WordPress Webhosting sicher machen

WordPress Webhosting sicher machen

 



Im letzten Artikel WordPress Webhosting haben wir das populäre Redaktionssystem vorgestellt und sind auf die technischen Voraussetzungen eines WordPress Hostings sowie die Installation eingegangen. Dieser Artikel beschäftigt sich nun mit der weiterführenden Frage, wie man das eigene WordPress Webhosting effektiv vor unbefugten Zugriffen schützen kann.

WordPress ist das am häufigsten eingesetzte Content Management System weltweit. Aufgrund der hohen Verbreitung ist WordPress allerdings auch ein besonders beliebtes Ziel für Hacker, die sich unbefugten Zugriff auf Daten verschaffen und Schadsoftware verbreiten möchten. Vor allem wenn der Bekanntheitsgrad der eigenen Webseite steigt, können verärgerte Konkurrenten oder Störenfriede eine steigende Bedrohung für die Datensicherheit werden. In der Regel versuchen die Angreifer sich Zugang zum Administrationsbereich zu verschaffen, um dort Schadsoftware installieren zu können. Dazu werden Schwachstellen in der Hauptinstallation oder in zusätzlich verwendeten Plugins gesucht. Da es vielen Anwendern gar nicht bewusst ist oder man sich nicht ernsthaft mit dem Thema WordPress und Sicherheit beschäftigen möchte sind wichtige Bereiche oftmals nicht ausreichend geschützt, werden simple Passwörter verwendet oder das gesamte System nicht auf aktuellem Stand gehalten. All diese Umstände sorgen dafür, dass Angreifer ein leichtes Spiel haben das System zu kompromittieren.

Wir haben für Sie die 6 wichtigsten Punkte zusammengestellt, wie Sie ihr WordPress Webhosting vor unbefugtem Zugriff schützen können:

1. WordPress Webhosting aktuell halten

Die Software WordPress wird regelmäßig aktualisiert, fast jeden Monat erscheint ein Versionsupdate, das neben neuen Features und Fehlerbehebungen auch bekannt gewordene Sicherheitslücken schließt. Wer WordPress verwendet, der nutzt meist nicht nur die einfache Standardinstallation, sondern erweitert diese um ein individuelles Theme und verschiedene Plugins. Das gleiche wie für WordPress selbst gilt daher auch für diese Erweiterungen. Um möglichst wenig Angriffsfläche für Hacker und Bots zu bieten, sollte das gesamte System stets auf aktuellem Stand gehalten werden. Durch einen Login in den Administrationsbereich werden zur Verfügung stehende Updates übersichtlich angezeigt und können dort direkt vorgenommen werden. Wer eine hohe Anzahl an Webseiten betreut und sich nicht regelmäßig in jede Installation einloggt, der kann auch Hilfsmittel wie das Plugin WP Updates Notifier verwenden. Bei neuen verfügbaren Updates sendet das Plugin automatisch eine E-Mail-Benachrichtigung an den Administrator.

2. Individueller Benutzername und sicheres Passwort

Eine ganz einfache aber äußerst effektive Methode sich vor Angriffen zu schützen ist es, einen individuellen Benutzernamen zu wählen und dafür ein sicheres Passwort festzulegen. Standardmäßig lauten Benutzernamen zum Einloggen in Verwaltungsoberflächen meist Administrator, Admin oder Root. Diese Tatsache nutzen Hacker, die über sogenannte Brute-Force-Angriffe versuchen sich Zugang zum System zu verschaffen. Dafür werden bekannte Benutzernamen verwendet und lediglich verschiedene Kennwörter anhand von Wörterbuchlisten durchprobiert. Verwendet man stattdessen einen individuellen Benutzernamen, so muss nicht nur das Passwort geknackt werden, sonder gleichzeitig auch alle möglichen Kombinationen von Benutzernamen durchprobiert werden. In diesem Zusammenhang sollte darauf hingewiesen werden, wie wichtig ein sicheres Passwort ist. Ein Großteil der Nutzer bevorzugt leicht zu merkende Zeichenkombinationen, nicht selten wird einfach 123456 oder der eigene Vorname als Passwort verwendet. Derartige Zeichenketten sind anhand von Wörterbuchlisten schnell herausgefunden und geknackt. Ein wirklich sicheres Passwort sollte mindestens 12 Zeichen haben und aus Zahlen, Buchstaben und Sonderzeichen bestehen.

3. WordPress Tabellenpräfix ändern

Einige Angriffe zielen direkt auf Sicherheitslücke in der Datenbank ab, dabei spricht man von sogenannten SQL-Injections. Hacker versuchen damit einen Zugriff auf die Datenbank zu bekommen, um eigene Befehle einzuschleusen, die dort Schaden anrichten. WordPress verwendet standardmäßig das Tabellenpräfix wp_ in der Datenbank, weshalb Angriffe besonders auf dieses Tabellenpräfix ausgerichtet sind. Auch hier kann die Umbenennung in einen individuellen Namen wie up2uwp_ für mehr Sicherheit sorgen. Am einfachsten ist es die Änderung direkt bei der Installation von WordPress vorzunehmen, nachträglich kann das Tabellenpräfix nur noch aufwendig über die wp-config.php geändert werden.

4. Verschlüsselte Verbindungen nutzen

Daten, wie auch die WordPress Installation, werden per FTP Verbindung auf den Webspace geladen. Dabei sollte unbedingt auf eine verschlüsselte Übertragung geachtet werden. Webhosting Anbieter erlauben in der Regel eine sichere Verbindung über das SFTP-Protokoll. Bei einigen Webhosting Tarifen besteht auch die Möglichkeit FTP über SSH zu nutzen. Vor allem wer in öffentlichen WLAN Netzen arbeitet, sollte Zugangsdaten auf diese Weise vor dem Zugriff durch unbefugte Dritte schützen. Empfehlenswert ist auch der Einsatz eines SSL Zertifikates für den gesamten Webspace. Damit wird jede Verbindung zwischen Browser und WordPress, also auch der Zugriff auf die Administrator-Anmeldung, sicher verschlüsselt.

5. Passwortschutz per .htaccess aktivieren

Die meisten Webhoster verwenden auf ihren Servern einen Apache Webserver. Dieser unterstützt den Einsatz von .htaccess Konfigurationsdateien, womit sich individuelle Funktionen, wie unter anderem Maßnahmen zum Zugriffsschutz von Verzeichnissen umsetzen lassen. So kann der öffentliche Zugriff auf den Administrationsbereich einer WordPress Installation komplett unterbunden werden. Dazu muss lediglich die Funktion in der .htaccess Datei aktiviert und eine entsprechende .htpasswd Datei mit Passwort und Benutzernamen im Verzeichnis hinterlegt werden. Bei genauen Fragen zur Umsetzung kann der eigene Webhosting Anbieter weiterhelfen, oftmals lässt sich diese Einstellung auch bequem über die Webspace Verwaltungsoberfläche vornehmen.

6. Vorsicht bei WordPress Plugins

Dadurch, dass sich die Funktionalität von WordPress mithilfe von Plugins auf einfachste Weise erweitern lässt, installieren viele Nutzer zahlreiche Plugins für alle möglichen Funktionen. Je mehr Erweiterungen allerdings im Einsatz sind, desto mehr Angriffsfläche wird auch für Hacker geboten. Da jeder mit Programmierkenntnissen eigene WordPress Addons entwickeln und veröffentlichen kann, kann nicht ausgeschlossen werden, dass sich Fehler im Code eingeschlichen haben, die Sicherheitslücken darstellen. Vor allem Nutzer ohne Fachkenntnisse können gar nicht nachvollziehen, was die Plugins im Hintergrund überhaupt bewirken. Man sollte also zum einen vor dem Einsatz überprüfen, ob die Erweiterung von einer vertrauenswürdigen Quelle stammt. Dazu kann man sich beispielsweise vergewissern, ob ein bekannter Programmierer hinter dem Plugin steckt und ob eventuell bereits erfahrene Anwender den Quellcode eingesehen und eine Bewertung dazu veröffentlich haben. Zum anderen sollten wirklich nur zwingend notwendige Plugins verwendet werden. Wie auch beim heimischen Computer gibt es für WordPress zahlreiche Plugins, die mehr Sicherheit oder schnellere Zugriffszeiten versprechen, aber oftmals mehr Schaden als Nutzen bringen. Nur wenige Plugins haben sich als wirklich hilfreich erwiesen. Dazu zählt beispielsweise Limit Login Attempts, zur Limitierung der fehlerhaften Anmeldeversuche oder WP Anti Virus als Virenscanner für die Webseite.

 

Tags: WordPress, WordPress Webhosting, Datensicherheit

Weitere empfohlene Artikel

Exchange 2010 Hosting Vergleich
Wer heute im Geschäft erfolgreich sein möchte, braucht die Daten von allen Kunden zu jeder Zeit ..

Serverdienste Übersicht unter Linux
Bei Serverdiensten handelt es sich um Software, die auf einem Server läuft, um Clients bzw. Benut..

VPS Preisvergleich
VPS ist die Abkürzung für Virtual Private Server und bezeichnet ein komplexes Verfahren des Serv..

Strato Vserver Erfahrungen
Setzen Sie auf eine vSever Lösung von einem der bekanntesten Hoster in Deutschland.

Northern Solutions UG (haftungsbeschränkt) | Erfahrungen & Test 2018
Die Firma Northern Solutions aus Hamburg bietet unter maximumhost.de ihre Dienstleistungen im Bere..

dogado GmbH | Erfahrungen & Test 2018
Die dogado GmbH mit Sitz in Dortmund wurde 2001 gegründet und versteht sich als Cloud-Boutique f..