WordPress Sicherheit betrifft dich, sofern du eine WordPress Seite betreibst. Lerne hier, warum es relevant ist und was du machen kannst. Zuerst erkläre ich dir, ein paar Grundsätze zu Sicherheit im Internet, bevor ich dann noch die WordPress Sicherheit erläutere.
Darknet, Silkroad, Spam, Viren, Bitcoin*. Alles Wörter, welche eng mit Cyberkriminalität verbunden sind. Das World Wide Web gleicht nach wie vor dem Wilden Westen und gerade als Webseitenbetreiber tut man gut daran, grundlegende Sicherheitsrichtlinien zu befolgen, damit die eigene Webseite nicht gehackt wird.
Was passiert wenn die Webseite gehackt wird?
Im besten Fall wird der Text der Seite geändert. Die Szenarien sind jedoch vielfältig:
- Löschen der Seite
- Installation von Malware, welche dem Besucher (unter Umständen jedoch nicht dem Administrator) Werbung anzeigt (wovon der Hacker dann wiederum Geld verdient)
- Verwendung des Servers, um Spam zu verschicken
- Verwendung des Servers, um weitere Attacken auf andere Server durchzuführen
- Stehlen von Benutzerdaten, um anhand dieser wiederum Zugriff auf andere Dienste Zugriff zu erlangen.
Auch wenn also nicht direkt ein finanzieller Schaden entsteht, so gilt es doch dies zu verhindern.
Brauche ich jetzt teure Technologie, um mich zu schützen?
Vergleichen wir mal eine Webseite mit einem Haus. Die Meisten, werden beim Verlassen des Hauses die Fenster und die Türe schliessen; mehr nicht. Heisst das, dass niemand mehr einbrechen kann? Nein. Schauen wir eine Bank an: Alarmanlage, dickes Glas, Sicherheitspersonal. Heisst das, dass Banken nicht überfallen werden? Nein.
Das Gleiche gilt auch im Web. Will jemand Zugriff auf eine Webseite haben, dann wird er ihn auch bekommen. Da brauchen wir uns keine Illusionen zu machen:
- Hack des Weissen Hauses
- Hack von grossen Medienseiten wie NBC und Fox News.
- DDoS Attacken auf Digitec, Interdiscount und Microspot
Die Liste ist unendlich lang. Daher: Will jemand unbedingt etwas, wird er das erreichen. Genau das Gleiche mit deinem Haus. Will jemand rein, dann wird er das auch schaffen.
Gleich wie beim Haus muss eine Risikoanalyse stattfinden: Was habe ich zu verlieren, beeinflusst, wieviel ich in die Sicherheit investieren. Im normalen Einfamilienhaus auf dem Land wird wahrscheinlich eine Türe und Fenster ausreichen. Eine Wohnung in einer Grossstadt dagegen wird zusätzlich noch mit einer Türkette gesichert. Eine Bank hat keine Türkette, sondern Spezialtüren, eine Alarmanlage und einen Tresor.
Glücklicherweise gehören 99% (reine Schätzung) aller Webseiten zur Kategorie \”Einfamilienhaus auf dem Land\”.
Unglücklicherweise lassen viele Webseitenbetreiber Fenster und Türen offen und wundern sich dann, dass jemand eingebrochen ist. Niemand würde sich jedoch wundern, wenn jemand ins Haus steigt, wenn die Haustüre sperrangelweit offen steht.
Um die Frage aus der Überschrift zu beantworten: \”Nein, du brauchst nicht teure Technologie\”, sondern solltest einfach die Basics beachten (sprich Fenster und Türen zuschliessen).
Das ist doch alles Science-Fiction
Leider nicht. Allerdings sind wir Normalos kaum von gezielten Attacken betroffen. Die Gefahr für uns besteht in sog. Bot Attacken, also Attacken, welche von Robotern vollautomatisch durchgeführt werden:
- Automatisch Webseiten nach bekannten Sicherheitslücken absuchen
- Automatisch versuchen ein Passwort zu erraten (sog. bruteforce Attacken)
Diese Angriff lassen sich auch relativ einfach erkennen und abwehren:
- Sicherheitsupdates zeitnah installieren
- Starke Passwörter verwenden
Dann gibt es auch noch ein paar nützliche kostenlose Tools, welche ich im folgenden kurz vorstellen werde.
Brute-Force Angriff erfolgreich abgewehrt
Gerade heute erlebt. Beim Routinemässigen Blick auf die Monitoring Tools stelle ich fest, dass der Server unnatürlich viel Last hat. Die Abbildung zeigt den Lastanstieg zwischen dem 15. und dem 16. Juni. Entweder diese Seite ist urplötzlich sehr berühmt geworden oder aber etwas anderes stimmt nicht.
Ich suche ein bisschen weiter und ziehe das Monitoring von Wordfence zuhilfe: 1 Abfrage immer von der gleichen IP im Sekundentakt. Hier versucht jemand mein Passwort zu erraten. Glücklicherweise haben die Systeme schnell reagiert und alle diese Anfragen sogleich blockiert, wodurch die Gefahr erstmals gebannt ist.
Allerdings hat dieser Roboter aus Kiew nicht aufgehört zu probieren. Dies hat zwar keine Auswirkungen auf die Sicherheit aber auf die Leistung sehr wohl. Die Seite wird dadurch für den normalen interessierten Besucher langsamer, da der Server noch anderweitig beschäftigt ist.
Seit Jahren bin ich treuer Cloudflare Kunde. Einen Blick hat auch hier gezeigt, dass jemand Schabernack betreibt. Cloudflare ist ein sog. Reverse Proxy, sprich ein hochleistungsfähiger Dienst, welcher der Seite vorgelagert ist und einfache Abfragen direkt beantwortet ohne damit den Server zu beschäftigen.
Ein paar Klicks und schon ist der Angreifer blockiert. Zwar versucht er immer noch, allerdings landet die Anfrage jetzt nur noch bei Cloudflare, welcher sie bereits blockiert. Schon ist die Seite wieder zurück im Normalbetrieb.
Damit hätten wir die Allgemeinen Infos durch. Jetzt gehts konkret noch um WordPress Sicherheit.
WordPress Sicherheit – Das ist speziell
WordPress ist das meistverwendete CMS im ganzen Internet. Schätzungen zufolge laufen 30-40% aller Webseiten mit WordPress. Das ist viel! Sehr Viel. Dadurch wird WordPress zu einem sehr beliebten Ziel für Botattacken.
WordPress ist OpenSource. Falls es Sicherheitsprobleme gibt, sind diese öffentlich bekannt und können somit einfach in einen Bot einprogrammiert werden. Sowohl die “Guten” können das Wissen nutzen, um WordPress zu verbessern, als auch die Bösen, um die WordPress Sicherheit zu gefährden.
Du kannst die WordPress Sicherheit mit fünf sehr einfachen Schritten steigern:
- Nenne den erste Benutzer nicht “admin” sondern irgend etwas anderes (auch nicht root).
- Verwende starke Passwörter, welche du nicht auf anderen Plattformen verwendest (mittels Passwort Manager).
- Nicht gleich jedes Plugin, welches du findest und dir gefällt, installierst.
- Mach sicher, dass du regelmässig die WordPress und die Plugins aktualisierst.
- Du einen zuverlässtigen Hoster hast, der sich um die Basic kümmert.
- Bonus Tipp: regelmässig ein Backup machen, damit falls doch mal etwas in die Hosen geht, du eben ein Backup hast.
- Bonus Tipp: Cloudflare als Reverse Proxy verwenden.
Damit ist die WordPress Sicherheit bereits um ein Vielfaches gestiegen.
Möchtest du dich jedoch nicht um die WordPress Sicherheit kümmern? Verstehen wir, schliesslich hast du genügend andere Sorgen. Daher bieten wir speziell für Handwerker und kleine KMUs diesen Dienst an.
*Natürlich ist Bitcoin nicht per se schlecht, es ist aber in diesen Kreisen eine willkommen Zahlungsoption.