Bei den Marktanteilen der führenden Content-Management-Systeme, liegt WordPress bei über 60% mit großem Abstand an der Spitze der Open-Source-Systeme.
Das führt natürlich zu einem gesteigerten Interesse der Hackerszene an dem beliebten CMS. Dabei muss man sich im Klaren sein, dass Hacker in der Regel keine ungewaschenen, langhaarigen Jugendliche in dunklen Kinderzimmern sind. Das ist ein Klischee über Script-Kiddies und in der Realität eher die Ausnahme. Angriffe auf Blogs und Websites erfolgen heutzutage vollständig automatisiert und professionell.
„Als Script-Kiddie bezeichnet man den typischen Jugendlichen, der ohne große Computer- oder Internetkenntnisse vorgefertigte Programme oder Software nutzt, um in fremde Rechner oder Computersysteme einzudringen oder diese zu manipulieren.„
Quelle:https://www.juraforum.de/lexikon/script-kiddie
Häufig wird in diversen Facebook Gruppen empfohlen einfach Sicherheits-Plugins zu installieren um sich danach in trügerischer Sicherheit zu wiegen. Doch das stimmt nur bedingt. Durch die Automatisierung der Angriffe können nach fehlgeschlagenen Log-In Versuchen IP-Adressen blitzschnell geändert werden. Dadurch werden Plugins wie Limit Login Attempts umgangen und auch IP-Sperren anderer Plugins ausgetrickst.
Generell ist zu sagen, dass Angriffe natürlich nicht verhindert werden können und auch gegen das komplette Übernehmen einer Seite kann man sich nicht zu hundert Prozent absichern. Allerdings werden Hackversuche in der Regel recht schnell abgebrochen, wenn die Hürden zu groß sind.
Es ist also ratsam, es den Angreifern so schwierig wie möglich zu machen, denn dann suchen sie sich lieber einfachere Opfer. Bereits einfache, auch für den Laien zu leistende; Maßnahmen minimieren die Gefahr eines gehackten WordPress.
5 wichtige Punkte für die WordPress Sicherheit
Bereits bei der Beachtung einfacher Basics können Sie ihr WordPress schützen
1. WordPress aktuell halten
Das CMS WordPress wird, wie auch andere CMS, laufend mit neuen Updates versorgt, um entdeckte Sicherheitslücken zu schließen. Dies betrifft auch Plugins und Themes der jeweiligen Entwickler. Sie bringen bei bekannt werden von Schwachstellen neue Versionen heraus, um WordPress sicherer zu machen.
Werden diese Updates versäumt wird eine Website recht schnell angreifbar. Deshalb die
WordPresss Regel Nr. 1 » WordPress regelmäßig updaten
2. Sichere Passwörter verwenden
Ein Haupteinfallstor sind Standard Benutzernamen wie „admin“ oder „administrator“ in Verbindung mit schwachen Passwörtern.
Ein starkes Passwort kann „kürzer und komplex“ oder „lang und weniger komplex“ sein. Doch wie lang und wie komplex sollte es mindestens sein?
Ein Passwort gilt als sicher, wenn es:
- 20 bis 25 Zeichen lang ist und zwei Zeichenarten genutzt werden (beispielsweise eine Folge von Wörtern). Es ist dann lang und weniger komplex.
- 8 bis 12 Zeichen lang ist und vier Zeichenarten genutzt werden. Es ist dann kürzer und komplex.
- 8 Zeichen lang ist, drei Zeichenarten genutzt werden und es zusätzlich durch eine Mehr-Faktor-Authentisierung abgesichert ist (beispielsweise durch einen Fingerabdruck, eine Bestätigung per App oder eine PIN). Dies ist generell empfehlenswert.
Und hier die Empfehlungen des BSI für sichere Passwörter
WordPresss Regel Nr. 2 » Starke Passwörter verwenden
3. Plugins mit Bedacht einsetzen
Kar, Plugins sind nützlich und erweitern den WordPress Einsatzbereich von Blogs, Websites, Shops und Portalen. Trotzdem ist hier Vorsicht geboten, den jedes Plugin bedeutet zusätzlichen Code und bietet damit potenzielle Angriffsflächen. Deshalb sollte man sparsam mit Plugins umgehen. Genutzte Plugins regelmäßig updaten. Und deaktivierte Plugins auf jeden Fall entfernen.
WordPresss Regel Nr. 3 » Ungenutzte WordPress Plugins entfernen
4. Regelmäßig Backups anlegen
Sollte eine Website doch einmal infiziert sprich gekapert sein, ist der Schaden in aller Regel mehr als ärgerlich. Es droht ein Imageschaden und ein Blacklisting von Google. Im schlimmsten Fall fliegt man aus dem Index der Suchmaschine. Richtig groß wird der Schaden aber wenn kein aktuelles Backup vorliegt.
Es ist also wichtig regelmäßig ein Backup der kompletten Website anzulegen. Ein Komplettes Backup besteht immer aus den Dateien des Webservers, die man per FTP sichern kann, und der Datenbank. Für beides gibt es diverse Plugins. Wenn man aber auf der sicheren Seite sein will empfiehlt es sich seinen Webmaster mit diesen Dingen über einen monatlichen Service zu betrauen. En Backup sollte immer extern gespeichert werden.
WordPresss Regel Nr. 4 » Regelmäßige WordPress Backups anlegen
5. Eigenen Computer schützen
Ein nicht unwesentliches Einfallstor für den Webserver sind infizierte lokale Computer. Gerade im Privatbereich herrscht hier ein großes Defizit an Sicherheitsbewusstsein.
Da regelmäßig Bilder und andere Dateien vom Computer auf den Webserver übertragen werden, kann auf diesem Wege auch Schadsoftware auf die Website gelangen und im schlimmsten Fall den ganzen Webserver kapern. Bekannte Folgen sind dann
- Massenhafte Spammails im Namen des Website Betreibers
- Verbreiten von illegalen Inhalten über die Website
- Schürfen von Krypto-Coins mit der Rechenleistung des Webservers
- uvm.
Auch der eigene Rechner, egal ob Windows, macOS oder Linux muss aktuell gehalten und geschützt werden.
WordPresss Regel Nr. 5 » Eigenen Rechner schützen
