WordPress absichern

WordPress absichern ist ein unmögliches Vorhaben. Es wird immer Möglichkeiten geben Ihren Blog zu erobern. Erfahren Sie, wie Sie sich gegen Angreifer wehren können.

  • Sichere Benutzerkonten sind die halbe Miete.
  • WordPress und Erweiterungen müssen aktuell gehalten werden.

So, jetzt ist die Wahrheit raus. Dennoch empfiehlt es sich unbedingt etwas Energie ins WordPress absichern zu investieren, um die Wahrscheinlichkeit eines erfolgreichen Eindringens zu minimieren. Dies hier ist der erste von zwei Beiträgen zum Thema WordPress absichern. Hier lernen Sie ein paar wichtige Grundlagen kennen.

Mit sicheren Benutzerkonten WordPress absichern

Ein beliebtes Ziel krimineller Energie sind die Benutzerkonten einer WordPress-Installation. Denn wer Zugang zum Benutzerkonto eines Administrators hat, kann tun und lassen, was immer er will. Toll, oder? Das bedeutet im Gegenzug, zum WordPress absichern sollte etwas genauer auf die Benutzerkonten schauen.

Sichere Passwörter

Die simpelste Variante an ein Passwort zu kommen ist schlichtes Raten. Wenn der Benutzername bekannt ist und man bloß genug Zeit hat, kann man einfach solange Passwörter ausprobieren, bis man das richtige erraten hat. Automatisiert nennt man das eine Brute-Force-Attacke.

Solchen Angriffen kann man auf unterschiedliche Weise entgegen treten. Naheliegend ist die Wahl sicherer Passwörter. Ein sicheres Passwort ist zunächst einmal eines, das schwer zu erraten ist. Schwer zu erraten ist ein Passwort, dass nicht im Wörterbuch steht, das große und kleine Buchstaben enthält, Sonderzeichen enthält und möglichst lang ist. Um solche Passwörter zu erraten, reicht es nicht das Wörterbuch von A bis Z durchzuprobieren. Mit sicheren Passwörtern kann man Angreifern also erheblich die Arbeit erschweren.

Benutzernamen verschleiern

Zur Anmeldung an WordPress braucht man neben dem Passwort noch eine weitere Information: den Benutzernamen. Das heißt, wer ein Passwort erraten will, braucht auch den dazugehörigen Benutzer — oder andersherum. Dummerweise lassen sich die vorhandenen Benutzer einer WordPress-Installation relativ einfach ermitteln. Ziemlich unklug ist es in diesem Zusammenhang zum Beispiel die Benutzernamen unter einem jedem Beitragstitel einblenden zulassen (Autoren). Das lässt sich deaktivieren und notfalls mit einigen einfachen Anpassungen im WordPress Theme beheben. Die Benutzernamen lassen sich außerdem automatisiert über die Autoren-Seiten ermitteln. Wenn man darauf keinen Wert legt, empfiehlt es sich auch diese zu deaktivieren.

Aus den genannten Gründen sollte auch der Standardbenutzer deaktivieren. Der Standardbenutzer heißt admin und trägt die User-ID 1.

Hilfreiche Plugins

Es gibt Plugins, die potentiellen Angreifern die Arbeit erschweren (mehr leider nicht), zum Beispiel Cerber Security & Antispam. Es bietet im Zusammenhang mit Benutzerkonten ein paar nützliche Funktionen:

  • Anmeldeversuche begrenzen (Fail2Ban): IP-Adressen, von denen sich gehäuft erfolglos angemeldet wurde, werden gesperrt. Das verhindert das endlose Ausprobieren von Passwörtern
    (Es sei denn, der Angreifer ändert einfach nach etwa zwei Versuchen seine IP-Adresse. Ich habe Sie gewarnt! Eine perfekter Schutz ist nicht realisierbar.)
  • Autorenseiten verschleiern: Dadurch lassen sich vorhandene Benutzer nicht ohne Weiteres auslesen.
  • Protokollieren von Anmeldeversuchen und auffälligen Zugriffen.

Zum WordPress absichern bekannte Schwachstellen abstellen

Updates installieren

Die Welt dreht sich weiter, und so tun sich von Zeit zu Zeit Schwachstellen im Code des WordPress-Systems, der Plugins und der Themes auf. Was hilft dagegen? Richtig: Rechtzeitig aktualisieren. Nach jedem Anmeldevorgang informiert WordPress Sie im Dashboard über verfügbare Aktualisierungen.

Für diejenigen, die sich nicht regelmäßig (täglich) anmelden, stehen diverse Erinnerungs-Plugins bereit. Profis sind mit automatischen Updates via Cron-Job noch besser beraten.

Unnötiges deinstallieren

Noch besser als Updates installieren ist Ungenutztes entfernen. Plugins und Themes, die nicht gebraucht werden, sollten Sie einfach deinstallieren. Mit jeder Erweiterung, die nicht vorhanden ist, hat man ein Sicherheitsrisiko weniger an Bord.

Fazit: Kein vollkommener Schutz, aber ein gute Grundlage

Auch wenn viele der genannten Maßnahmen gerne als Snake-Oil (IT-sprachlich für sinnlose Maßnahme) gebrandmarkt werden, schlafe ich damit ruhiger. Denn zumindest eine Barriere für rudimentäre Eindringversuche hat man damit aufgestellt.

© pixelcreatures / pixabay.com (Bild-Nr.: #265130)