Kostenfreies GesprÀch

30 Minuten zum sicheren WordPress Blog

26. Juni 2017

WordPress ist nach wie vor, gerade bei Neulingen, das Mittel zur Wahl, um schnell eine ansehnliche Website zu erstellen.
Alles schön KlickiBunti, also ohne Fachkenntnisse 😉

Leider bleibt dabei #InfoSec fast immer auf der Strecke und die „Admins“ wundern sich ĂŒber die neuen russischen Sprachpakete und zusĂ€tzliche AdminAccounts.

Das Absichern einer WordPress-Website ist keine Raketenwissenschaft, daher werde ich im folgende anschaulich erklĂ€ren, wie ihr in 30 Minuten Angreifer den Spaß nehmt 😉

#1 Updates

Es vergeht kein Quartal in dem kein Update fĂŒr WordPress veröffentlich wird. Neben Performance und Usability werden auch SicherheitslĂŒcken gepatched. VersĂ€umt man ein wichtiges Update, wie viele Admins im Februar 2017, hat man schnell ungebetene GĂ€ste im Backend.

#2 Theme und PluginWahl (Updates)

Wenn möglich installiert Plugins und Themes nur direkt aus dem WP-Backend, aus den sogenannten Repository. Ähnlich wie im Google, Microsoft oder Apple Store werden diese oberflĂ€chlich geprĂŒft. Sofern Ihr Software aus anderen Quellen installiert, besteht immer die Gefahr zusĂ€tzliche „Features“ zu installieren.
Achtet auch auf den Update Zyklus der gewĂŒnschten Theme oder Plugin. Wenn ein Plugin seit 3 Jahren keine Updates erhĂ€lt, lasst lieber die Finger davon (siehe #1)

HierfĂŒr zunĂ€chst ein Theme identifizieren, welches Euch gefĂ€llt und dieses auf auf WordPress suchen.

Anschließend die Details auf Download-Zahlen und AktualitĂ€t prĂŒfen. Je mehr Nutzer ein Theme nutzen, desto wahrscheinlicher werden SicherheitslĂŒcken detektiert, gemeldet und behoben.

Das gleiche sollte bei Plugins kontrolliert werden.

#3 Security Plugin

Es gibt zahlreiche Security-Plugins fĂŒr WordPress. Ich habe mich fĂŒr „iThemes Security“ entschieden. Alle Operationen, welches diese Plugins durchfĂŒhrt, könnte man auch hĂ€ndisch durchfĂŒhren. Die Zielgruppe dieses Beitrags wird sich jedoch freuen, dass wir jetzt nicht via putty und vi loslegen 😉

Nach der Installation des Plugins werden bereits wichtige Sicherheitseinstellung per Default gesetzt. Hier bitte eine gĂŒltige E-Mail Adresse hinterlegen und den BruteForce-Schutz aktivieren, damit Ihr ĂŒber mögliche Sicherheitsereignisse zeitnah informiert werdet.

ZusÀtzliche Einstellungen die bedenkenlos aktiviert werden können und die Security Eures Blogs erhöhen:

  1. 404-Erkennung
    Erschwert Angreifern das Nutzen von automatisierten Tools.
  2. Abwesenheitsmodus
    Wenn Ihr schlaft (und andere Staaten gerade anfangen), muss Euer Backend nicht erreichbar sein.
  3. Datei-Änderungserkennung!
    Sollte ein Angreifer doch eine Datei erfolgreich auf Eurer Seite verĂ€ndern oder hinzufĂŒgen, erhaltet Ihr hiermit umgehend eine Info-Mail.
  4. Backend verstecken!
    Security-Tools scannen zunĂ€chst auf Default-Einstellungen und suchen z.B. nach „/wp-login.php“, um Euer Login zu finden. Mit dieser Einstellung wird es schwieriger Euren Login zu finden. Bevor Ihr diese Einstellungen aktivieren könnt, mĂŒsst Ihr in Euren WordPress-Einstellungen (rechts unter „Werkzeuge“) unter Permalinks z.B. Beitragsname auswĂ€hlen. Anschließend kann diese Funktion in iThemes aktiviert werden.
  5. weitere OptimierungenSystem-Optimierung:
    1. Nicht-Englische Zeichen
    2. Lange URL-Zeichenfolgen
    3. VerdÀchtige Abfrage-Zeichenfolgen
    4. Verzeichnisse durchsuchen
    5. SystemdateienWordPress-Optimierung

    WordPress-Optimierung:

    1. Kommentar-Spam
    2. XML-RPC (gemĂ€ĂŸ Hinweis in der Regel deaktivieren)
    3. Anmeldefehlermeldungen
    4. Extra Benutzerarchive deaktivieren

#4 Backups

Nach Eurer ersten Einrichtung bzw nach grĂ¶ĂŸeren Änderungen Backups machen. Das Bedeutet WordPress UND Datenbank.
Dieses Backup kann uns in zwei Situation das Leben retten.

  1. Ein Update oder falsche Konfiguration arbeiten zerstören die Website.
  2. Ein Angreifer ist eingedrungen.

#5 Das Passwort

Das sicherste System hilft nicht, wenn die Zugangsdaten schlecht sind (admin:password01?). Entweder nutzt Ihr einen Passwortmanager (Beitrag folgt ) oder Ihr nutzt meine Passwort-Hilfe 😉

#6 https

Investiert die 20 Euro im Jahr fĂŒr ein SSL/TLS-Zertifikat. Dies hat mehrere Vorteile

  1. Werden Eure Zugangsdaten nicht im Klartext ĂŒber das Netzwerk versendet.
  2. Bewertet Google https Seiten besser
  3. Wirkt das bei Kunden professioneller

[…]
An dieser Stelle könnten beliebig viele weitere Maßnahmen und vor allem ServerSite-Security aufgefĂŒhrt werden. Diese sollten aber AbhĂ€ngig von einer Risikoanalyse gewĂ€hlt werden. Mit den erlĂ€uterten Schritten könnt Ihr jedoch Euren Blog vor 90% der automatisierten Angriffen schĂŒtzen bzw. Angreifern das Leben erschweren 😉 Sofern weiterer Schutzbedarf besteht, Ihr viele dynamische Inhalte oder ein anderes bzw. kein CMS nutzt, scheut Euch nicht Kontakt zu mir aufzunehmen!

Viel Spaß beim hĂ€rten!

 

 

Sie sehen gerade einen Platzhalterinhalt von Facebook. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die SchaltflÀche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.

Mehr Informationen
Inhalt entsperren Erforderlichen Service akzeptieren und Inhalte entsperren

Ähnliche BeitrĂ€ge

Wie merkt man sich Passwörter?

Die besten Sicherheitsmaßnahmen sind nutzlos, wenn schwache Zugangsdaten gewĂ€hlt werden. Damit stellen sich zwei wesentliche Fragen, welche ich nachfolgend erlĂ€utern [...]

Weiterlesen

26. Juni 2017

TrĂŒgerisches Sicherheit: Antivirus und Firewall

Wir sind sicher, denn wir haben einen Virenscanner und eine Firewall! Diese Aussage fÀllt hÀufig als erstes und sollte daher [...]

Weiterlesen

11. Juli 2017

Phishing-Mails erkennen

Fast tÀglich werden Nutzer zu Opfern sogenannter Phishing-Mails. Daher möchte ich in diesem kurzen Beitrag aufzeigen, auf welche Details geachtet [...]

Weiterlesen

14. Juli 2017

Mini-Grundschutz fĂŒr Zuhause

Jeden Tag werden Millionen von Menschen Opfer von InternetkriminalitÀt. Diese werden in der Regel nicht von professionellen Hackern gezielt angegriffen, [...]

Weiterlesen

3. Oktober 2017