WordPress – Sicherheit vom Host bis zum Login

Mit über 76 Millionen WordPress-Websites und mehr als 52 Millionen neuer Posts jeden Monat ist WordPress eines der meistgenutzten und erfolgreichsten Content Management Systeme – und daher auch ein beliebtes Ziel für Hacker. Von der Auswahl des Web Hosts über die Installation von Themes und Plug-Ins bis hin zur Einrichtung der Nutzerdaten und Datenbänke sollte sich jeder Website-Besitzer von Beginn an mit den möglichen Sicherheitstücken vertraut machen, um bösen Angriffen vorzubeugen.

Sicherheit beginnt beim Server Host
Die WordPress eigenen White Security Statistiken des Jahres 2013 zeigen, dass 41% der gehackten Websites auf Sicherheitslücken der Hosting Plattform zurückzuführen sind. Hacker nutzen URL Parameter, um eine SQL Injection durchzuführen, und so Zugriff auf wesentliche Daten und Passwörter zu erhalten. Aus diesem Grund ist bereits bei der Wahl nach einem passenden Host Vorsicht geboten. Der Server sollte Privatsphäre, Verfügbarkeit und Integrität der Ressourcen schützen, einen guten Support mit Sicherheitsberatung gewährleisten und stets die allerneuesten stabilen Versionen aller Server-Softwares zur Verfügung stellen. Des Weiteren sollte bei der Wahl des Hosts darauf geachtet werden, dass dieser zuverlässige Methoden für Backup und Recovery anbietet und außerdem dem Kunden eine gute Firewall, vertrauenswürdiges Malware Scanning und ein DDoS Schutz vorliegen.

Regelmäßige Updates schließen Sicherheitslücken
Ständig finden Hacker einen neuen Weg, in die Websites vorzudringen. Daher stellt WordPress regelmäßig Updates zur Verfügung, die seit der Version 3.7 automatisch installiert werden. Das Dashboard informiert kontinuierlich über die neuesten Updates. Alternativ gibt es auch WordPress Hosting Pakete, welche einem viel Organisation abnehmen. Sie kümmern sich um Backups und die Installation, bieten oft eigene Themenauswahlen an und kümmern sich um den Virenschutz.

Die größte Angriffsfläche: Themes und Plug-Ins
Laut der White Security Statistik handelt es sich bei 29% der Angriffe um Theme-Hacks. 22% werden Sicherheitslücken in den WordPress Plug-Ins zugeschrieben. Diese gemeinsam 51% machen den größten Teil der Sicherheitsprobleme von WordPress aus. Hacker verschaffen sich über Einfügen eines Eval Base64 Decoders Zugang und hinterlassen nicht selten eine Hintertür, die es ihnen ermöglicht, auch nach Updates und Neuinstallationen Zugriff auf die Website zu behalten.

Auch in diesem Fall sind regelmäßige Updates das A und O der Sicherheitsgewährleistung. WordPress empfiehlt zudem, ungenutzte Plug-Ins aus dem System zu löschen, um die Angriffsfläche zu minimieren. Insbesondere freie Plug-Ins und Themes können gefährlich werden – es sollte daher vor der Installation auf die Bewertung, die Zahl der Downloads und die Rezensionen geachtet werden.

Stärkere Login-Daten für besseren Schutz
Die restlichen 8% der Hack-Angriffe gehen auf Brute Force Attacken zurück. Schwache Passwörter und der Standard-Nutzername „admin“ sind einfache Beute für die Hacker. Diese nutzen automatisierte Scripts, die solange Zeichenkombinationen ausprobieren, bis das Passwort durch Zufall herausgefunden wird. Dem kann mit starken, komplexen Passwörtern (nach Möglichkeit computergeneriert) vorgebeugt werden. WordPress bittet darum, keine Relationen zum eigenen Namen, Benutzernamen, Firmennamen oder Website-Namen im Passwort einzuarbeiten, ebenso sollte das Passwort ausreichend lang sein und verschiedene Zeichenarten enthalten.

Zu Beginn der Etablierung von WordPress war „admin“ als Standard-Benutzername festgelegt – mittlerweile wird empfohlen, auch diesen zu ändern, da somit Hacker sowohl den Nutzernamen als auch das Passwort herausfinden müssen.


Mit freundlicher Unterstützung von mittwald.de.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert