WordPress Sicherheit
In diesem Post finden sie die wichtigsten Informationen rund um das Thema WordPress Sicherheit und die Antwort auf diese Frage:
Wie werden WordPress Webseiten gehackt und was können Sie dagegen unternehmen?
WordPress ist das populärste Content Management System überhaupt. 59.4% aller Webseiten mit einem CMS laufen auf WordPress. Leider zieht diese Popularität auch schwarze Schafe an. Betreiber einer Enterprise Grade WordPress Webseite sollten das Thema Sicherheit deshalb ernst nehmen.
Die einzelnen Themen im Überblick
1.) Allgemeine Aspekte zur Sicherheit
2.) Updates, Updates, Updates: Applikations-Sicherheit Ihrer Webseite
3.) Hosting und Webserver: Interview mit Philipp Zeder von Cyon
4.) Sicherheit beginnt bei Ihnen
5.) Datensicherung/ Backups – Was tun wenn Ihre Seite gehackt wurde?
6.) Links und wichtige externe Quellen
1.) Allgemeine Aspekte zur Sicherheit
Bevor wir in die WordPress Details einsteigen sind hier einige allgemeine Sicherheitsaspekte aufgeführt.
Zugriffsbeschränkung:
Wählen Sie die Berechtigungsstufen für jeden Nutzer sorgfältig. Mehrere Admin User erhöhen das Risiko.
Eingrenzung (Containment):
Stellen Sie sicher, dass bei einem Schadenfall keine andern System betroffen sind. Grenzen Sie die Systeme voneinander ab.
Vorbeugen:
Es gibt keine absolute Sicherheit. Stellen Sie sicher, dass Sie im Fall der Fälle Ihr System wiederherstellen können. Planen Sie die Datensicherung zum vornherein.
Vertrauenswürdige Quelle:
Beziehen Sie keine WordPress Themes von Quellen, die nicht vertrauenswürdig sind. Vertrauen Sie erst recht nicht kostenlosen Kopien von kostenpflichtigen Plugins oder Themes. Dies hat bereits zu mehreren Hacks geführt.
2.) Nicht gemachte Updates sind der Hauptgrund für Schadensfälle.
Mögen Sie sich an die Panama Papers erinnern? Die Panama Papers sind an die Öffentlichkeit geraten, weil das Plugin Rev-Slider nicht upgedated wurde. Dabei ist die betroffene Anwaltskanzlei in bester Gesellschaft.
Daten aus dem 1. Quartal 2016 zeigen, dass drei veraltete Plugins für über 25% aller kompromittierten WordPress Installationen verantwortlich sind. Es ist wichtig, dass die Plugins und WordPress Core regelmässig upgedated werden.
„Über 78% aller Fälle von Malware mit denen wir zu tun haben lassen sich auf nicht upgedatete Core Software, Applikationen, Plugins oder andere Serverseitige Software zurückführen“ Blog Sucuri
Die wichtigsten Massnahmen für Sie:
- Wählen Sie Plugins sorgfältig aus. Grundsätzlich gilt: Je weniger Plugins umso besser. Wenn Sie Plugins einsetzen, dann wählen Sie Plugins von vertrauenswürdigen Anbietern.
- Bringen Sie Ihre Plugins regelmässig auf den neusten Stand.
- Stellen Sie sicher, dass Ihre WordPress Core Installation regelmässig upgedated ist.
3.) Hosting und Webserver: Ein wichtiger Teil Ihrer WordPress Security
Ein sicheres Hosting spielt eine wesentliche Rolle bei Ihrer WordPress Security. Wir hosten einen grossen Teil von unseren WordPress Webseiten bei Cyon, weil wir überzeugt von deren Angebot sind. Im Interview gibt uns Philipp Zeder von Cyon Auskunft zum Thema WordPress Sicherheit.
Was gibt es bei der Wahl von eines Hosting Partners / Hosting Angebots hinsichtlich WordPress Sicherheit zu beachten?
Philipp Zeder: „Das Angebot auf diesem Markt ist so gross, da ist es manchmal schwer den Durchblick zu behalten. In Sachen Sicherheit sagen die eingesetzten Versionen (PHP/MySQL/Webserver) viel darüber aus, ob ein Hosting-Anbieter mit der Zeit geht. Ich persönlich würde bei der Wahl des Anbieters auch darauf achten, wie sich die Firma generell präsentiert. Wird das Team vorgestellt? Kann ich den Anbieter auf verschiedenen Kanälen erreichen? Und dann sind da noch die persönlichen Empfehlungen aus der Community oder von Freunden, die oft ein gutes Bild über einen Anbieter abgeben.“
Welche Massnahmen unternimmt Cyon, um die Sicherheits Risiken zu minimieren?
PZ: „Wir prüfen seit Jahren Uploads per FTP und Dateianhänge von E-Mails automatisch auf Schadsoftware. Seit April 2015 können wir nun auch bestehende Sicherheitslücken in Kundeninstallationen erkennen und stopfen die erkannten Löcher automatisch (vgl. https://www.cyon.ch/blog/Schluss-mit-Sicherheitsluecken). Ausserdem schützen wir Kundenwebsites mit einer sogenannte Web-Application-Firewall (WAF) [Anmerkung: ModSecurity ist im Einsatz], die böswillige Seitenaufrufe abblocken und so auch Kunden schützen kann, bei deren Websites sich trotz den anderen Massnahmen Schadcode eingenistet hat.“
Welche Dienstleistungen bietet cyon in Sachen Datensicherung / Datenbackups?
PZ: „Wir stellen unsere Backups, die wir für den Ernstfall erstellen, unseren Kunden auf Anfrage kostenlos zur Verfügung. Wir arbeiten ausserdem an einer Lösung, mit der unsere Kunden diese Backups bequem über unser Control Panel my.cyon per Mausklick zurückspielen können.“
Gibt es zusätzliche Services zur Erhöhung der Sicherheit welche Ihr empfehlen könnt (zum Beispiel Sucuri oder andere)?
PZ: „Wir setzen bereits serverseitig eine WAF ein. Wir können Anbieter wie Sucuri und CloudFlare als zusätzlichen Schutz aber durchaus empfehlen.“
Welches ist die häufigste Ursache von kompromittierten WordPress Webseiten und habt Ihr Daten dazu?
PZ: „Die zwei häufigsten Ursachen sind veraltete WordPress-Versionen und Sicherheitslücken in Plugins.“
Habt Ihr einen Schutz/technische Vorkehrung gegen Brut Force Attacken im Einsatz?
PZ: „Wir nutzen auf unseren Servern CSF (http://configserver.com/cp/csf.html), das auch einen Login Failure Daemon (lfd) eingebaut hat. In Verbindung mit ModSecurity können wir so auch fehlerhafte WordPress-Logins bzw. Brute-Force-Attacken abfangen.“
PZ: „Wir fahren ein sehr rigoroses Update-Regime und aktualisieren unsere Server-Software regelmässig. Wir nehmen solche Updates jeweils zu Randzeiten vor, um den Betrieb möglichst wenig zu beeinträchtigen. Wenn es die Sicherheitslage erfordert, nehmen wir auch kurzfristig Updates vor. Sicherheit steht hier für uns an erster Stelle.“
Stichwort https: Wie seht Ihr dem Einsatz von https für WordPress Webseiten?
PZ: „Wir waren der erste europäische Sponsor des Let’s Encrypt-Projekts. Unsere Kunden konnten bereits eine Stunde nachdem Let’s Encrypt offiziell live ging, kostenlose SSL-Zertifikate für ihre Websites ausstellen lassen. Wir finden, sämtlicher Traffic sollte verschlüsselt werden, insofern können wir auch jedem WordPress-Betreiber die Nutzung von HTTPS ans Herz legen. Dank HTTPS sind nicht nur sämtliche Verbindungen verschlüsselt, bei uns werden per HTTPS erreichbare Websites auch automatisch über das moderne HTTP/2-Protokoll ausgeliefert.“
4.) Sicherheit beginnt bei Ihnen
Bisher haben wir vorallem darüber gesprochen, was andere tun sollten. Hier sind die wichtigsten Punkte, welche Sie beachten sollten:
- Stellen Sie sicher, dass Ihr Computer nicht verseucht ist. Verwenden Sie Software wie zum Beispiel BitDefender.
- Verwenden Sie längere und alphanumerische Passwörter. Und noch fast wichtiger: Verwenden Sie für verschiedene Webseiten verschiedene Passwörter! Nutzen Sie dazu Passwort-Manager wie Lastpass oder 1Password
- Tippen Sie keine sensiblen Passwörter ein, wenn Sie über ein öffentlichen Wifi verbunden sind. Es ist einfach, Ihre Daten zu lesen.
- Greifen Sie nicht per FTP auf Ihren Server zu. Nutzen Sie sFTP oder SSH.
5.) Datensicherung
Was aber, wenn trotzdem was schief läuft und Ihre Seite gehackt wird? Stellen Sie vorgängig sicher, dass Sie Zugriff auf ein Backup Ihrer Daten haben. Dies kann geschehen über
- Backup beim Hosting Partner
- WordPress Theme Files in Repository so dass die Version vor dem Hack verfügbar ist
Fehlt ein Dokument oder haben Sie Kommentare zum Artikel oder WordPress Sicherheit? Wir freuen uns, von Ihnen zu hören.