WordPress Sicherheit

WordPress-Sicherheit
Auf dieser Webseite sammeln wir Fundstücke zu Fragen nach einer optimalen Website-Absicherung von WordPress-Websites und einer Strategie für den Notfall.

Links zum Thema WordPress-Sicherheit

  • WordPress.org-Tipps: WordPress absichern
    https://codex.wordpress.org/de:WordPress_absichern
        
  • WordPress Security – A Pocket Guide
    Kostenloses Ebook von iThemes zum Download
    https://ithemes.com/publishing/wordpress-security
        
  • WPRecon: WordPress Security Tips
    http://wprecon.com/wordpress-security-tips/
        
  • WPRecon: WordPress Sicherheitstest
    http://wprecon.com
        
  • Kuketz IT-Security Blog
    https://www.kuketz-blog.de
    Kuketz-Artikelserie zur WordPress-Sicherheit:
    Der richtige Hoster – WordPress Sicherheit
    Basisschutz – WordPress absichern Teil 1
    Schutzmaßnahmen – WordPress absichern Teil 2
    Security Plugins – WordPress absichern Teil 3
    .htaccess Schutz – WordPress absichern Teil 4
    Serverseitiger Schutz – WordPress absichern Teil 5
    Spam-Bot Protection – WordPress absichern Teil 6
    Parasitenabwehr von Bots – WordPress absichern Teil 7
    https://www.kuketz-blog.de/der-richtige-hoster-wordpress-sicherheit-teil1
        
  • Yoast: WordPress Security in a few easy steps
    Ausführlicher Blogbeitrag mit diesen Ratschlägen:
    Don’t use admin as a username
    Use a less common password
    Add Two-Factor Authentication
    Employ Least Privileged principles
    Hide wp-config.php and .htaccess
    Use WordPress security keys for authentication
    Disable file editing
    Limit login attempts
    Be selective with XML-RPC
    Hosting & WordPress security
    Stay up-to-date
    (Free) plugins & themes
    https://yoast.com/wordpress-security
        
  • Hardening WordPress
    28 Ways to Secure WordPress Website
    BEGINNER
    Securing Administrator account
    Using Editor account for content work
    Strengthening WordPress passwords
    Limiting login attempts
    Securing your own PC
    Updating WordPress automatically
    Updating plugins regularly
    Taking backups of your blog/site
    Choosing legitimate web host for WordPress
    Downloading plugins/themes from well known sources
    ADVANCED
    Deleting plugins you don’t use (be careful, though)
    Reducing the overall number of plugins (some can be replaced)
    Installing security plugin (some well-known plugins)
    Protecting WordPress from brute force attacks
    Using CloudFlare
    Monitoring for Malware
    Performing a theme check
    Blocking pingbacks and trackbacks
    PRO
    Generating new WordPress security keys
    Changing database prefix
    Using .HTACCESS protection
    Disabling XML-RPC
    Disabling PHP error reporting
    Tracking your WordPress dashboard
    Keep an eye on your Google Console
    Become a regular reader of Sucuri
    Check out unsecure plugins
    Use SSL
    http://www.hostingfacts.com/how-to-secure-wordpress
        
  • In fünf Schritten die WordPress-Security erhöhen
    http://t3n.de/magazin/
    fuenf-schritten-wordpress-security-erhoehen-sicheren-235764

        
  • Test your WordPress Application (WPScan)
    https://hackertarget.com/wordpress-security-scan
        

WP-Login abschirmen mit HTACCESS

Geringer Aufwand mit mächtiger Wirkung
WordPress-betriebene Websites sind bevorzugtes Ziel von Hacker-Angriffen. Um eine WordPress-Installation vor den beliebten Angriffen auf die Login-Seite abzusichern, kann man zum Beispiel die wp-login.php-Datei mit einem Passwordschutz abschirmen und so verstecken.
Dazu schreibt man ein paar Codezeilen in die HTACCESS-Datei (.htaccess) und lädt eine zusätzliche HTPASSWD-Datei (.htpasswd) in das Root-Verzeichnis der Installation.
Die Details dazu beschreibt Mike Kuketz in seinem Blog:

.htaccess Schutz – WordPress absichern Teil 4
https://www.kuketz-blog.de/htaccess-schutz-wordpress-absichern-teil4/

Angriffe auf die wp-login-Datei im noch ungeschützten Blogneubau.
Angriffe auf die wp-login-Datei im noch ungeschützten Blogneubau.

WP-Login abschirmen mit Plugin

WordPress mit Login LockDown zusätzlich absichern
Ein anderer Weg zum gleichen Ziel führt über ein WordPress-Plugin, zum Beispiel
mit dem Plugin »Login LockDown«
https://wordpress.org/plugins/login-lockdown

Vladimir Simovic aka Perun hat anläßlich der Aktualisierung des Plugins ein Erklär-Video gedreht und einen Blogbeitrag geschrieben:
Login LockDown richtig konfigurieren und die Sicherheit von WordPress erhöhen.
http://www.perun.net/2016/09/16/login-lockdown-richtig-konfigurieren-und-die-sicherheit-von-wordpress-erhoehen/

https://youtu.be/W8SMU6qRwl8

Passwort-Sicherheit

Sichere Kennwörter einfach verwalten
Das Computermagazin c’t rät in seiner Ausgabe 18/2014 zu einem Grundpasswort, das man durchaus sicher mit Zettel und Stift verwalten kann. Das ideale Passwort besteht aus einem zufälligen Mix aus Klein- und Großbuchstaben, Ziffern sowie Sonderzeichen und ist mindestens 14 Zeichen lang. Als wären diese Vorgaben nicht schon kompliziert genug, sollte man unbedingt für jeden Dienst ein anderes verwenden.

Solche Kennwörter können Passwort-Manager ganz komfortabel auf Computer oder Smartphone generieren. Als besonders geeignet hat sich hier das kostenlose Tool KeePass erwiesen, das es für Desktop-Computer, Android- und für Apple-Geräte gibt.

Es sei keinesfalls eine schlechte Idee, sich Passwörter auf einem Zettel zu notieren. Verwahrt an einem sicheren Ort wie der Geldbörse ist die einfachste zugleich auch eine der sichersten Möglichkeiten, ein Passwort zu speichern. Schließlich greifen Trojaner nicht ins Portemonnaie und Langfinger interessiert eher das Bargeld.

Um unknackbare Passwörter mit System zu erstellen, denkt sich der Anwender ein Grundpasswort aus. Da er sich ohnehin nur noch dieses eine merken muss, sollte es auch kompliziert sein. Im nächsten Schritt fügt er nur noch ein Kürzel der jeweiligen Domain am Anfang oder am Ende an, etwa Fa für Facebook. So ergeben sich stets individuelle Passwörter.

Wer sich auch ein Grundpasswort nicht merken kann oder will, dem hilft die Passwortkarte, die das Computermagazin c’t in Ausgabe 18/2014 zum Ausdrucken vorstellt. Man trägt einfach in jedes Feld der Tabelle bis zu drei zufällige Zeichen ein, Groß- und Kleinbuchstaben gemischt, gerne auch Sonderzeichen. Aus dem Domainnamen für den jeweiligen Account lassen sich im Anschluss die Kennwörter leicht ablesen.
http://www.heise.de/ct/

Hosteurope-Umfrage zur Sicherheit

Seitenbetreiber schützen eigene Website oft unzureichend
Besonders bei Seiteninhabern, die beliebte Open-Source-Software wie WordPress nutzen, gibt es Nachholbedarf. Die Ergebnisse beruhen auf einer Befragung von 6.000 Kunden von Host Europe in Deutschland im Februar 2017. Je ein Drittel der befragten Website-Betreiber betreut eine persönliche oder eine Business-Website, jeweils circa 10 Prozent sind Agenturen, Shops oder Domain-Inhaber.

Umfrage unter 6.000 Website-Betreibern von Host Europe
Umfrage unter 6.000 Website-Betreibern von Host Europe

53 Prozent der Website-Betreiber ergreifen keine Maßnahmen zur Website-Sicherheit. Ein Großteil – knapp 60 Prozent – hat Open-Source-Software wie WordPress im Einsatz. Gerade die Beliebtheit macht WordPress-Seiten zu einem Ziel für Hacker-Angriffe, die bekannte Schwachstellen ausnutzen. Doch von denjenigen, die Open-Source-Software nutzen, weiß die Hälfte der Befragten nicht, welche Sicherheits-Tool bei ihnen im Einsatz sind. Lediglich 16 Prozent verfügen über Endpoint Security, 32 Prozent nutzen Malware Scanning und 33 Prozent haben eine Web Application Firewall. Diese Zahlen sind angesichts der steigenden Anzahl von Hacking-Angriffen auf die Websites von Personen, Unternehmen und Institutionen alarmierend. Mit den Ergebnissen der Umfrage unter 6.000 deutschen Website-Betreibern möchte Host Europe dafür sensibilisieren, Online-Auftritte besser zu schützen.

Website-Betreiber sind sich der Risiken eines Hacking-Angriffs durchaus bewusst: Der Ausfall der Website und der damit einhergehende Reputationsverlust sind dabei die größten Sorgen. Die befragten Seitenbetreiber schätzen die Kosten eines Hacks auf 979 Euro für den Ausfall zuzüglich 1.505 Euro für die Beseitigung des Reputationsschadens. 74 Prozent geben an, dass sie noch nie Opfer eines Hacks geworden sind. Doch immerhin 15 Prozent können einen Hack-Angriff mit Sicherheit bestätigen, 11 Prozent wissen gar nicht, ob sie jemals von einer Attacke betroffen waren. Dennoch hat eine Mehrheit von 60 Prozent der Website-Betreiber keinen Plan, wie im Fall eines Hacking-Angriffs vorzugehen ist – das gilt für Betreiber von persönlichen, Business- und E-Commerce-Websites gleichermaßen.

Dass ein Großteil der Betreiber die Absicherung der eigenen Website vernachlässigt, könnte seine Ursache darin haben, dass ihnen ihre Eigenverantwortung nicht bewusst ist. 45 Prozent der Befragten sehen ihren Hosting-Provider in der Verantwortung für die Sicherheit ihrer Website, 17 Prozent nennen die externe Webagentur und 18 Prozent sehen sich selbst in der Pflicht. 15 Prozent gehen realistischerweise davon aus, dass alle Parteien für die Sicherheit der Website Sorge tragen müssen.

Der Hosting-Provider federt server- und netzwerkseitige Risiken und damit einen Großteil der Gefährdungen ab. Deswegen sollten sich Website-Betreiber vor der Auswahl des Hosting-Partners informieren, welche Schutzmaßnahmen der Hoster ergreift. „Ein hochsicheres Rechenzentrum, Abwehrlösungen, die ein automatisiertes Monitoring auf verschiedenen Ebenen und Schutz-Algorithmen bieten, die auffällige Muster erkennen und schlechten Traffic blocken, gehören genauso dazu wie ein Einsatz-Team, das bei einer Bedrohung sofort steuernd eingreifen kann“, empfiehlt Dr. Claus Boyens, Geschäftsführer bei Host Europe. „Tritt der Ernstfall ein, ist eine enge Abstimmung zwischen dem Website-Inhaber und dem Hoster erforderlich. Voraussetzung dafür ist, dass kompetenter Support rund um die Uhr erreichbar ist.“

Einsatz von SSL-Zertifikaten und Scannern wie Sitelock
Die Seitenbetreiber sind jedoch grundsätzlich auch selbst in der Verantwortung, ihre Webanwendungen zu schützen, indem sie unter anderem Applikationen und Plug-ins aktuell halten, Backups erstellen und sichere Zugangsdaten verwenden. Dies sind Aufgaben, die kann und teils darf der Hoster sie gar nicht übernehmen. Websites, die Nutzerdaten abfragen, sollten unbedingt ein SSL-Zertifikat verwenden, um die Kommunikation zwischen Besucher und Seite zu verschlüsseln. Google straft mittlerweile Seiten ab, die Nutzerdaten und Zahlungsinformationen abfragen und keine SSL-Verschlüsselung bieten. Ein täglicher Malware Scan über Dienste wie Sitelock erhöhen das Schutzniveau, indem Schadsoftware im Quellcode der Website identifiziert und automatisch entfernt wird.

Über Host Europe
Host Europe stellt die Infrastruktur für den digitalen Wandel. Tech-Experten, professionelle Anwender und digitale Pioniere finden Domains, Webhosting, Server und Software-as-a-Service für ihre digitalen Geschäftsmodelle im Portfolio des Hosting-Anbieters, der zu den führenden Providern Europas gehört. Die leistungsstarken Angebote sind auf die Bedürfnisse von anspruchsvollen Anwendern ausgelegt. Für höchste Qualität sorgen die ausschließliche Verwendung neuester Markenhardware und zuverlässige Beratung rund um die Uhr durch ein hochqualifiziertes Support-Team. Host Europe gewährleistet nachhaltig optimale Sicherstellungen von Verfügbarkeit, Vertraulichkeit, Integrität und Authentizität aller Daten und Systeme – dies bestätigen u. a. die Zertifizierung nach ISO 27001 für das Datacenter Köln sowie die Höchstwertung von 5 Sternen beim DCSA für das datadock Straßburg.
Die Host Europe GmbH ist Teil der HEG, dem größten europäischen Hosting-Anbieter in privatem Besitz mit über 1,7 Millionen Firmenkunden. Mit den Marken 123-reg, DomainFactory, Heart Internet, Host Europe, PlusServer, serverloft und SERVER4YOU verfügt die Gruppe über eine starke Marktpräsenz in Europa, u. a. als größter Domain-Registrar in Großbritannien und führender Managed-Hosting-Anbieter in Deutschland.

Ähnliche Beiträge