Suchen

Weblog-Sicherheit Wordpress sicher betreiben

| Autor / Redakteur: Thomas Joos / Peter Schmitz

Um das Blog-System Wordpress sicher zu betreiben, müssen einige Anpassungen nach der Installation vorgenommen werden. Auch im laufenden Betrieb macht es Sinn, regelmäßig die Sicherheitseinstellungen und -Möglichkeiten zu beachten und anzupassen, wenn neue Möglichkeiten zur Verfügung stehen.

Cyberkriminelle haben Wordpress-Blogs im Visier, aber mit den richtigen Einstellungen Plugins und Multi-Faktor-Authentifizierung lässt sich einfach mehr Sicherheit erreichen.
Cyberkriminelle haben Wordpress-Blogs im Visier, aber mit den richtigen Einstellungen Plugins und Multi-Faktor-Authentifizierung lässt sich einfach mehr Sicherheit erreichen.
(© DigiClack - stock.adobe.com)

Das freie und extrem populäre Weblog-CMS Wordpress ist nicht nur für Privatpersonen die erste Wahl beim Betrieb eines Blogs; auch viele Unternehmen nutzen die freie Software für Firmen-Blogs. Wer einen Wordpress-Blog betreibt, sollten sich aber unbedingt mit dem Thema Sicherheit auseinandersetzen. Wordpress bietet Sicherheitseinstellungen, die im System integriert sind. Zusätzlich gibt es verschiedene Plugins, mit denen sich die Sicherheit von Wordpress deutlich verbessern lässt.

Vor allem nach Neuinstallationen von Wordpress macht es Sinn sich gleich um die Installation von Plugins zu kümmern und die notwendigen Sicherheitseinstellungen zu beachten. Denn dadurch gewöhnen sich die Benutzer von Anfang an mit der erhöhten Sicherheit umzugehen. Aber auch hier gilt höchste Vorsicht. Denn Angreifer nutzen nicht nur Sicherheitslücken in Wordpress, sondern auch Lücken in Plugins. Auch aus diesem Grund sollte man nur Plugins einsetzen, die der Entwickler regelmäßig aktualisiert, und nur so viele Plugins wie nötig.

Bildergalerie

Bildergalerie mit 9 Bildern

So wenig wie möglich nutzen

Wordpress und Plugins weisen recht viele Sicherheitslücken auf. Nach diesen kann im Internet problemlos gesucht werden. Die Schwachstellen werden natürlich von Angreifern ausgenutzt. Aus diesem Grund ist es sinnvoll in einer Wordpress-Installation so wenig wie möglich Funktionen in Wordpress zu nutzen, und nicht notwendige Funktionen auszuklammern. Das gilt vor allem für Plugins und Themes. Generell sollte in jeder Wordpress-Installation darauf geachtet werden, die Angriffsfläche so gut wie möglich zu reduzieren.

Möglichst aktuelle Version einsetzen

Generell sollte beim Einsatz von Wordpress möglichst die aktuellste Version eingesetzt werden. Abhängig von den Einstellungen zeigt eine Wordpress-Installation eine Information an, wenn eine neue Funktion zur Verfügung steht. Natürlich muss hier auch darauf geachtet werden, dass die vorhandenen Plugins und Einstellungen der Seite kompatibel mit der neuen Version sind. Dennoch sollten neue Versionen nicht einfach übergangen werden. In vielen Fällen wird die Sicherheit verbessert und oft auch neue Funktionen integriert.

Aktualisierungen sinnvoll planen

Zwar lässt sich eine Aktualisierung von Wordpress über die Weboberfläche durchführen, auch teilweise automatisieren, es ist aber dennoch sinnvoll einen Plan für die Aktualisierungen aufzustellen. Mit dem Plugin „WP Updates Notifier“ erhalten Administratoren eine Information, wenn Updates vorliegen.

In der Konfigurationsdatei „wp-config-php“ lässt sich durch den Eintrag „define( 'WP_AUTO_UPDATE_CORE', true );“ eine automatische Aktualisierung durchführen, dennoch sollten Updates vorher getestet werden. Hier bietet es sich an eine Testumgebung aufzubauen. Außerdem sollten regelmäßige Updates durchgeführt werden. Hier gibt es verschiedene Plugins, die dabei helfen, zum Beispiel „BackUpWordPress“ oder „BackWPup – WordPress Backup Plugin“.

Neben der automatischen Aktualisierung von Wordpress können auch die Plugins automatisch aktualisiert werden. Dazu werden Einstellungen in der Datei „functions.php“ vorgenommen.

Um Plugins zu aktualisieren, wird folgende Zeile verwenden:

add_filter( 'auto_update_plugin', '__return_true' );

Werden Themes eingesetzt, können auch diese automatisch aktualisiert werden:

add_filter( 'auto_update_theme', '__return_true' );

Bildergalerie

Bildergalerie mit 9 Bildern

Virenschutz implementieren

Standardmäßig verfügt Wordpress über keinen Virenschutz. Mit Plugins kann aber auch hier nachgearbeitet werden. Mit der Suche in den Plugins lassen sich verschiedene Antiviren-Programme finden und in die eigene Umgebung einbinden. Auch hier macht es Sinn verschiedene Plugins zu testen, um die beste Lösung zu implementieren.

Rechte korrekt setzen

Wie bei allen Anwendungen und Lösungen in denen Benutzer arbeiten, macht es auch bei Wordpress Sinn darauf zu achten, dass möglichst sichere Kennwörter verwendet werden. Dazu kommen verschiedene Rollen, mit denen genau gesteuert werden kann, welche Rechte ein Benutzer in der Wordpress-Umgebung hat. Generell sollte hier mit möglichst geringen Rechten gearbeitet werden.

Zusätzlich besteht die Möglichkeit mit Plugins das Rechtemodell noch zu erweitern. Members erweitert Wordpress um die Möglichkeit weitere Rollen zu erstellen und Anwendern diesen Rollen zuzuordnen. Neben „Members“ gibt es noch zahlreiche weitere Plugins, mit denen sich die Rechte von Wordpress besser delegieren lassen.

Multifaktor-Authentifizierung nutzen

Vor allem wichtige Benutzerkonten sollten mit Multifaktor-Authentifizierung (MFA) abgesichert werden. Auch das funktioniert am einfachsten über Plugins, wie zum Beispiel „WP Google Authenticator“. Das Plugin lässt sich zum Beispiel zusammen mit „Members“ einsetzen, um festzulegen, dass Benutzerkonten die bestimmte Benutzerrollen einnehmen, MFA nutzen müssen. Um Benutzerkonten abzusichern, sollten auch möglichst keine bekannten Standardnamen verwendet werden. In einer Wordpress-Installation haben die Benutzernamen „admin“ oder „administrator“ nichts zu suchen. Das gilt auch für Benutzer wie „root“.

Sichere Datenübertragung verwenden

Um Daten auf Wordpress-Seiten hochzuladen sollte immer eine sichere Kommunikation verwendet werden sowie Tools bei denen die Sicherheit einigermaßen gegeben ist. Dazu gehört auch die Verwendung des SFTP-Protokolls. Bekannte Tools in diesem Bereich sind WinSCP, Filezilla oder CyberDuck. Die beiden letzteren stehen auch für Linux zur Verfügung.

(ID:45078369)

Über den Autor

 Thomas Joos

Thomas Joos

Freiberuflicher Autor und Journalist