5 Tipps wie man den eigenen WordPress-Blog sicher machen kann

imageMit seinem WordPress-Blog ist man öffentlich im Netz. Das ist Sinn und Zweck eines WordPress-Blogs. Doch ist man sicher? Nein! Es gibt die verschiedensten Möglichkeiten für jemanden in einen WordPress-Blog einzudringen und diesen zu Missbrauchen.

In diesem Artikel zeige ich 5 einfache Tipp, wie man seinen WordPress-Blog sicher machen kann. Dazu bedarf es oft nur eines kleinen Plug-Ins für WordPress oder manchmal auch nur die automatische Aktualisierung der Software. Trotzdem muss man immer wieder daran denken und das regelmäßig.

Am besten Ihr geht gleich die 5 Tipps durch und schaut ob Euer WordPress-Blog sicher ist.

Das beliebteste CMS-System im Internet heißt WordPress. Das hat große Vorteile wenn man dieses System einsetzt.

Es gibt viele Menschen die sich mit dem Blog-System auseinander setzen und damit auch viele zusätzlichen Sachen für WordPress programmieren. Neue Designs, sogenannte Themes, oder kleine Helferlein, die Plug-Ins. All das findet man in dem WordPress-System. Das birgt aber auch Gefahren. Wölfe im Schafspelz wurden schon immer von den “beliebtesten” Dingen angezogen. Das bedingt die Tatsache, dass es hier am leichtesten ist auch entsprechende Opfer zu finden. Damit nicht auch Du Opfer dieser Wölfe wirst, habe ich hier 5 Tipps zusammen gestellt.

Tipp 1: Vorsicht bei neuen Themes

Wer einen Nischenblog oder einer neue Nischenseite mit WordPress erstellt, kommt zwangsläufig als aller erstes auf den Gedanken, dass Design anzupassen. Es ist ja auch logisch. Schließlich ist das Design eines Blogs auch das erste was man sieht.

Da es extrem viele kostenlose Themes im Internet zu Laden gibt, kann man sich hier auch schon einmal verlaufen. Aber selbst wenn Ihr Euch nicht entscheiden könnt, solltet Ihr immer ein Blick auf den Anbieter werfen.

Die Themes sind der größte Bereich der sich in Eure Datenbank im Blog einklingt. Hier wird über die PHP-Programmierung des Themes direkt auf Eure Datenbank, Eure Kommentare, Eure Artikel und Seiten zugriff genommen. Das soll auch so sein, sonst könnte die Theme-Programmierung ja nicht das Design anzeigen und auch nicht zu entsprechenden Archiv-Seiten oder Artikelseiten für den Benutzer generieren.

Das zieht aber nun auch wieder Menschen an, die ein solches Theme dazu nutzen um zum Beispiel Spamlinks einzubauen oder auch Tracking-Codes zu verwenden. Ein originales Theme ist ziemlich leicht kopiert. Wer sich dann auch noch ein wenig mit Programmierung auskennt, kann sehr schnell sein eigenes Theme erstellen und seinen Schadcode integrieren.

Ich persönlich verwende zum Beispiel nur gekaufte Themes. Dadurch habe ich die Sicherheit, dass ich bei meinem Anbieter weiß mit wem ich es zu tun habe und auch das er dafür haftet, sollte man solche Schadcodes finden.


Hinweis: Achtet darauf bei wem Ihr Euch ein neues Theme besorgt und fragt Euch immer: Vertraue ich dem Anbieter? Prüft auch die Kommentare der Benutzer. Meistens werden die Themes bewertet.


Tipp 2: Standard-Benutzernamen und Passwörter

So alt dieser Tipp sein mag, so oft muss man diesen Wiederholen. Ich sehe immer wieder bei den verschiedensten Bloggern, dass der Standard-Benutzername unter dem ein neuer Beitrag erscheint admin lautet.

Liebe Blogger, dieser Name ist die Voreinstellung für jeden WordPress-Blog. Wenn nun jemand versucht in Euren Blog einzudringen, dann hat er mit dieser Information den Benutzernamen schon erraten. Er kann sich also komplett auf das Passwort stürzen und versuchen dieses zu erraten oder mittels Scripten es ausprobieren lassen.

imageDaher hier mein erster Rat: Ändert bitte den Standardbenutzer und gebt den anzuzeigenden Autornamen so an, dass dieser nichts mit dem Benutzernamen zu tun hat.

So kann man in dem Bereich Benutzer einen neuen Benutzer mit administrativen  Rechten anlegen. Dieser bekommt einen Benutzernamen und einen davon abweichenden Namen der in den Artikeln angezeigt werden kann. So steht dann in meinen Artikel Erstellt von: Stefan. Seid sicher das mein Benutzername davon aber gänzlich abweicht.

Und dann gibt es noch das Problem mit den Passwörtern. “liebe” ist kein Passwort und wenn Tina das Passwort “Tina123”, dann ist das auch kein sicheres Passwort.

Ein sicheres Passwort ist mind. 8 Zeichen lang und enthält sowohl Groß- als wie auch Kleinbuchstaben. Weiterhin kommt mind. 1 Zahl und 1 Sonderzeichen darin vor.

Wer hier also ein wenig darauf achtet, dass er einen ordentlichen Benutzer anlegt und das Passwort entsprechend strukturiert ist schon einmal eine ganze Ecke sicherer.

Tipp 3: Brute-Force-Angriffe verhindern

Sogenannte Brut-Force-Angriffe habe ich oben schon einmal angesprochen. Ihr habt es vielleicht gelesen. Brute-Force-Angriff sind nicht weiter als die Möglichkeit mit einem Hammer solange auf einen Stein zu hauen, bis dieser kaputt geht. Nicht anderes geschieht in einem Blog, wenn ein Angreifer probiert mit Raten das Passwort und den Benutzernamen herauszubekommen.

Ich kann sehr schnell ein ganz simples Programm entwickeln, welches mit alle Buchstaben, alle Zahlen und alle Sonderzeichen in das Passwortfeld einträgt und immer wieder auf den Knopf anmelden drückt.

Hierbei probiert mein Skript einfach stupide alle Möglichkeiten durch und versucht damit in den Blog zu kommen. Diese Angriffe merkt man häufig nur dann, wenn man zum Zeitpunkt des Angreifens gerade im Backend oder auf seiner Seite unterwegs ist. Diese wird dann nämlich langsam.

Aber was kann man dagegen tun? Ihr habt doch sicherlich alle schon einmal das Passwort in Eurem Rechner 3mal falsch eingegeben oder? Was passierte danach? Es gab eine Pause von ein paar Sekunden, bevor Ihr weiter machen konntet. Nun stellt Euch vor ein kleines Programm möchte ein Passwort knacken mit 6 Zeichen, welches nur aus Kleinbuchstaben besteht. Das heißt jedes Zeichen kann 26mal vorkommen.

Die Kombinatorik davon ist 26^6 = 26 * 26 * 26 * 26 * 26 * 26 Kombinationen = 308.915.776 Möglichkeiten für das Passwort. Wir vereinfachen hier jetzt natürlich sehr. Für einen Menschen ist das ein doch recht hohe Zahl, aber für einen Algorithmus ist das gar nichts.

Nun nehmen wir an, der Algorithmus braucht für jede Kombination 1 ms. D.h. damit er alles durchtestet braucht er 308.915.776 ms oder 308.915 Sekunden oder 5148 Minuten oder 85 Stunden. Das heißt mein Computer müsste 85 Stunden laufen um alle Möglichkeiten von aaaaaa bis zzzzzz durchzutesten.

imageKlingt das lange für Euch? Ich finde nicht. Ich lasse meinen Computer einfach laufen und er macht das schon. nach 2-3 Tagen hat er Euer Passwort erraten. Ihr seht also, so ein Brute-Force-Angriff ist kein Hexenwerk. Das ist hier natürlich nur alles Beispielhaft gerechnet.

Aber was dagegen tun? Es gibt ein Plug-In mit dem Namen Limit Login Attempts. Dieses kleine WordPress-Plug kümmert sich genau um diese Problematik.

Rechts seht Ihr meine Einstellungen zu diesem kleinen Plug-In. Hat der Besucher 4 Anmeldeversuche versemmelt, dann sperrt das Plug-In die Anmeldung für 5 Minuten.

Nach vier Sperrungen sind es schon 24 Stunden. Nimmt man dieses nun als Grundlage der Rechnung, dann bedarf es nicht viel Logik.

Die ersten 4 Versuche unseres virtuellen Angriffs sind ja schnell um und dauern nur 4 Millisekunden. Danach folgt die erste Sperrung.

Versuch 1…4 = 4 ms = Gesamt 4 ms
Sperrung 1 = 5 Minuten  = 5 min 0,004 sec
Versuch 5…9 = 4 ms = gesamt 5 min 0,008 sec
Sperrung 2 = 5 min = 10 min 0,008 sec
Versuch 10…14 = 4 ms = gesamt 10 min 0,012 sec
Sperrung 3 = 5 min = 15 min 0,012 sec
Versuch 15…19 = 4 ms = gesamt 10 min 0,016 sec
Sperrung 4 = 24 Stunden = 24 Stunden 15 min 0,016 sec

Ihr seht, dass allein die ersten 4 Sperrung gerade mal 19 Kombinatoriken ausprobiert haben und ich habe jetzt schon 24 Stunden gebraucht um den nächsten Versuch zu starten. Rechnet das mal hoch, dann braucht der Angreifer mehr als ein Leben um diesen WP-Blog zu knacken.

Also, Plug-In installieren und zurück lehnen.

Tipp 4: WordPress mit Grippe

Oben in dem aller ersten Tipp habe ich es ja schon erwähnt. In freien Themes mit dubioser Herkunft kann ein entsprechender Schadecode enthalten sein. Schadecodes können aber alles mögliche sein. Hierbei kann es sich auch um einen Virus handeln, also ein kleiner Schadecode der z.B. auf den Rechner des Besuchers geladen wird.

Wie sowas passieren kann? Ganz einfach. Alle die diesen Beitrag lesen, werden mir sicherlich zustimmen, dass ich ein Lieber netter Mensch bin oder? Ich möchte niemanden etwas böses mit meinem Blog und bringe immer die tollsten Beiträge an den Mann ;-). Daher vertraut Ihr mir ja auch alle. Sollte nun aber der Browser ein Pop-Up-Fenster bringen, bei dem plötzlich ein Makro ausgeführt werden soll oder andere aktiven Steuerelemente nach Bestätigung verlangen, dann wird sicherlich der ein oder andere sagen “Mensch das ist doch die Seite von Stefan, da passiert doch nichts”. Und Schwups habt Ihr Euch einen Virus gefangen, für den Ihr und ich auch nichts können.

Wie das sein kann? Wie schon einmal erwähnt WordPress ist weltweit der führende Anbieter in dem Bereich der CMS-Systeme. Wer hier führend ist, wird auch kontrolliert und auch leider Missbraucht. Ist das gleiche Problem wie bei Microsoft und Appel. Lange Zeit war Apple Virenfrei. Das lag auch daran, dass es sich nicht lohnte die paar Apple-Benutzer mit einem Virus zu belegen. Die Masse war ja mit Computern und dem Betriebssystem Microsoft unterwegs. Da lohnte es sich viel mehr. So ist das bei WordPress auch.

image

Daher gibt es mittlerweile auch AntiViren-PlugIns von WordPress.

Dieses Plug-In scannt den gesamten Blog nicht nur auf Virensoftware, sondern auch auf Spam- und Maleware.

Damit erhaltet Ihr also einen internen Schutz. Natürlich solltet Ihr Euch fragen, wie der Virus wohl in den Blog gelangte. Vielleicht habt Ihr den Tipp 1 vergessen und ein Theme installiert, welches irgendwo frei im Netz rumlag. Hier müsst Ihr auf die Sicherheit achten, da Ihr ja nicht nur für Euch selbst mit Eurem Blog oder Eurer Seite verantwortlich seid, sondern auch für die Besucher eine gewisse Verantwortung tragt. Sollen diese sich eventuell einen schädlichen Virus fangen? Ich glaube nicht oder?

Tipp 5: WordPress aktuell halten

Der letzte Tipp ist recht einfach. WordPress sollte immer aktuell gehalten werden. Hinter der Entwicklung von WordPress stehen ja Menschen und Menschen machen halt nun mal Fehler. Vor allem bei so großen und komplizierten Systemen wie WordPress.

Nun ist aber der große Vorteil der Menschen, dass diese aus Ihren Fehlern lernen und diese verbessern können. Dazu muss aber der Benutzer auch die neue verbesserte Version einspielen.

Das gleiche gilt für Themes und Plug-Ins. Haltet einfach Euren Blog oder Eure Seite aktuell. Man sollte nicht 6 Monate warten bis man die neue WP-Version einlädt. Je länger bekannt ist, dass WP eine bestimmte Sicherheitslücke in einer seiner Versionen hat, desto wahrscheinlicher ist es das es ein Programm geben wird, welches die Lücke ausnutzt.

Schließt Ihr die Lücke aber durch einen Update auf eine neue WP-Version, dann habt Ihr keine sorgen mehr. Schaut also immer wieder in Euer Backend und sehr ob Ihr nicht die Installation Updaten solltet.

Fazit

Dieser Artikel basiert komplett auf meinen eigenen Erfahrungen. Ich bin mir sicher mit einer kurzen Recherche im Netz findet Ihr noch viel mehr Sicherheitstipps Rund um WordPress. Es sind die Basics die hier angesprochen wurden und dienen als Grundlage. Ich verwende diese Basics bei jeder meiner Seiten sofort nach dem anlegen dieser.

Habt Ihr noch einen Tipp oder kennt ein Plug-In, welches unbedingt in den Blog gehört um diesen sicher zu machen? Dann lasst es mich wissen.


Ähnliche Beiträge:

GD Star Rating
loading...
5 Tipps wie man den eigenen WordPress-Blog sicher machen kann, 5.0 out of 5 based on 2 ratings

Hinterlasse eine Antwort

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

CommentLuv badge