Ein sicheres WordPress zu betreiben, ist kein Hexenwerk. Aber es ist ein permanenter Prozess, an dem Sie dranbleiben müssen. Denn was das Content Management System so beliebt macht, ist zugleich auch ein Schwachpunkt: die Plugins. Diese vielen nützlichen Funktionserweiterungen, welche meistens sehr einfach zu installieren und einzurichten sind, müssen aktuell gehalten werden. Wie das jüngste Beispiel „WP GDPR Compliance“, einem Tool zur erleichterten Umsetzung der DSGVO zeigt, nutzen Hacker besonders beliebte Plugins als Angriffsziel, gerne auch, wenn sie das Thema Sicherheit betreffen. Aber, und das ist die gute Nachricht, Sie können es diesen Übeltätern schwer machen. Dazu müssen Sie nur ein paar Regeln einhalten.
Was war passiert?
Es ist richtig hinterhältig, aber so sind Hacker nun mal: Sie lauern auf jede Schwachstelle. Da kann es schon mal passieren, dass ein gut gemeintes Plugin wie WP GDPR Compliance bösartigen Aktivitäten Tür und Tor öffnet. Dieses Werkzeug sollte den Website-Entwicklern und Betreibern die Umsetzung und Einhaltung der neuen DSGVO-Regeln erleichtern. Stattdessen nutzten die Hacker eine Lücke, um über dieses Plugin auf die WordPress-Installation zuzugreifen und beliebige Änderungen im Backend und sogar auf Server-Ebene vorzunehmen.
Glücklicher Weise reagierte die WordPress Entwickler Community sehr schnell und verantwortungsbewusst. Dadurch gab es schnelle Abhilfe. Die Programmierer des Plugins stellten innerhalb kürzester Zeit ein Update bereit. Auch Hilfestellungen für kompromittierte Installationen sind inzwischen überall zu finden. Die Sache wurde also nicht unter den Tisch gekehrt, wie wir es von großen Anbietern proprietärer Softwares kennen, sondern offensiv angegangen. Der Open Source Gedanke funktioniert. Und das ist eine gute Nachricht.
Was lernen wir daraus?
Es wäre also voreilig, das CMS WordPress zu verteufeln. Vielmehr sollten wir uns damit beschäftigen WordPress sicherer zu machen. Und da können Sie als Anwender schon einiges erreichen, wenn Sie ein paar Grundregeln beachten.
Der Umgang mit Plugins – Regel Nr. 1: Weniger ist mehr!
Verzichten Sie auf Plugins, die Sie nicht unbedingt benötigen. Löschen Sie alle Funktionserweiterungen, die inaktiv sind. Überprüfen Sie regelmäßig, welche Sie tatsächlich brauchen und welche quasi Ballast aus irgendwelchen Testphasen oder aus früheren Relaunches Ihrer Websites liegengeblieben sind. Aber sorgen Sie dafür, dass diese überflüssigen WordPress Plugins richtig vom Server entfernt werden. Wenn Sie sich nicht sicher sind, beauftragen Sie Ihren Serviceanbieter, für die endgültige Löschung zu sorgen.
Regel Nr. 2: Unverzichtbare Plugins für mehr Sicherheit
Wordfence Security
Dieses Plugin ist eine speziell für WordPress entwickelte Firewall und gleichzeitig ein Malware Scanner. Es bietet einen zusätzlichen Schutz vor bekannten Angriffsszenarien und verstärkt die Arbeit der (hoffentlich vorhandenen!) Netzwerk-Firewall. Die vollständige und richtige Einrichtung dieser Software ist zwar nicht einfach, am besten lassen Sie das Ihren Serviceanbieter machen, aber der Aufwand lohnt sich.
Sicheres WordPress Login
Das Standard WordPress Login ist eine beliebte Einflugsschneise. Zwar werden die Zugangsdaten der Backend-User verschlüsselt hinterlegt, aber besser ist es, wenn Sie hier eine zusätzliche Sicherheitsstufe einführen. Dazu gibt es eine Vielzahl von Plugins, zum Beispiel „Limit Login Attempts Reloaded„, welches unter anderem die Anzahl der Login-Versuche begrenzt und viele andere zusätzliche Sicherheitsmaßnahmen frei definieren lässt. Auch ein Login-Plugin mit zusätzlicher Captcha-Funktion kann sinnvoll sein. Aber achten Sie darauf, dass sich die verschiedenen Sicherheitstools sowohl mit Ihrer WordPress-Instanz im allgemeinen und mit Ihren anderen Plugins im besonderen vertragen. Auch hierzu lassen Sie sich am besten von Ihrem Dienstleister beraten.
Regel Nr. 3: Regelmäßiges echtes Backup
Die ersten Plugins, dass Sie wegwerfen können, sind die integrierten Backup-Plugins. Denn wenn Hacker oder Systemfehler Ihre WordPress Instanz korrumpiert haben, dann ist auch dieses Backup betroffen. Das heisst: Es nützt Ihnen in Sachen „sicheres WordPress“ wenig bis gar nicht. Besser ist es deshalb, echte Datensicherungen auf Serverebene einzusetzen. Kunden der BB-ONE.net profitieren zum Beispiel vom Standard ActiveBackup, welches eine 1:1-Livekopie der Website vorhält. Manche Kunden beauftragen sogar mehrere Generationen. Wenn Sie bei Störungen schnell reagieren, können Sie auf eine saubere Version Ihrer WebSite umschwenken. Je nach Backup System geht das sofort oder Sie warten das Recovery ab. In jedem Fall können Sie so den Schaden eingrenzen.
Regel Nr. 4: suPHP verwenden
suPHP ist eigentlich ein alter Hut, wenn es um den sicheren Betrieb von PHP- und MySQL-Anwendungen auf Servern geht. Denn nichts anderes sind Content Management Systeme wie WordPress. Und deshalb gehört diese ausgereifte Technologie für ein sicheres WordPress bei der BB-ONE.net auch zum Standard. suPHP verwendet einen eigenen Benutzer mit serverseitig eingeschränkten Rechten. Dazu wird ein eigener „Owner“ mit abweichenden separaten Zugangsdaten festgelegt, dem das Dateisystem „gehört“, in dem WordPress betrieben wird. Das heisst, Hacker haben es schwerer, die WordPress-Datenbank zu manipulieren.
Regel Nr. 5: regelmäßige Updates
Hacker lieben ungepflegte Softwarestände wie alte WordPress-Instanzen mit noch älteren Plugins. Auch die Kombination aus neuem WordPress und alten Plugins oder umgekehrt lassen Hackerherzen höher schlagen. Darüber hinaus riskieren sie die Betriebssicherheit jedes Webservers, wenn Sie nicht regelmäßig Updates einpflegen. Sicherlich ist bei WordPress besonders lästig, Update-technisch dran zu bleiben, weil so viele einzelne Softwares gepflegt werden müssen. Aber noch schlimmer ist es sicherlich, wenn Ihre WebSite nicht mehr richtig oder gar nicht arbeitet. Deshalb sollten Sie sofort, regulär aber mindestens einmal im Monat aktiv werden.