes Plugin birgt ein Sicherheitsrisiko, da es sich dabei um Fremdsoftware handelt, die du in dein System integrierst. Du kannst nie wissen, wie viel Wert der Entwickler auf die Sicherheit gelegt hat. Gibt es gravierende Sicherheitslücken, die vom Entwickler durch Updates nicht geschlossen werden, ist ein Plugin ein beliebter Schleichweg für Hacker in dein System.

4. Aktualisiere Theme und Plugins

Und zwar am besten alle ein bis zwei Wochen – wenn du dich nicht sowieso öfter in deinem Backend anmeldest. Die Aktualisierung dauert nicht lange und ist oft nach ein paar Minuten abgeschlossen. Mindestens einmal im Monat solltest du dich dafür aber auf jeden Fall einloggen und Updates ausführen lassen.

Warum?
Wenn es ein Update für ein Plugin oder Theme gibt, dann meist, weil die Entwickler damit einen Fehler korrigieren. Aktualisierungen sind also zum einen nötig, damit dein Plugin technisch einwandfrei funktioniert, zum anderen, um Sicherheitslücken zu schließen. Denn wie in Tipp 3 angesprochen, sind Plugins und Themes Fremdsoftware und können nie zu 100 Prozent sicher vor Angriffen sein. Hacker finden immer wieder Schlupflöcher, um durch eine Schwachstelle im Code unbefugt in dein System einzudringen.

5. Nicht genutzte Plugins deinstallieren

Plugins, die du nicht verwendest, solltest du nicht nur deaktivieren, sondern deinstallieren (= aus deinem System entfernen).

Warum?
Auch wenn du ein Plugin deaktiviert hast, ist es trotzdem noch im System integriert. Das heißt, Hacker können selbst bei einem deaktivierten Plugin über ein Schlupfloch in dein System eindringen und dort gehörig Schaden anrichten.

Nicht genutzte Plugins zu deinstallieren hat übrigens noch einen weiteren Vorteil – du gibst damit Speicherplatz frei und entlastet dein System. Bei „schweren“ Plugins kann sich das sogar positiv auf die Ladegeschwindigkeit deiner Website auswirken.

Du brauchst ein Plugin nur alle paar Wochen?

Es gibt nützliche Plugins, die du jedoch nur alle paar Wochen oder gar Monate brauchst. In solchen Fällen ist es sinnvoll, das Plugin jedes Mal neu zu installieren – und sobald du fertig bist und das Plugin nicht mehr benötigst, es wieder zu deinstallieren. Der Aufwand dafür ist minimal.

6. Benutze ein Plugin, das Login-Versuche begrenzt

Solche Plugins sperren nach mehreren fehlgeschlagenen Login-Versuchen die jeweilige IP-Adresse, von der aus der Login-Versuch gestartet wurde, aus. Von dort kann also vorerst kein Login-Versuch mehr erfolgen. Ein Plugin, von dem ich bisher überzeugt bin, ist Limit Login Attempts Reloaded.

Warum?
Ohne ein solches Plugin versuchen Bots pausenlos , sich einzuloggen. Haben diese Bots zudem einen korrekten Benutzernamen herausgefunden (was über den Quellcode in der Regel kein Problem ist), führen sie ununterbrochen Login-Versuche durch. Stelle ein solches Plugin am besten streng ein, sodass Bots nur sehr wenige Versuche haben, bis die zugehörige IP gesperrt wird.

Nebenbei: Über ein solches Plugin siehst du auch, wie oft dein Login-Bereich attackiert wird. Wird eine IP ausgesperrt, bekommst du eine Info per E-Mail zugeschickt. Du bist also immer up to date und kannst, falls deine Website ins Visier eines Hackers geraten ist, weitere, noch höhere Sicherheitsvorkehrungen treffen.

7. Optional: Richte eine 2-Faktor-Authentifizierung (2FA) ein

Bei der 2FA bekommst du bei jedem Login ein zusätzliches, temporäres Passwort (OTP – one time password) per SMS oder E-Mail zugeschickt, das nur für dieses eine Mal gültig ist. 2FA ähnelt dem tan-Verfahren und schließt aus, dass sich Menschen oder Bots unberechtigt einloggen können, selbst wenn sie Benutzername und Passwort kennen.

Es gibt dafür extra Plugins – gebe dafür in der Plugin-Suche einfach „2 Factor“, „Two factor“ oder ähnliches ein und suche dir ein Plugin aus. Im Prinzip funktionieren alle auf die gleiche Weise.

Warum optional?
Obwohl die Idee dahinter gut ist, bin ich kein Fan solcher Plugins. Du bist nach der Installation von Fremdsoftware abhängig. Wenn hier etwas schief geht, kannst du schnell aus deinem eigenen Backend ausgesperrt werden. In dem Fall musst du in deiner Datenbank bestimmte Einträge löschen, um überhaupt wieder Zugang zu bekommen. Für den Profi kein Problem, für den Laien oder Einsteiger aber schon einmal Grund für eine mittelschwere Panikattacke.

Was soll denn schon schief gehen?

Zum Beispiel das: Ein Plugin, das ich getestet habe (WP 2FA – Two-factor Authentication for WordPress), hat sich teilweise sehr lange Zeit beim Zusenden des Einmal-Passworts gelassen. Ich bin von einem Zustellungsfehler ausgegangen und habe ein neues Passwort angefordert. Das System ist aber nicht mitgekommen, hat das eingegebene Passwort nicht angenommen und den Login verweigert. Nach zwei "Fehlversuchen" hat mein Sicherheitsplugin (Limit Login Attempts Reloaded aus Tipp 6) gegriffen und meine IP gesperrt. Na toll.

Natürlich gibt es noch weitere Möglichkeiten…

…zum Beispiel, indem man den Login-Bereich versteckt, sodass Bots ihn über den klassischen Pfad https://deinedomain.de/wp-admin gar nicht erst finden können. Das ist jedoch ein Thema, das für den WordPress-Einsteiger zu viel des Guten ist. Hier müssen Einträge in der Datenbank verändert werden, die über das bloße Umbenennen von Dateien hinausgehen. 

Zusammengefasst solltest du:

  • keinen Benutzernamen „admin“ verwenden
  • ein besonders sicheres Passwort benutzen
  • aufpassen, welches Plugin du installierst
  • Plugins und Theme immer aktuell halten und Updates durchführen
  • nicht genutzte Plugins nicht nur deaktivieren, sondern auch deinstallieren (=löschen)
  • ein Plugin verwenden, das Login-Versuche begrenzt
  • und optional eine 2-Faktor-Authentifizierung einrichten

Für den Anfänger reichen die oben genannten Vorkehrungen aus, um eine WordPress-Website deutlich sicherer zu machen und Hackern gar nicht erst die Möglichkeit zu geben, durch die offene Tür herein zu marschieren.