WordPress absichern, Edition 2018

Mir ist bewusst, dass das Thema Sicherheit bei den meisten kein Lieblingsthema sein dürfte und es daher von vielen gerne ignoriert wird. Aber hier muss man meiner Meinung nach durch. Das Thema ist einfach zu wichtig als dass man es lange ignorieren kann.

Um sich zu motivieren, sich dennoch mit dem Thema ausführlicher zu beschäftigen, sollte man es ein bisschen wie die Kraftsportler sehen.

Nur die wenigsten mögen das Aufwärmen, obwohl es wichtig ist. Alle wollen sofort mit den Gewichten loslegen. In unserer Analogie: alle wollen an Content und Design.

Aber das Vernachlässigen von Aufwärmen, Dehnen und diversen Mobilitätsübungen kann sich unter Umständen schnell rächen: das Verletzungsrisiko steigt und man muss im Fall der Fälle Wochen oder sogar Monate das eigentliche Training ausfallen lassen und sich der Kurierung der Verletzung widmen.

So ähnlich ist es auch bei Bloggern und bei den anderen Nutzern von WordPress-Websites. Sicherheit wird häufig ignoriert und alle wollen sich direkt dem Design oder dem Content zuwenden.

Dabei spielt die Sicherheit ein wichtige Rolle und sollte nie vernachlässigt werden, da sich das vergleichsweise schnell rächen kann. Jeder der eine gehackte Website auf Vordermann bringen musste, weiß wovon ich rede. Man verwendet Ressourcen – also Zeit und/oder Geld – um die Seite wieder zu reparieren bzw. zum Laufen zu bringen und kann sich nicht auf die eigentliche Arbeit konzentrieren.

Es gibt eine weitere Analogie zwischen Krafttraining und Aufwärmen einerseits und WordPress und der Beschäftigung mit der Sicherheit andererseits. Besserer "Fokus" auf das Training und zusätzliches Lernen über den eigenen Körper durch Aufwärmen entspricht dem, dass man bewusster an das WP-Projekt herangeht und mehr über WP lernt.

Beschäftigung mit Sicherheit ist daher keine verschwendete Zeit. Im Gegenteil.

Warum ist die Sicherheit so wichtig?

Bei WP gibt es mehr "Spieler" als bei statischen Websites. Es kommen noch PHP und MySQL hinzu. Das erweitert die Angriffsfläche und zu den WP-eigenen Schwachstellen muss man auch auf die Schwachstellen der anderen Mitspieler, also von PHP und MySQL, achten. Kurz gesagt: eine dynamische Website bietet einfach mehr Angriffsfläche.

Hohe Verbreitung = ein lohnendes Ziel

WordPress ist mit Abstand das beliebteste CMS und beherrscht den Markt der Content-Management-Systeme mit knapp 60%. Nimmt man auch die statischen Websites hinzu, dann laufen momentan knapp 29% aller Websites weltweit mit WordPress.

Durch die hohe Verbreitung, einer hohen Anzahl an Plugins und Themes ist WordPress ein lohnenswertes Ziel für potenzielle Angreifer.
In der Standardinstallation und ohne Plugins ist WordPress eine relativ sichere Sache, und mit wenigen, einfachen Schritten, die ich im Folgenden nennen werde, kannst du die eingerichtete Installation zusätzlich absichern und es einem Angreifer noch schwerer machen in dein System einzudringen.

Maßnahme Nr. 1: Individueller Benutzername und starkes Passwort

Die Sicherheitsmaßnahmen fangen bereits mit der Installation an. Gönne dir einen individuellen Benutzernamen und ein starkes Passwort.

Sicherheit fängt schon bei der Installation an: wähle einen individuellen Benutzernamen. Das von WordPress generierte Passwort zu nehmen ist eine gute Idee, da es ein starkes ist.

Während des kurzen Installationsprozesses wirst du unter anderem gebeten auch einen Benutzernamen und das Passwort für den ersten Nutzer bzw. den Administrator zu bestimmen.

Da dich dieser Schritt keine extra Zeit oder Mühe kostet, entscheide dich bitte für einen individuellen Benutzernamen. Nimm bitte nicht admin, Administrator, Webmaster, Demo, Test oder Ähnliches für die Produktivwebsite.

Ein individueller Name muss jetzt keine exotische Buchstabenkombination sein. Dein Vorname oder Spitzname ist schon ausreichend um dich von der Masse abzuheben und schützt dich gut vor den plumpen Angriffen auf die gängigen Benutzernamen, da diese dann ins Leere laufen.

aufgezeichnete Angriffe auf den Benutzernamen admin und administrator. IPs wurden geschwärzt.

Starkes Passwort ist Pflicht und keine Kür

Während der Installation generiert WordPress ein Passwort. Es ist zwar ein schwer zu merkendes aber ein von der Installationsroutine als stark gekennzeichnetes Passwort. Ich würde Ihnen empfehlen das Passwort zu nehmen und es in die Zwischenablage zu kopieren oder noch besser in den Passwortmanager zu überführen.

Wozu ein schwaches Passwort führen kann, zeigt folgender Vorfall. Mitte 2016 wurde TechCrunch gehackt. Es handelt sich hierbei um ein sehr großes und bekanntes IT-Portal. Dabei wurde keine Lücke in WordPress oder einem Plugin zum Verhängnis, sondern das schwache Passwort des Redakteurs.

Maßnahme Nr. 2: Loginversuche begrenzen

Eine äußerst sinnvolle und auch schnell eingerichtete Sicherheitsmaßnahme ist die Einschränkung der Loginversuche für einen festgelegten Zeitraum. Damit erschwert man die automatisierten Angriffe auf die Installation (engl. Brute Force) mit denen der Angreifer versucht richtige Kombination aus dem Benutzernamen und Passwort zu erraten.

Um Loginversuche zu beschränken gibt es mehrere Lösungen bzw. Plugins, mit denen man dies realisieren kann. Ich persönlich empfehle hierfür momentan Limit Login Attempts Reloaded, da es sich sehr einfach einrichten lässt und nicht nur das Login sondern auch XML-RPC-Schnittstelle beobachtet.

Allerdings muss man anmerken, dass diese Maßnahme lediglich gegen weniger elegante Angriffe schützt, die zum Beispiel über die gleiche IP kommen. Hier kann das Plugin ein Muster erkennen und gemäß den eingestellten Regeln reagieren.

Erfolgen die Angriffe dagegen etwas eleganter, zum Beispiel, wenn sie zeitlich verteilt über mehrere IPs kommen, dann kann dieses Plugin logischerweise wenig ausrichten.

Maßnahme Nr. 3: Benutzerrechte mit Bedacht einsetzen oder arbeite nicht immer mit Admin-Rechten

WordPress verfügt über eine Benutzerverwaltung, die in der Standardinstallation fünf Benutzergruppen kennt.

Mein erster Ratschlag bezüglich der Benutzerverwaltung wäre, dass du sparsamer mit den Benutzerrechten umgehst. Nehmen wir mal an, du betreibst ein Weblog wo mehrere Autoren tätig sind. Dann wäre es ratsam, dass du den neuen Autoren bzw. den Autoren mit wenig WordPress-Erfahrung lediglich die Rechte als Mitarbeiter einräumst.

Den erfahrenen Autoren kannst du Autor-Rechte geben und nur denjenigen, die das ganze koordinieren und leiten, sollten auch Rechte als Redakteur bekommen. Die Administrationsrechte sollte nur derjenige haben, der tatsächlich für die Pflege der WordPress-Installation verantwortlich ist. Das hier einem, dass eine oder andere Plugin den Strich durch die Rechnung machen kann, ist mir durchaus bewusst.

Mein zweiter Rat in diesem Zusammenhang wäre, dass du dich nicht immer mit den Administratorrechten einloggst. Gönne dir den Luxus eines zweiten Accounts. Einen mit Admin-Rechten und den anderen mit Autor- oder maximal Redakteur-Rechten. Nutze den Administrator-Account nur für administrative Tätigkeiten, wie zum Beispiel Plugins und WordPress aktualisieren, und verfasse die neuen Beiträge mit dem Account mit weniger Rechten.

Es ist ein deutlicher Unterschied ob der Angreifer es dann irgendwann schafft einen Account mit Autorenrechten zu knacken oder ob er im Besitzer der Administrationsrechte ist.

Maßnahme Nr. 4: Aktualisieren und auf dem Laufenden bleiben

Der vierte Tipp in Bezug auf die Sicherheit, ist eine Selbstverständlichkeit, wird aber dennoch von vielen Nutzern sträflich vernachlässigt, wie ich aus meiner Erfahrung als WordPress-Dienstleister beobachten kann. Hauptgründe für diese Vernachlässigung ist zum einen Unwissenheit und zum anderen der Zeitmangel.

Man sollte das Geschehen rund um WordPress beobachten um schnell reagieren zu können, zum Beispiel um Sicherheitsupdates für WordPress und die Plugins einzuspielen oder unsichere Erweiterungen zumindest zeitweise zu deaktivieren.

Die Sicherheitsupdates für die Installation, für die Plugins und für die Themes solltest du zügig einspielen – zügig jetzt bitte nicht mit hektisch verwechseln.

Nehme diesen Punkt nicht auf die leichte Schulter. Du willst bestimmt nicht, dass jemand gekaufte Backlinks in deinen Blogartikeln setzt oder auf deiner Website Werbung anzeigt wird, wenn Besucher von Google-Suche auf deine Website gelangen… das und einiges mehr begegnete mir auf WordPress-Installationen, die nicht mehr gepflegte Themes und Plugins im Einsatz hatten und die ich dann im Auftrag der Betreiber bereinigen musste.

Darüber hinaus solltest du auch wichtige Anbieter von News zu sicherheitsrelevanten Themen im Auge behalten. Neben dem offiziellen Weblog solltest du meiner Meinung nach zumindest noch die zwei folgenden Quellen folgen:

• Website Security News (englisch)
• WPScan Vulnerability Database (englisch)
• heise Security (deutsch)

Maßnahme Nr. 5: wenn nicht benötigt, dann bitte die XML-RPC-Schnittstelle sperren

Die XML-RPC-Schnittstelle wird für zwei Bereiche benötigt. Einmal für das Pingback-System innerhalb von WordPress und wenn Sie auf WordPress mit externen Anwendungen, wie zum Beispiel externen Editoren zugreifen wollen.

Greifen Sie nicht mit externen Anwendungen zu und sind Ihnen die Pingbacks nicht wichtig, dann können Sie diese Schnittstelle blockieren, die standardmäßig aktiv ist und zwar unter anderem mit folgenden Code in der .htaccess-Datei:

<files xmlrpc.php>
Order deny,allow
deny from all
</files>

Mit Hilfe dieser Anweisung werden die externen Zugriffe auf die Schnittstelle bzw. die Datei xmlrpc.php blockiert. Das Problem an dieser Schnittstelle ist es, dass man gleichzeitig mehrere hundert Passwort-Abfragen an sie abschicken kann.

Ein paar abschließende Worte

Die von mir im Rahmen des Artikels vorgestellte Maßnahmen sind nicht die einzigen, die man anwenden kann. Sie sind aber vor allem schnell und leicht umzusetzen, auch von Nutzern mit weniger Erfahrung und sie entfalten eindeutig eine Wirkung.

Darüber hinaus sollten Sie das Thema Sicherheit ganzheitlich angehen. Dazu sollte man die Sicherheitsmaßnahmen nicht einzeln sondern als ein Gesamtpaket betrachten, wo sich die einzelnen Maßnahmen ergänzen und nicht in die Quere kommen.

Zum Thema Sicherheit gehören auch Maßnahmen gegen Spam auf deiner Installation und Backups: also ein holistisches Sicherungskonzept muss her. Sollten irgendwann deine Sicherheitsmaßnahmen nicht ausreichen, dann kannst du mit einem sauberen Backup in kurzer Zeit wieder mit deiner Arbeit loslegen.

Bildnachweis: Vorschaubild und das Gym-Bild sind CC0 und stammen von Pixabay: 1 und 2.