Sicherheit WordPress

Hacker

Der Albtraum eines jeden Webdesigners. Die Homepage wurde gehackt. Doch was bedeutet das eigentlich? Ein Hacker versucht sich unerlaubt Zugriff auf eine Website zu verschaffen um diese dann für seine eigenen Zwecke zu missbrauchen.

Solche Missbräuche reichen vom einfachen Datenklau bis dahin, dass die betroffene Seite zur Veröffentlichung von illegalen oder unerwünschten Inhalte verwendet werden kann. Dies führt zu sehr unangenehmen Konsequenzen. Wird eine Seite beispielsweise zum Versand von SPAM-Mails missbraucht, ist der Webhosting Anbieter dazu verpflichtet die befallene Seite aus dem Verkehr zu ziehen und offline zu schalten bis sie von dem Schadcode gesäubert wurde.

Wie kann sich ein Hacker Zugriff verschaffen?

Grundsätzlich gibt es zwei Möglichkeiten, wie sich ein Angreifer Zugriff auf eine fremde Seite verschaffen kann.

  1. Der Hacker verschafft sich die erforderlichen Login-Daten. Dies passiert am häufigsten, wenn Standard User Namen wie z.b. „admin“ in Verbindung mit schwachen Passwörtern verwendet werden.
  2. Durch Sicherheitslücken in der Software ist der Hacker in der Lage, unerwünschten Code auf einer Homepage zu platzieren und diesen anschliessend auszuführen.

Arten von Hackerangriffen

Grundsätzlich muss zwischen zwei verschiedenen Hackerarten unterschieden werden. Gezielte Angriffe und ungezielte Angriffe durch sogenannte Bots. Die meisten Angriffe auf WordPress Seiten erfolgen nicht durch gezielte Angriffe in welchen eine Person hintern dem Computer sitzt. Bots greifen Seiten willkürlich an und versuchen die gängigsten Sicherheitslücken auszunutzen um eine Homepage zu hacken. Grundsätzlich kann gesagt werden, dass gezielte Angriffe sehr viel seltener sind, aber auch deutlich schwieriger zu verhindern sind.

Was kann ich dagegen machen?

Vorweg muss gesagt werden, kein System ist zu 100% sicher. Allerdings gibt es einige einfache Massnahmen, welche einen erfolgreichen Angriff stark erschweren. Im Internet finden sich eine Vielzahl von sinnvollen und sinnlosen Sicherheitsmassnahmen. Die aus meiner Sicht wichtigsten sind unten aufgeführt.

Keine Standard Logindaten

Bei der Installation von WordPress sollte der Benutzername unbedingt individuell neu gewählt werden. Standard Benutzername wie „admin“ oder „administrator“ sollten auf jeden Fall vermieden werden. Ein sicheres Passwort umfasst mindestens 8 Zeichen und enthält gross- und kleingeschriebene Buchstaben, Zahlen und Sonderzeichen.

Grundsätzlich kann gesagt werden, dass jede Einstellung, welche vom Standard abweicht, einen Hackerangriff erschwert. Beispielsweise kann hier die Wahl eines vom Standard abweichenden Tabellen Präfix genannt werden.

Nur die nötigen Plugins und Themes installieren

WordPress bietet eine fast unerschöpfliche Anzahl von Plugins für zusätzliche Softwarefunktionen und Themes. Gerade bei den Plugins sollte man sich aber genau überlegen, welche wirklich gebraucht werden. Jede zusätzlich installierte Software bietet auch wieder neue Schwachstellen, welche von Hackern potentiell ausgenutzt werden können. Darum gilt bei der Installation von Plugins und Themes: Weniger ist oft mehr.

Ich empfehle ausserdem, bereits vorinstallierte und nicht verwendete Plugins und Themes nachträglich wieder zu löschen.

Softwareupdates

Eine der absolut wichtigsten Massnahmen um sich vor Hackerangriffen zu schützen ist es, die verwendete Software immer auf dem aktuellen Stand zu halten. Für CMS wie WordPress gibt es in regelmässigen Abständen Sicherheitsrelevante Softwareupdates. Diese sollten immer schnellstmöglich installiert werden um neu auftretende Sicherheitslücken wieder zu schliessen. Dasselbe gilt für installierte Plugins und Themes. Auch hier ist es von Vorteil, wenn nur die nötigen Plugins und Themes installiert wurden. Denn auch deaktivierte Software muss in WordPress stets auf dem neuesten Stand gehalten werden und verursacht dadurch Aufwand.

Meine Seite wurde gehackt. Was nun?

Trotz der Beachtung von allen beschriebenen Sicherheitsmassnahmen ist ein erfolgreicher Angriff nicht ausgeschlossen. Wurde eine Seite erfolgreich gehackt, muss die Seite gesäubert werden. Zuerst werden alle Passwörter und Benutzernamen geändert. Anschliessend muss die Sicherheitslücke gefunden und der Schadcode entfernt werden.

Da dies oftmals nur mit sehr grossem manuellem Aufwand und viel Fachkenntnis möglich ist, ist es von unschätzbarem Wert, wenn man ein aktuelles Backup zur Hand hat. Dieses kann dann im Ernstfall einfach wiederhergestellt werden. Die Homepage ist anschliessend wieder sauber.

All das klingt nach sehr viel Arbeit. Nun, es ist tatsächlich ein relativ grosser Aufwand mit der korrekten und laufenden Betreuung einer Homepage verbunden. Webage bietet diesen Service sehr gerne an. Details zu Preisen und Tätigkeiten finden sich auf webage.ch

2017-09-27T20:24:22+00:00