WordPress Sicherheit

Heute steht ein ganz wichtiges Thema auf meiner Agenda und zwar die WordPress Sicherheit. Ich weiss das viele Nutzer da draußen es mit der Sicherheit nicht so genau nehmen, das fängt ja schon mit dem installieren der WordPress Updates an und hört bei sicheren Passwörter wieder auf.

Für alle die es mit der Sicherheit nicht so genau nehmen habe ich hier mal einen Auszug des WordPress Plugins Limit Login Attempts für euch, alle Daten sind aus diesem Monat!

Warum ist WordPress Sicherheit so wichtig?

31.Juli.2012:
3 failed login attempts (1 lockout(s)) from IP: 91.224.XXX.XXX
Last user attempted: admin

24.Juli.2012:
3 failed login attempts (1 lockout(s)) from IP: 176.33.XXX.XXX
Last user attempted: admin

15.Juli.2012:
failed login attempts (1 lockout(s)) from IP: 31.185.XXX.XXX
Last user attempted: admin

13.Juli.2012:
3 failed login attempts (1 lockout(s)) from IP: 31.185.XXX.XXX
Last user attempted: administrator

09.Juli.2012:
3 failed login attempts (1 lockout(s)) from IP: 212.253.XXX.XXX
Last user attempted: admin

05.Juli.2012:
3 failed login attempts (1 lockout(s)) from IP: 176.33.XXX.XXX
Last user attempted: admin

02.Juli.2012:
3 failed login attempts (1 lockout(s)) from IP: 184.22.XXX.XXX
Last user attempted: admin

Wie ihr seht versuchten sich irgendwelche Bots/Menschen fast den gesamten vergangenen Monat in meine WordPress Installation zu „hacken“.
WordPress Sicherheit
Über den Sinn und Zweck lässt sich natürlich nur spekulieren, aber wenn man sieht wie aggressiv heute „Drive-by Malware“ verteilt wird, oder aber auch Backlinks durch massiven Spam generiert werden, kann so gut wie jeder Blog ein Ziel solcher „Angriffe“ werden, völlig unabhängig von Besucher- und Zugriffszahlen. Ihr solltet also die Sicherheit auf keinen Fall auf die leichte Schulter nehmen.
Damit kommen wir auch schon direkt zum nächsten Punkt…

Wie erhöht man die WordPress Sicherheit?

Updates

Sorgt dafür das eure WordPress Installation immer up to date ist. Natürlich sind nicht alle WordPress Updates Sicherheits-Updates, aber dies liest sich aus den meisten Updates Notes auch nicht wirklich raus. Also einfach in den sauren Apfel beissen und immer auf dem neusten Stand der Technik bleiben.

Plugins

Zum einen gibt es gute Plugins wie das oben genannte Limit Logins Attempts um die Sicherheit in WordPress zu erhöhen, zum anderen hilft auch der gesunde Menschenverstand weiter, nämlich dann wenn es, wie im folgenden Punkt, um Benutzer und Passwörter geht.

Benutzerrechte

Das Passwort für euren Administrator Account sollte so viele verschiedenen Zeichen wie möglich enthalten, mindestens 20, würde ich empfehlen. Des weiteren seht ihr am oben gezeigten Auszug, dass der Benutzername „Admin“ sehr gefragt ist bei Attacken auf eine WordPress Installation.
Legt also am besten einen Admin Account an der einen sehr kryptischen Namen hat, nicht leicht zu erraten, der Account mit dem ihr Artikel postet sollte so wenig Rechte haben wie nötig.

Dateirechte

Für die Sicherheit eures WordPress Blogs gibt es nichts schlimmeres als schlecht gesetzte Dateirechte auf eurem Server. Ohne zu weit auszuholen, Dateirechte werden für Dateien und Ordnerstrukturen festgelegt und regeln die Zugriffsrechte auf diese Objekte. (Wer mehr zu diesem wichtigen Thema lesen möchte, hier der Wikipedia Eintrag).
Kontrolliert Dateien und Ordner ob wirklich so großzügige Rechte vorhanden sein müssen. 777 zum Beispiel sollte sehr rar und mit viel Vorsicht verteilt werden.

In der .htaccess solltet ihr weiterhin den Zugriff auf wichtige Dateien explizit verbieten dies geht mit folgendem Code:


<Files DateiName.Endung>
order allow,deny
deny from all
</Files>

Weiteres

Legt regelmäßig Backups von eurer Installation an, wie dies sehr einfach geht, erfahrt ihr in diesem Artikel zu WordPress Updates. Sollte euch mal etwas unregelmäßig vorkommen, so könnt ihr eurer aktuelle WordPress Installation mit einer alten vergleichen. Die schädlichen Dateien sind nicht immer einfach auf den ersten Blick zu erkennen, habt ihr allerdings ein Backup, was „sauber“ ist, könnt ihr sofort neue Dateien die dort nicht hingehören erkennen.
Natürlich könnt ihr nach einem Angriff mit einem Backup den Status Quo wiederherstellen ohne groß auf Malware-Jagd zu gehen.
Ebenfalls solltet ihr auch ein Auge auf weitere Passwörter haben die mit eurem Blog in Verbindung stehen. Sichere Passwörter und Programme für die FTP Verbindungen, sichere und einmalige Passwörter bei eurem E-Mail Provider und natürlich auch sichere Passwörter bei eurem Hoster.

Fazit

Wie ihr seht ist die WordPress Sicherheit nicht nur ein Problem von viel gelesenen und großen Blogs. Die Sicherheit einer WordPress Installation muss vom ersten Tag an auch bei kleinen und neuen Blogs passen. Es gibt nichts schlimmeres für die Besucherentwicklung eines neuen Blogs, wenn der Leser beim Besuch eures Blogs ein Warnung auf Malware bekommt, wenn eurer Kommentare zugespammt sind mit dubiosen Links oder wenn sogar ganze Spamartikel auftauchen.

Hundert prozentige Sicherheit gibt es im Netz natürlich nie, aber ihr solltet euren Blog so gut wie es eben geht gegen Angriffe und Manipulationen absichern.
In eurem Interesse und vor allem auch in dem Interesse eurer Leser.

Bewerte diesen Artikel:
1 Stern2 Stern3 Stern4 Stern5 Stern (Keine Bewertungen bis jetzt :( )
Loading...

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

This Blog will give regular Commentators DoFollow Status. Implemented from IT Blögg

Post Navigation