Weblog-Sicherheit

Wordpress sicher betreiben

| Autor / Redakteur: Thomas Joos / Peter Schmitz

Cyberkriminelle haben Wordpress-Blogs im Visier, aber mit den richtigen Einstellungen Plugins und Multi-Faktor-Authentifizierung lässt sich einfach mehr Sicherheit erreichen.
Cyberkriminelle haben Wordpress-Blogs im Visier, aber mit den richtigen Einstellungen Plugins und Multi-Faktor-Authentifizierung lässt sich einfach mehr Sicherheit erreichen. (© DigiClack - stock.adobe.com)

Um das Blog-System Wordpress sicher zu betreiben, müssen einige Anpassungen nach der Installation vorgenommen werden. Auch im laufenden Betrieb macht es Sinn, regelmäßig die Sicherheitseinstellungen und -Möglichkeiten zu beachten und anzupassen, wenn neue Möglichkeiten zur Verfügung stehen.

Das freie und extrem populäre Weblog-CMS Wordpress ist nicht nur für Privatpersonen die erste Wahl beim Betrieb eines Blogs; auch viele Unternehmen nutzen die freie Software für Firmen-Blogs. Wer einen Wordpress-Blog betreibt, sollten sich aber unbedingt mit dem Thema Sicherheit auseinandersetzen. Wordpress bietet Sicherheitseinstellungen, die im System integriert sind. Zusätzlich gibt es verschiedene Plugins, mit denen sich die Sicherheit von Wordpress deutlich verbessern lässt.

Vor allem nach Neuinstallationen von Wordpress macht es Sinn sich gleich um die Installation von Plugins zu kümmern und die notwendigen Sicherheitseinstellungen zu beachten. Denn dadurch gewöhnen sich die Benutzer von Anfang an mit der erhöhten Sicherheit umzugehen. Aber auch hier gilt höchste Vorsicht. Denn Angreifer nutzen nicht nur Sicherheitslücken in Wordpress, sondern auch Lücken in Plugins. Auch aus diesem Grund sollte man nur Plugins einsetzen, die der Entwickler regelmäßig aktualisiert, und nur so viele Plugins wie nötig.

So wenig wie möglich nutzen

Wordpress und Plugins weisen recht viele Sicherheitslücken auf. Nach diesen kann im Internet problemlos gesucht werden. Die Schwachstellen werden natürlich von Angreifern ausgenutzt. Aus diesem Grund ist es sinnvoll in einer Wordpress-Installation so wenig wie möglich Funktionen in Wordpress zu nutzen, und nicht notwendige Funktionen auszuklammern. Das gilt vor allem für Plugins und Themes. Generell sollte in jeder Wordpress-Installation darauf geachtet werden, die Angriffsfläche so gut wie möglich zu reduzieren.

Möglichst aktuelle Version einsetzen

Generell sollte beim Einsatz von Wordpress möglichst die aktuellste Version eingesetzt werden. Abhängig von den Einstellungen zeigt eine Wordpress-Installation eine Information an, wenn eine neue Funktion zur Verfügung steht. Natürlich muss hier auch darauf geachtet werden, dass die vorhandenen Plugins und Einstellungen der Seite kompatibel mit der neuen Version sind. Dennoch sollten neue Versionen nicht einfach übergangen werden. In vielen Fällen wird die Sicherheit verbessert und oft auch neue Funktionen integriert.

Plugins machen Wordpress angreifbar

Sicherheitslücke in Statistik-Plugin

Plugins machen Wordpress angreifbar

12.07.17 - Eine kritische Schwachstelle im WP Statistics Plugin öffnet Wordpress-Installationen für Angreifer. Betroffen sind zwar vergleichsweise wenige Installationen, allerdings zeigt die Lücke, wie viel Gefahr von Plugins ausgehen kann. lesen

Aktualisierungen sinnvoll planen

Zwar lässt sich eine Aktualisierung von Wordpress über die Weboberfläche durchführen, auch teilweise automatisieren, es ist aber dennoch sinnvoll einen Plan für die Aktualisierungen aufzustellen. Mit dem Plugin „WP Updates Notifier“ erhalten Administratoren eine Information, wenn Updates vorliegen.

In der Konfigurationsdatei „wp-config-php“ lässt sich durch den Eintrag „define( 'WP_AUTO_UPDATE_CORE', true );“ eine automatische Aktualisierung durchführen, dennoch sollten Updates vorher getestet werden. Hier bietet es sich an eine Testumgebung aufzubauen. Außerdem sollten regelmäßige Updates durchgeführt werden. Hier gibt es verschiedene Plugins, die dabei helfen, zum Beispiel „BackUpWordPress“ oder „BackWPup – WordPress Backup Plugin“.

Neben der automatischen Aktualisierung von Wordpress können auch die Plugins automatisch aktualisiert werden. Dazu werden Einstellungen in der Datei „functions.php“ vorgenommen.

Um Plugins zu aktualisieren, wird folgende Zeile verwenden:

add_filter( 'auto_update_plugin', '__return_true' );

Werden Themes eingesetzt, können auch diese automatisch aktualisiert werden:

add_filter( 'auto_update_theme', '__return_true' );

Virenschutz implementieren

Standardmäßig verfügt Wordpress über keinen Virenschutz. Mit Plugins kann aber auch hier nachgearbeitet werden. Mit der Suche in den Plugins lassen sich verschiedene Antiviren-Programme finden und in die eigene Umgebung einbinden. Auch hier macht es Sinn verschiedene Plugins zu testen, um die beste Lösung zu implementieren.

24 Lücken in populären Wordpress-Plugins

Summer of Pwnage findet Schwachstellen in Erweiterungen und Themes

24 Lücken in populären Wordpress-Plugins

01.03.17 - Sicherheitsexperten haben sich populäre Plugins und Themes für Wordpress vorgenommen und diese im Rahmen des Summer of Pwnage auf Schwachstellen abgeklopft. Dabei wurden sie schnell fünding. In 24 Erweiterungen stecken Fehler, einige erlauben sogar den Zugriff auf die Wordpress-Installation. lesen

Rechte korrekt setzen

Wie bei allen Anwendungen und Lösungen in denen Benutzer arbeiten, macht es auch bei Wordpress Sinn darauf zu achten, dass möglichst sichere Kennwörter verwendet werden. Dazu kommen verschiedene Rollen, mit denen genau gesteuert werden kann, welche Rechte ein Benutzer in der Wordpress-Umgebung hat. Generell sollte hier mit möglichst geringen Rechten gearbeitet werden.

Zusätzlich besteht die Möglichkeit mit Plugins das Rechtemodell noch zu erweitern. Members erweitert Wordpress um die Möglichkeit weitere Rollen zu erstellen und Anwendern diesen Rollen zuzuordnen. Neben „Members“ gibt es noch zahlreiche weitere Plugins, mit denen sich die Rechte von Wordpress besser delegieren lassen.

50 Prozent der WordPress-Seiten verwenden unsichere PHP-Versionen

Webseiten-Sicherheit

50 Prozent der WordPress-Seiten verwenden unsichere PHP-Versionen

07.06.17 - Eine Studie des Wordpress Hosting Unternehmen Savvii auf Basis der von WordPress.org zur Verfügung gestellten Daten hat herausgefunden, dass die Hälfte der WordPress-Seiten eine nicht sichere Version von PHP verwendet. lesen

Multifaktor-Authentifizierung nutzen

Vor allem wichtige Benutzerkonten sollten mit Multifaktor-Authentifizierung (MFA) abgesichert werden. Auch das funktioniert am einfachsten über Plugins, wie zum Beispiel „WP Google Authenticator“. Das Plugin lässt sich zum Beispiel zusammen mit „Members“ einsetzen, um festzulegen, dass Benutzerkonten die bestimmte Benutzerrollen einnehmen, MFA nutzen müssen. Um Benutzerkonten abzusichern, sollten auch möglichst keine bekannten Standardnamen verwendet werden. In einer Wordpress-Installation haben die Benutzernamen „admin“ oder „administrator“ nichts zu suchen. Das gilt auch für Benutzer wie „root“.

Sichere Datenübertragung verwenden

Um Daten auf Wordpress-Seiten hochzuladen sollte immer eine sichere Kommunikation verwendet werden sowie Tools bei denen die Sicherheit einigermaßen gegeben ist. Dazu gehört auch die Verwendung des SFTP-Protokolls. Bekannte Tools in diesem Bereich sind WinSCP, Filezilla oder CyberDuck. Die beiden letzteren stehen auch für Linux zur Verfügung.

Aktive automatisierte Angriffe auf WordPress-Webseiten

Unbedingt auf Wordpress 4.7.2 updaten

Aktive automatisierte Angriffe auf WordPress-Webseiten

09.02.17 - Wer WordPress nutzt, sollte seine Installation möglichst schnell aktualisieren. Versionen vor 4.7.2 enthalten eine hoch kritische Sicherheitslücke, die aktiv von automatisierten Angriffswellen ausgenutzt wird. lesen

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 45078369 / Mobile- und Web-Apps)