WordPress Sicherheit: 5 Regeln zum Schutz vor Hackern und Malware

Wurde deine WordPress Webseite gehackt und erscheinen plötzlich Pop-Ups von Casinos auf deiner Webseite? Oder zeigt deine Webseite plötzlich auf eigenartige Webseiten mit Rolex Uhren oder Nike Turnschuhen aus China?

Ja? Wahrscheinlich wurde deine Webseite gehackt.

In diesem Beitrag findest du die wichtigsten Regeln, wie du deine Webseite gegen Hacker und Malware schützen kannst.

Hier noch eine Information aus aktuellem Anlass (Mai 2018): Im Zuge der Datenschutz-Grundverordnung (DSGVO) sind Webseiten Nutzer von gesetzeswegen verpflichtet, die Datensicherheit zu gewährleisten.

Bevor wir richtig einsteigen: Wurde deine Webseite überhaupt kompromittiert / gehackt?

Manchmal ist es nicht ganz einfach zu sagen, ob eine Webseite tatsächlich gehackt wurde oder allenfalls ein anderes Problem besteht. Hier sind ein paar Symptome, welche stark auf einen Hackerangriff hinweisen:

  • Webseite zeigt komische Pop-Ups an
  • Website velinkt auf unbekannte Webseite
  • Google zeigt an, dass deine Seite gehackt wurde

Hier ist ein Tool, mit welchem eine erste Diagnose erstellt werden kann: https://sitecheck.sucuri.net/

Nach diesem kurzen Abstecher nun aber zum eigentlichen Thema…

Die wichtigsten Massnahmen gegen gehackte Websites und Malware im Überblick

1.) Das 1×1 der WordPress Sicherheit (Basics)
2.) Updates, Updates, Updates: Keine Updates zu machen ist fahrlässig!
3.) Hosting: Das raten die Profis (Interview mit Philipp Zeder von Cyon.ch)
4.) Sicherheit beginnt bei dir.
5.) Datensicherung/ Backups – Was tun wenn deine Seite gehackt wurde?
6.) Links und wichtige externe Quellen

 

 

WordPress-Sicherheit-Tipps

 

1.) Das 1×1 der WordPress Sicherheit (Basics)

Bevor wir in die WordPress Details einsteigen sind hier einige allgemeine Sicherheitsaspekte aufgeführt.

Zugriffsbeschränkung:
Wähle die Berechtigungsstufen für jeden Nutzer sorgfältig. Mehrere Admin User erhöhen das Risiko.

Eingrenzung (Containment):
Stell sicher, dass bei einem Schadenfall keine andern System betroffen sind. Grenze die Systeme voneinander ab.

Vorbeugen:
Es gibt keine absolute Sicherheit. Stell sicher, dass du im Fall der Fälle deine System wiederherstellen kannst. Plane die Datensicherung zum vornherein.

Vertrauenswürdige Quelle:
Beziehe keine WordPress Themes von Quellen, die nicht vertrauenswürdig sind. Vertraue erst recht nicht kostenlosen Kopien von kostenpflichtigen Plugins oder Themes. Dies hat bereits zu mehreren Hacks geführt.

2.) Updates, Updates, Updates: Keine Updates zu machen ist fahrlässig!

Magst du dich an die Panama Papers erinnern? Die Panama Papers sind an die Öffentlichkeit geraten, weil das Plugin Rev-Slider nicht upgedated wurde. Dabei ist die betroffene Anwaltskanzlei in bester Gesellschaft. Daten zeigen: Nicht upgedatete Core Software, Applikationen, Plugins sind der Hauptgrund für gehackte Webseiten. 

WordPress Plugins als Sicherheitsrisiko

Daten aus dem 1. Quartal 2016 zeigen, dass drei veraltete Plugins für über 25% aller kompromittierten WordPress Installationen verantwortlich sind. Es ist wichtig, dass die Plugins und WordPress Core regelmässig upgedated werden.

“Über 78% aller Fälle von Malware mit denen wir zu tun haben lassen sich auf nicht upgedatete Core Software, Applikationen, Plugins oder andere Serverseitige Software zurückführen” Blog Sucuri

Die wichtigsten Sofort-Massnahmen für deine Webseite:

  • Wähle die Plugins sorgfältig aus.  Grundsätzlich gilt: Je weniger Plugins umso besser. Wenn du Plugins einsetzt, dann von vertrauenswürdigen Anbietern.
  • Bringen deine Plugins regelmässig auf den neusten Stand.
  • Stell sicher, dass deine WordPress Core Installation regelmässig upgedated wird.

3.) Hosting: Das raten die Profis (Interview mit Philipp Zeder von Cyon.ch)

Ein sicheres Hosting spielt eine wesentliche Rolle bei Ihrer WordPress Security. Wir hosten einen grossen Teil von unseren WordPress Webseiten bei Cyon, weil wir überzeugt von deren Angebot sind. Im Interview gibt uns Philipp Zeder von Cyon Auskunft zum Thema WordPress Sicherheit.

Was gibt es bei der Wahl von eines Hosting Partners / Hosting Angebots hinsichtlich WordPress Sicherheit zu beachten?

Philipp Zeder: “Das Angebot auf diesem Markt ist so gross, da ist es manchmal schwer den Durchblick zu behalten. In Sachen Sicherheit sagen die eingesetzten Versionen (PHP/MySQL/Webserver) viel darüber aus, ob ein Hosting-Anbieter mit der Zeit geht. Ich persönlich würde bei der Wahl des Anbieters auch darauf achten, wie sich die Firma generell präsentiert. Wird das Team vorgestellt? Kann ich den Anbieter auf verschiedenen Kanälen erreichen? Und dann sind da noch die persönlichen Empfehlungen aus der Community oder von Freunden, die oft ein gutes Bild über einen Anbieter abgeben.”

Welche Massnahmen unternimmt Cyon, um die Sicherheits Risiken zu minimieren?

PZ: “Wir prüfen seit Jahren Uploads per FTP und Dateianhänge von E-Mails automatisch auf Schadsoftware. Seit April 2015 können wir nun auch bestehende Sicherheitslücken in Kundeninstallationen erkennen und stopfen die erkannten Löcher automatisch (vgl. https://www.cyon.ch/blog/Schluss-mit-Sicherheitsluecken). Ausserdem schützen wir Kundenwebsites mit einer sogenannte Web-Application-Firewall (WAF) [Anmerkung: ModSecurity ist im Einsatz], die böswillige Seitenaufrufe abblocken und so auch Kunden schützen kann, bei deren Websites sich trotz den anderen Massnahmen Schadcode eingenistet hat.”

Welche Dienstleistungen bietet cyon in Sachen Datensicherung / Datenbackups?

PZ: “Wir stellen unsere Backups, die wir für den Ernstfall erstellen, unseren Kunden auf Anfrage kostenlos zur Verfügung. Wir arbeiten ausserdem an einer Lösung, mit der unsere Kunden diese Backups bequem über unser Control Panel my.cyon per Mausklick zurückspielen können.”

Gibt es zusätzliche Services zur Erhöhung der Sicherheit welche Ihr empfehlen könnt (zum Beispiel Sucuri oder andere)?

PZ: “Wir setzen bereits serverseitig eine WAF ein. Wir können Anbieter wie Sucuri und CloudFlare als zusätzlichen Schutz aber durchaus empfehlen.”

Welches ist die häufigste Ursache von kompromittierten WordPress Webseiten und habt Ihr Daten dazu?

PZ: “Die zwei häufigsten Ursachen sind veraltete WordPress-Versionen und Sicherheitslücken in Plugins.” 

Habt Ihr einen Schutz/technische Vorkehrung gegen Brut Force Attacken im Einsatz?

PZ: “Wir nutzen auf unseren Servern CSF (http://configserver.com/cp/csf.html), das auch einen Login Failure Daemon (lfd) eingebaut hat. In Verbindung mit ModSecurity können wir so auch fehlerhafte WordPress-Logins bzw. Brute-Force-Attacken abfangen.”

Wie handhabt Ihr die Updates der Server Software?

PZ: “Wir fahren ein sehr rigoroses Update-Regime und aktualisieren unsere Server-Software regelmässig. Wir nehmen solche Updates jeweils zu Randzeiten vor, um den Betrieb möglichst wenig zu beeinträchtigen. Wenn es die Sicherheitslage erfordert, nehmen wir auch kurzfristig Updates vor. Sicherheit steht hier für uns an erster Stelle.”

Stichwort https: Wie seht Ihr dem Einsatz von https für WordPress Webseiten?

PZ: “Wir waren der erste europäische Sponsor des Let’s Encrypt-Projekts. Unsere Kunden konnten bereits eine Stunde nachdem Let’s Encrypt offiziell live ging, kostenlose SSL-Zertifikate für ihre Websites ausstellen lassen. Wir finden, sämtlicher Traffic sollte verschlüsselt werden, insofern können wir auch jedem WordPress-Betreiber die Nutzung von HTTPS ans Herz legen. Dank HTTPS sind nicht nur sämtliche Verbindungen verschlüsselt, bei uns werden per HTTPS erreichbare Websites auch automatisch über das moderne HTTP/2-Protokoll ausgeliefert.”

4.) Sicherheit beginnt bei dir.

Bisher haben wir vorallem darüber gesprochen, was andere tun sollten. Hier sind die wichtigsten Punkte, welche du beachten solltest:

  • Stelle sicher, dass dein Computer nicht verseucht ist.
  • Verwende längere und alphanumerische Passwörter. Und noch fast wichtiger: Verwenden für verschiedene Webseiten verschiedene Passwörter! Dazu helfen Passwort-Manager wie Lastpass oder 1Password
  • Tippen Sie keine sensiblen Passwörter ein, wenn du über ein öffentlichen Wifi verbunden bist. Es ist einfach, deine Daten zu lesen.
  • Greife nicht per FTP auf deine Server zu. Nutze sFTP oder SSH.

5.) Datensicherung

Was aber, wenn trotzdem was schief läuft und deine Seite gehackt wird? Stell vorgängig sicher, dass du Zugriff auf ein Backup deiner Daten hast. Dies kann geschehen über

  • Backup beim Hosting Partner
  • WordPress Theme Files in Repository so dass die Version vor dem Hack verfügbar ist

 6.) Links und wichtige externe Quellen

Hier findest du eine Zusammenstellung der wichtigsten Links zum Thema WordPress Sicherheit:

Hardening WordPress auf WordPress.org
Webseite gehackt? Tipps auf WordPress.org
How Attackers Gain Access to WordPress Sites

 

In dem Sinne – wir wünschen eine sichere und ruhige Zeit ohne Hackerangriffe, Malware und sonstigen Internet Security Problemen.

 

[…] die grosse Beliebtheit von WordPress sind diese Webseite ein beliebtes Ziel von Hackern. Für die Sicherheit Ihrer WordPress Webseite empfiehlt es sich deshalb, die Webseiten immer auch dem aktuellsten Stand zu halten. Seit mehreren […]

Keine Kommentare

Ungültiger Name
Ungültige E-Mail Adresse
Ungültige Website
Ungültige Nachricht