Auch wenn die Sicherheit für WordPress heute im Kern nur noch Detailsache ist, gerade vor einigen Jahren war die Sicherheit von Content-Management-Systemen ein heikles und schwieriges Thema, da die Auswahl von wirklich guten PlugIns stark begrenzt war, sehr viele Lücken im Quellcode der Systeme lag und fehlerhafte PlugIns die Situation oft nur noch verschlimmerten.

In der aktuellen Version ist WordPress bereits sehr sicher, der größte Sicherheitsfaktor ist jedoch nach wie vor der Mensch. So machen es fehlerhafte Erweiterungen, Brute-Force-Angriffe und eine miese Passwortwahl der Administratoren potentiellen Angreifern leicht, ins BackEnd der Installation zu gelangen und großen Schaden anzurichten, was besonders bei einer wirtschaftlichen Ausrichtung der Website fatal wäre. Im heutigen Artikel möchte ich deshalb einige PlugIns und Tipps vorstellen, wie du deine WordPress-Installation sicherer machen und effizienter gegen Angreifer schützen kannst.

Analyse: Wie sicher bin ich?

Zunächst ist es wichtig, sich ein Bild von der aktuellen Sicherheitssituation auf deiner Website zu machen, was du über ein PlugIn und mehrere Punkte einer Checkliste erledigen kannst. Zunächst solltest du dich fragen, ob du deine Zugangsdaten (Nutzername und Passwort) so gewählt hast, dass Brute-Force-Angriffe fehlschlagen.

Brute-Force-Attacken sind Angriffe, die von automatisierten Programmen ausgeführt werden, wobei die Software durch alle möglichen Zeichenkombinationen herauszufinden versucht, welches das vom Nutzer gewählte Passwort ist. Moderne Programme mit effektiver Hardware-Unterstützung können so in Sekunden mehrere hundert Kombinationen austesten, was es so wichtig macht, möglichst viele unterschiedliche Zeichen und ein langes Passwort zu verwenden. Im Idealfall sollten deine WP-Zugangsdaten wie folgt definiert sein:

  • Passwort: Möglichst lang (mindestens 8 Zeichen, im Idealfall 12) mit möglichst vielen unterschiedlichen Zeichen (Ziffern, Buchstaben, Groß- und Kleinschreibung) / gutes Beispiel: aBd64.Bc_xTu39

Wenn du gute Zugangsdaten wählst, sind erfolgreiche Brute-Force-Angriffe sehr unwahrscheinlich und du kannst dich um andere Sicherheitslücken in deiner WordPress-Installation kümmern. Häufig sind PlugIns oder Themes veraltet und lassen somit Lücken zu, die von Angreifern ausgenutzt werden können. Aus diesem Grund solltest du sowohl deine CMS-Version, als auch Erweiterungen und Themes stets auf dem neuesten Stand halten, um hier keine Sicherheitslücken zuzulassen.

AllInOne-PlugIn für Analyse und Sicherheit

Das PlugIn Security Ninja für WordPress ermöglicht es, die Website etwa 30 Tests zu unterziehen und so Sicherheitslücken und Schwachstellen in der Serverkonfiguration, den WordPress-Einstellungen und anderen Aspekten zu finden, die man ansonsten leicht übersehen kann. Dabei schadet das PlugIn der Performance von WordPress nicht, da die Tests nur manuell durchgeführt werden; Die Lite-Version des PlugIns ist sogar kostenlos. Entscheidest du dich für die Premium-Version von Security Ninja, bringt das PlugIn gleich ein Arsenal von Gegenmaßnahmen mit, das dir bei der Behebung der Lücken hilft. Für eine erste Einschätzung der Situation eignet sich jedoch auch die Lite-Version des PlugIns und nachdem alle Risiken ausgemerzt wurden, kann das PlugIn wieder deaktiviert und gelöscht werden.

Limit Login Attempts

Dieses PlugIn sollte in keiner WordPress-Installation fehlen, denn es schützt äußerst zuverlässig vor Brute-Force-Angriffen, indem es die Webseite nach dreimaliger falscher Eingabe der Zugangsdaten für eine gewisse Zeit lang sperrt (ca. 10 Minuten) und bei einer vorher festgelegten Anzahl an Sperrungen den Zugang für eine viel längere Zeit sperrt (zum Beispiel 24 Stunden). Auf diese Weise bremst man mit diesem PlugIn sehr effektiv alle Arten von Brute-Force-Angriffen so stark herunter, dass ein zeitnaher Zugang  zur Website fast unmöglich gemacht wird. Limit Login Attempts ist kostenlos für WordPress installierbar und wird in den Sicherheitspakten von vielen großen Hostern bereits standardmäßig vorinstalliert.

AntiSpam Bee

Spam ist zwar kein wirklich relevantes Sicherheitsrisiko, ist aber trotzdem sehr nervig und kann unter Umständen die Qualitätsanmutung eines Blogs zerstören, denn Besucher kommentieren ungern einen Beitrag, der schon von mehreren Spam-Bots kommentiert wurde, die Louis Vuitton Handtaschen zum Schnäppchenpreis versprechen. Das PlugIn AntiSpamBee ist für viele Blogger und Webmaster die Standardlösung für Spam-Schutz. Der Webmaster kann sich automatisch per E-Mail benachrichtigen lassen, wenn das PlugIn Spam abgefangen hat, kann den Spam auch einfach löschen lassen oder individuelle Spam-Listen erstellen. Für erfahrene Nutzer bringt AntiSpam Bee sehr viele Einstellungsmöglichkeiten mit, sodass du das PlugIn individuell an deine Bedürfnisse anpassen kannst.

iThemes Security (zuvor Better WP Security)

Dieses PlugIn schützt deine Website zuverlässig auf viele verschiedene Arten, indem es zum einen Analysen durchführt, wo deine Seite potentiell gefährdet ist. Zum anderen bringt iThemes Security einige Funktionen mit, die auch Server-Aspekte und Datenbanken betreffen. Zum Beispiel erzwingt das PlugIn eine sichere SSL-Übertragung der Admin-Daten, sofern der Webserver dies unterstützt und vieles mehr.

Fazit

Es gibt viele Möglichkeiten, die eigene WordPress-Installation und die dazugehörige Website zu schützen, sowohl durch geschickte Wahl von Zugangsdaten, als auch durch die Verwendung von PlugIns, die es mittlerweile en masse kostenlos im Internet gibt.

Um auf Nummer sicher zu gehen, sollten nur PlugIns von der offiziellen WordPress-Website installiert werden, da Erweiterungen von Drittanbietern wieder ein mögliches Sicherheitsrisiko darstellen können.