In letzter Zeit häufen sich immer wieder Brute Force Angriffe auf Websites, die auf populären Content Management Systemen wie Joomla, Drupal oder WordPress basieren. Leider gibt es immer noch zahlreiche WordPress-Websites, die nicht ausreichend gegen unbefugten Zugriff abgesichert sind. Wenn die Seite eine wirtschaftliche Ausrichtung hat, kann es durchaus vorkommen, dass dem Website-Betreiber Einnahmen entgehen. Grund genug, einen neuen Artikel über die Verbesserung der WordPress Sicherheit zu verfassen – wir zeigen dir, wie’s geht.

2 Szenarien, wie Ihre Seite geschädigt werden kann

WordPress kann auf vielerlei Hinsicht gehackt oder angegriffen werden, wobei Brute Force Angriffe oder die Platzierung von Schadsoftware im Quellcode der Seite zwei der häufigsten Attacken sind. Die folgenden beiden Szenarien zeigen beispielhaft, welche Folgen ein Angriff auf das WordPress BackEnd haben kann.

1. Einbau / Veränderung von Monetarisierungs-Codes

Wirtschaftlich ausgerichtete WordPress-Websites wie Affiliate-Seiten oder Magazine werden besonders häufig angegriffen, denn hier lässt sich aktiv Geld verdienen. Wer sich Zugang zum BackEnd verschafft, kann zum Beispiel AdSense-Code oder Affiliate-Links einfügen und somit die Einnahmen abgreifen. Unter Umständen kann dies erst sehr spät auffallen, sodass bereits Einnahmen verloren gegangen sein könnten.

2. Datenklau / Konkurrenz-Beseitigung

Auch wenn man es sich kaum vorstellen mag: Die Konkurrenz im Internet auszuschalten ist mit einem Zugang zum WordPress-BackEnd ungemein leicht. Einfach die Inhalte löschen, Schadcodes installieren oder Kundendaten klauen: All dies kann in Folge auch zu einer Abstrafung bei Google führen, sodass die Seite Rankings verliert oder man legt die komplette Seite lahm. Rechtlich zwar illegal, jedoch können die Angreifer nur selten identifiziert werden.

Nutzername & Passwort: Der effektivste Schutz

Jeder Beitrag zum Thema WordPress Sicherheit thematisiert dieses Sicherheitsrisiko, dennoch verwenden viele Webmaster unsichere Zugangsdaten, als man glauben möchte. Bruce Force Angriffe, also das simple Ausprobieren von Kombinationen aus Nutzername und Passwort sind eine der häufigsten Angriffe auf WordPress-basierten Websites. Hat der Angreifer sich erstmal Zugang zum BackEnd verschafft, steht diesem Tür und Tor offen, alles nach belieben zu verändern.

Wichtig bei der Wahl der Zugangsdaten: Das Passwort ist das größte Sicherheitsrisiko. Dies sollte mindestens 8 Stellen besitzen, im Idealfall über 12. Wichtig ist hier, dass nicht nur Kleinbuchstaben verwendet werden, oder gar Wörter, die in einem Wörterbuch auftauchen. Das ideale Passwort besitzt rund 16 Stellen und ist eine Kombination aus Klein- und Großbuchstaben, Ziffern und Sonderzeichen. Ein entsprechend gewähltes Passwort schützt besser als jedes Security-PlugIn.

Viele Tipps im Internet sagen auch das ein anderer Username für die WordPress Installation verwendet werden sollte. Dies ist zwar hilfreich, denn einige Brute Force Attacken versuchen sich wirklich nur über den User „admin“ einzuloggen, doch andere Programme gehen viel weiter und können auch den Usernamen des Admins herausfinden – Was die meisten Leute gar nicht wissen! Einerseits steht der Username oft direkt im Quellcode, andererseits kann man beispielsweise anhand der Autoren Unterseite, welche oft in einem Blog Post verlinkt wird, den Usernamen herausfinden. Oder gibt einfach im Browser http://www.deine-wordpress-installation.de/?author=1 ein, welches anschließend auch auf die Autoren Seite des Ersten Users weiterleitet. Durch Änderung der 1 in eine andere Zahl lassen sich so noch die weiteren Autoren / User Accounts herausfinden.

Limit LogIn Attempts

Das WordPress PlugIn Limit LogIn Attempts ist kostenlos und dennoch pures Gold wert. Dank dieser Erweiterung kann festgelegt werden, nach wie vielen fehlgeschlagenen LogIn Versuchen mit Hilfe der wp-login.php eine IP-Adresse für eine bestimmte Zeit gesperrt werden soll. Auch viele weitere Einstellungsmöglichkeiten sind geboten, sodass dieses PlugIn wohl für jeden Website-Betreiber uneingeschränkt geeignet ist.

Limit LogIn Attempts sollte möglichst früh installiert und konfiguriert werden, um von Anfang an die Sicherheit Ihrer WordPress-Seite zu gewährleisten. Ähnlich wie ein guter Nutzername und ein sicheres Passwort dient auch dieses PlugIn dem Verhindern von Brute Force Angriffen auf das WordPress BackEnd. Dabei kann der Administrator sich eine eMail senden lassen, sobald eine IP gesperrt wurde und diese anschließend per .htaccess Datei vom Server ausschließen.

Erweiterungen & Updates

Die größte Sicherheitslücke für WordPress-Seiten sind nach wie vor fehlerhafte Themes und PlugIns. So stellt dieser englisch-sprachige Blogpost 7 PlugIns vor, die dafür sorgen, dass deine Seite garantiert gehackt wird! Das Problem: 2 Der dort vorgestellten Erweiterungen sind enorm beliebt und eines davon ist sogar ein Sicherheits-PlugIn. Grund genug, darauf zu verzichten.

Wichtig ist, dass nur PlugIns installiert und aktiviert werden, die auch wirklich benötigt werden. Auch sollten diese nur von der offiziellen WordPress-Seite heruntergeladen werden – ebenso verhält es sich mit Themes. Auch populäre Netzwerke wie ThemeForest.net sind relativ sicher, allerdings sollten nicht irgendwelche 08/15 Themes installiert werden. Sobald Updates für ein Theme oder ein PlugIn verfügbar sind, sollte dieses so früh wie möglich eingespielt werden.

Auch WordPress selbst erhält in unregelmäßigen Abständen Updates, die sich nicht selten auf die Sicherheit des Content Management Systems auswirken. Gerade ältere Seiten, die nicht mehr regelmäßig gewartet und kontrolliert werden, sind hiervon gefährdet, denn ein Update für WordPress kann hier leicht übersehen werden. Wer seine Erweiterungen und sein CMS regelmäßig updatet, muss sich jedenfalls weniger Sorgen um Hacker machen.