Grundschutz für WordPress

WordPress ist als Content Management System mit 25% unangefochtener Marktführer. Gerade bei kleineren Unternehmen wird dieses CMS aufgrund seiner Bekanntheit gern eingesetzt. Viele Dienstleister setzen ebenfalls auf dieses System, oft ist den Auftraggebern gar nicht mal so klar welches System eingesetzt wird und dieses entsprechend auch abzusichern ist. Ist ja „nur“ die Webseite, was kann mir da schon passieren.

Auch eine einfache Webseite, die nur als bloße Unternehmensrepräsentanz im Web steht, kann von einem Angreifer schnell zu bösartigen Zwecken genutzt werden. Die meisten davon sind unsichtbar und richten sich nicht einmal gegen Ihr Unternehmen selbst, sondern nutzen es nur als Plattform für Angriffe auf die Nutzer, also Ihre Kunden.

Mit Zugang zur Webseite können zum Beispiel unsichtbare Links im Inhalt platziert werden, die Besucher bei Besuch der Seite mit Malware infizieren oder pornographische Inhalte anzeigen. Formulare können genutzt werden um Spam zu versenden oder  wiederum Trojaner mit der Adresse Ihres Unternehmens als Absender. Außerdem ist es mehr als ärgerlich, wenn die mühsam aufgebaute Webseite durch einen Angriff zerstört wird und kein Backup vorhanden ist.

WordPress kann alles und noch viel mehr. Dementsprechend komplex ist das System auch und bietet entsprechende Angriffspunkte. Sie als Betreiber sollten die Webseite dementsprechend auch gegen Angriffe schützen. Wird die Webseite durch einen Dienstleister betrieben ist eine Auftragskontrolle unerlässlich.

Grundschutz

Ein paar wenige Maßnahmen reichen schon um einen gewissen Grundschutz bei der eigenen Seite herzustellen. Mit den folgenden Maßnahmen ist die Seite zumindest gegen die grundlegenden Bedrohungen geschützt.

Backups

Backups bilden die Grundlage der Absicherung, hier kann ein Plugin wie BackWPup helfen. Die freie Variante reicht für eine Basisabsicherung aus. Da eine Infektion nicht immer direkt erkannt wird, ist es sinnvoll mehrere Backups verteilt zu speichern.

Hier hilft die 3-2-1-Regel, von jedem Datenbestand sollten mindestens drei Kopien auf zwei verschiedenen Medien und eine davon extern gespeichert werden. Die Sicherung sollte dann täglich erfolgen und mindestens 10 Tage zurück reichen. Außerdem ist es sinnvoll ein wöchentliches Backup der letzten 10 Wochen aufzuheben.

Einmal aller 6 Monate sollte ein Wiederherstellungstest durchgeführt werden um sicherzugehen, das dass Backup auch wirklich funktioniert.

Updates

Eine weitere wichtige Komponente sind regelmäßige Updates. Die Kernkomponenten werden mittlerweile automatisch aktualisiert, bei den Plugins und Themes ist dies noch manuell durchzuführen. Dies sollte aber mindestens einmal wöchentlich geschehen. Bekannte Fehler und Verwundbarkeiten werden in der WordPress-Verwundbarkeitsdatenbank geführt, tauchen sie dort auf sind die Fehler auch allen Angreifern bekannt und werden dementsprechend häufig ausgenutzt.

Gerade im Bereich der Plugins ist Aktualität entscheidend, oft basieren Plugins wiederum auf Komponenten von Dritten und haben direkten Zugriff auf die Kernfunktionen. Plugins die nicht mehr aktualisiert werden sollten, auch wenn sie noch funktionieren, durch aktuellere ersetzt werden.

Firewall für WordPress

Als  dritte Komponente sollte grundsätzlich eine Web-Application-Firewall installiert werden. Diese überwacht die Zugriffe auf die Webseite und blockt potentielle Angreifer wenn bestimmte Muster erkannt werden. In diesem Bereich hat sich Wordfence etabliert auch, wenn es noch nicht auf Deutsch verfügbar ist.

Wordfence bietet mehrere Funktionen um die Webseite gegen Angriffe abzusichern. Der Administrator wird zum Beispiel über veraltete Plugins benachrichtigt, Änderungen an den WordPress-Dateien werden erkannt, beim Login von Benutzern  mit administrativen Rechten wird per Mail benachrichtigt usw. Außerdem werden IP-Adressen bei zu vielen Login-Versuchen oder Scan-Versuchen gesperrt.

Mit der Installation von Wordfence wird auch das Problem der Updates automatisiert und der Seitenbetreiber wird zumindest auf die Entfernung von Plugins aus dem WordPress-Verzeichnis hingewiesen.

Die anfängliche Konfiguration ist nicht trivial, aber mit einer laufenden Installation hat man einen guten Überblick über die Angriffe auf die eigene Seite und wird über potentielle Gefahren schnell informiert.

Weitere Maßnahmen

Neben den ausführlich erklärten Maßnahmen gibt es noch natürlich noch viele weitere Best-Practices um eine WordPress-Instanz abzusichern. Dazu gehören unter anderem:

  • das Standard-Admin-Konto deaktivieren und durch ein eigenes ersetzen
  • Sichere Passwörter verwenden (kann man nicht oft genug sagen)
  • Getrennte Accounts für die Beiträge und die Administration verwenden
  • Rechte der Benutzer auf das mindestmögliche Maß beschränken (Erweiterte Benutzerverwaltung mit Members)
  • 2-Faktor-Authentifizierung nutzen (Plugin)

Darüber hinaus gibt es natürlich noch viele weitere Möglichkeiten, einige davon werden wir in weiteren Artikeln gesondert vorstellen.

Möchten Sie ihre Webseite auf Verwundbarkeiten und Fehler überprüfen lassen kontaktieren Sie uns unter 04292 5625 6840  oder über unser Kontaktformular  

Stefan Lorenz ist der Geschäftsführer der OSYSCON GmbH und seit mehr als 5 Jahren im IT-Sicherheitsumfeld und dem IT-Service tätig.

Schreiben Sie einen Kommentar

Durch die weitere Nutzung der Seite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen

Die Cookie-Einstellungen auf dieser Website sind auf "Cookies zulassen" eingestellt, um Ihnen das beste Surferlebnis zu ermöglichen. Wenn Sie diese Website ohne Änderung Ihrer Cookie-Einstellungen verwenden oder auf "Akzeptieren" klicken, erklären Sie sich damit einverstanden.

Schließen