Schweiz
Deutschland
Österreich
English
WordPress, das populärste Content-Management-System und Blogsoftware, steht regelmäßig im Fokus von Hackern und Angriffen. Die gute Nachricht: Mit den richtigen Maßnahmen können Sie Ihre WordPress-Website effektiv schützen.
Dieser Leitfaden zeigt einige Hintergründe auf und führt Sie durch die wichtigsten Aspekte der WordPress-Sicherheit. Bevor wir in die Tiefe gehen, ist es wichtig, einige Grundlagen zu verstehen. WordPress-Sicherheit ist kein einmaliges Projekt, sondern ein fortlaufender Prozess. Ein heute sicheres System kann morgen bereits veraltet sein. Daher ist es wichtig, stets auf dem Laufenden zu bleiben und Sicherheitspraktiken regelmäßig zu überprüfen und anzupassen.
Warum kann auch mein WordPress davon betroffen sein ?
Bei vielen WordPress Benutzern besteht der Irrglaube, dass Ihr Hosting nicht angegriffen wird, da sie keine wichtigen Daten auf Ihrer Website haben. Es werden aber nur die wenigsten Hostings direkt von einem Hacker angegriffen. Die meisten Attacken erfolgen durch sogenannte Bots. Diese Bots sind Programme welche automatisiert im Internet nach WordPress Webseiten suchen und verschiedene Sicherheitslücken auszunützen, um in Folge Zugang zum WordPress zu erlangen.
Warum ist ein WordPress Hosting ein interessantes Ziel für Angreifer ?
WordPress' Popularität ist einer der Hauptgründe, warum es ein attraktives Ziel für Cyberangriffe ist. Da so viele Websites auf dieser Plattform basieren, kann eine einzige Schwachstelle potenziell Tausende von Seiten betreffen. Außerdem nutzen viele WordPress-Seitenbetreiber veraltete Software oder schwache Passwörter, was sie zu leichten Zielen macht. Was ist das Ziel dieser Angriffe und warum kann es potenziell jedes WordPress treffen ?
Wir sehen verschiedene Gründe für Angriffe:
Malware im WordPress um Traffic umzuleiten auf Werbeseiten
In diesem Fall nistet sich Malware innerhalb des WordPress ein, um in Folge einige oder alle Besucher der Website auf eine andere Website umzuleiten um dann Werbung anzuzeigen. Diese Variante der Malware bleibt oft länger unentdeckt, da nicht zwingend jeder Seitenaufruf auf die Werbeseite weiterleitet und so die Malware nicht sofort auffällt.
Malware im WordPress um Pishingseiten zu installieren
Die Pishingmail welche einem Mailempfänger vorgaukeln von der Bank oder einem Lieferanten zu stammen, benötigen nach dem Aufruf eine Website, die so aussieht, als wäre sie von der besagten Bank. In manchen infizierten WordPress Hostings werden solche Unterseiten abgelegt, um dann dort die Zugangsdaten der Opfer abzufangen. Der Angreifer kann dann bei der Bank damit einloggen oder andere sensitiven Informationen bekommen.
Malware im WordPress um Spam via E-Mail zu versenden
Das Versenden von Spam via E-Mail ist leider noch immer lukrativ und manche Malware versendet Spam aus oder über das gekaperte WordPress.
Sleeper Malware “für später”
Eine andere Form der Malware legt sich nach dem Infizieren des WordPress in einen Schlafmodus, um für spätere Anfragen durch den Angreifer bereit zu sein. Je nach Art und Weise wird dann auf Kommando das WordPress zu einem Denial of Service Werkzeug oder anderem. Bei Wikipedia gibts es mehr Informationen zu solchen Denial of Service Attacken.
Malware welche das WordPress verschlüsselt mit Lösegeldforderung
Eine besondere Form der Malware stellt auch die Ransomware dar. Diese verschlüsselt nach dem Eindringen in das WordPress Dateien und manchmal auch die Datenbank. Für ein Lösegeld, meist in der Form von Bitcoin, wird vom Angreifer eine Entschlüsslung der Daten angeboten. Wenn man ein Backup der Daten hat, ist man aber gut gerüstet und kann sich normalerweise die Zahlung an den Erpresser sparen.
Datenklau bei WordPress und WooCommerce Shops
Manche Shoplösungen auf Basis von WordPress wie WooCommerce beinhalten sensible Daten von Kunden und sind als Angriffsziel sehr interessant. Einerseits um mit diesen Daten dann weitere Zugänge ausfindig zu machen oder um die Daten im Darknet weiterzuverkaufen oder den Shopbetreiber zu erpressen. Gerade bei Shoplösungen ist also besondere Vorsicht angebracht, - auch aus Haftungs und Reputationsgründen für den Betreiber des Shops.
Angriff auf das WordPress um den Server zu hacken
Bei manuellen Angriffen, bei denen eine oder mehrere Personen das WordPress angreifen, kann es auch ein Sprungbrett sein um auf dem Server die Rechte auszuweiten und andere Dienste oder Benutzer auf dem Server anzugreifen. Dies wird auch Privilege Escalation oder Rechteausweitung genannt. Ob dies möglich ist, hängt sehr stark von der sicherheitstechnischen Qualität des Hostings ab.
Wie schütze ich mein WordPress am besten gegen Hacker und Angriffe ?
Leider ein grosses Missverständnis - Inaktive WordPress Plugins und Themes
Ein wichtiger Punkt ist, inaktive Plugins und Themes zu löschen. Es ist ein weitverbreitetes Missverständnis, dass Sicherheitslücken in nicht aktiven Themes oder Plugins nicht ausgenützt werden können. Daher ganz wichtig: Löschen Sie nicht benötigte und nicht aktive Themes und Plugins.
WordPress, Plugin und Themes immer auf automatische Updates stellen
Manche Installationen verwenden die automatischen Updates für das WordPress Core System, aber nicht jene für die Plugins oder das Theme. Als Argument kommt manchmal, dass bei früheren fehlgeschlagenen Updates die Site nicht mehr funktionierte oder teils kaputt war. Es ist aber besser ein optisches Problem zu haben und sicher zu sein, als sich potenziell Malware einzufangen, da keine automatischen Updates aktiv sind. Ein optisches Problem mit dem Theme oder Plugin kann gelöst werden, der Aufwand um ein infiziertes WordPress wieder sicherzumachen ist im Regelfall weitaus höher.
Daher ist eine der einfachsten Methoden um die Sicherheit des WordPress zu erhöhen, alle Plugins und alle Themes auf automatische Updates zu stellen. Tritt in einer der Komponenten ein Sicherheitsproblem auf und es gibt ein Update, welches das Problem behebt, so wird dies automatisch aktualisiert. Durch diese regelmässigen Aktualisierungen wird sichergestellt, dass Ihre Website gegen bekannte Bedrohungen besser geschützt ist.
Starke Passwörter und eine aktive Benutzerverwaltung
Schwache Passwörter sind eine häufige Ursache für Sicherheitsverletzungen. Verwenden Sie starke, möglichst einzigartige Passwörter für Ihre WordPress Benutzer und Administratoren, Ihre Datenbank und Ihren FTP-Zugang. Starke Passwörter sind solche Passwörter, welche nicht in vorgefertigten Wörterbuchlisten auftreten und somit nicht durch einfaches Austesten von Wörterbuchlisten erraten werden können. Überprüfen Sie regelmäßig die Benutzerkonten Ihrer Website und entfernen Sie Konten, die nicht mehr benötigt werden. Beschränken Sie die Vergabe von Admin-Rechten auf ein Minimum. Kontrollieren Sie die Benutzer auf Ihnen unbekannte Namen oder auffällige E-Mailadressen. Bots können über die WordPress User Enumeration automatisiert die Namen der Benutzer herausfinden. Nachdem die Benutzernamen bekannt sind, wird anhand von Wörterbüchern mit den meistverwendeten Passwörten versucht einzuloggen und bei einfachen oder bekannten Passwörtern, welche in einem Wörterbuch abgelegt sind, gelingt dann der Login und das WordPress kann bei entsprechenden Rechten des Benutzers mit Malware infiltriert werden.
Sie können Ihr Passwort hier überprüfen bei https://haveibeenpwned.com
PHP Interpreter auf möglichst aktueller Version
Wenn es Ihr Hosting zulässt, stellen Sie die höchstmögliche bzw. neueste PHP Version ein. Die neuesten PHP Interpreter beinhalten die neuesten Sicherheitsupdates, ältere PHP Versionen werden teils nicht mehr mit Updates versorgt.
Sicherheits-Plugins
Es gibt zahlreiche WordPress-Plugins, die darauf ausgelegt sind, Ihre Website zu schützen. Einige beliebte Sicherheits-Plugins umfassen Wordfence, iThemes Security und Sucuri Security. Diese Plugins bieten eine Reihe von Funktionen wie Firewall-Schutz, Malware-Scanning und die Überwachung verdächtiger Aktivitäten. Alle diese Plugins beeinträchtigen die Performance des WordPress durch die zusätzlichen Checks die durchlaufen werden. Kombinationen von verschiedenen gleichzeitig aktiven Sicherheitsplugins können zu einem nicht mehr verwendbaren WordPress führen, da sie sich gegenseitig blockieren. Sinnvoller ist es, die vorher beschriebenen Schutzmechanismen einzuführen und ein gutes Hosting zu haben, bei dem viele Angriffe durch eine Firewall vor dem WordPress schon ausgefiltert und geblockt werden.
SSL-Zertifikat
Der Vollständigkeit halber erwähnen wir noch das SSL-Zertifikat. Da sich moderne Browser beschweren, wenn eine Website nicht SSL verschlüsselt ist, ist das immer weniger ein Thema. Das SSL Zertifikat ist notwendig um die Datenübertragung verschlüsselt zwischen dem Webserver und dem Webbrowser Ihrer Besucher ablaufen zu lassen. Dies schützt sensible Daten wie Passwörter und Kreditkarteninformationen zum Beispiel beim Abhören von Internetverkehr im gleichen LAN oder WLAN. Viele Hosting-Anbieter bieten kostenlose SSL-Zertifikate über Let’s Encrypt an.
Backups
Regelmässige Backups Ihrer Website sind unerlässlich. Im Falle eines Angriffs oder eines technischen Fehlers können Sie Ihre Website schnell wiederherstellen. Es gibt verschiedene WordPress-Backup-Plugins, die automatische Backups ermöglichen, wie UpdraftPlus und BackupBuddy. Stellen Sie sicher, dass Ihre Backups an einem sicheren Ort gespeichert werden und nicht direkt auf Ihrem Webserver. Wichtig zu verstehen ist, auch die Backup-Plugins wirken sich negativ auf die Performance des WordPress aus. Ein Hosting, das durch den Provider verlässlich gebackupt wird und im Notfall restored wird, hat diese Performanceinbussen nicht.
Hosting-Anbieter
Die Wahl eines sicheren Hosting-Anbieters ist entscheidend für die Sicherheit Ihrer Website. Ein guter Hosting-Anbieter bietet nicht nur regelmäßige Server-Updates und Sicherheitsüberwachung, sondern auch Support im Falle eines Sicherheitsvorfalls. Informieren Sie sich über die Sicherheitspraktiken Ihres Hosting-Anbieters und überprüfen Sie Bewertungen anderer Nutzer.
Überwachung und Reaktion
Selbst mit den besten Sicherheitsmassnahmen ist keine Website 100% sicher. Überwachungstools können helfen, verdächtige Aktivitäten frühzeitig zu erkennen. Ein Incident Response Plan hilft Ihnen, schnell und effektiv zu reagieren, falls Ihre Website kompromittiert wird. Dieser Plan sollte Schritte zur Untersuchung und Behebung des Sicherheitsvorfalls, zur Wiederherstellung der Website und zur Kommunikation mit den Nutzern umfassen.
Fazit
WordPress-Sicherheit ist ein komplexes Feld, das ständige Aufmerksamkeit und Anpassungen erfordert. Die Implementierung der hier besprochenen Sicherheitsmassnahmen und Best Practices ist ein wesentlicher Schritt zur Sicherung Ihrer Website. Denken Sie daran, dass die Sicherheit Ihrer WordPress-Seite nicht nur Ihre Inhalte und Ihren Ruf schützt, sondern auch die Sicherheit Ihrer Besucher gewährleistet.
Bei peaknetworks bieten wir WordPress Hosting und managed WordPress Hosting an. Beide beinhalten 10 Tage Full Backup aller Dateien und Datenbanken mit kostenlosem Restore, kostenloses Let's Encrypt SSL, eine serverseitige Firewall welche auch Bruteforceattacken blockiert sowie ein 7 x 24 Montitoring des Servers. Bei dem Managed WordPress Hosting kontrollieren und managen wir für Sie das WordPress mit dem Theme, den Plugins, sodass Ihr WordPress immer up to date ist.
