WordPress noch sicherer in wenigen Klicks

WordPress ist aufgrund der hohen Anzahl der Blogger auf der ganzen Welt zu einem der beliebtesten Tools und somit auch zum Angriffsziel von Hackern geworden.

WordPress ist aufgrund der hohen Anzahl der Blogger auf der ganzen Welt zu einem der beliebtesten Tools und somit auch zum Angriffsziel von Hackern geworden. Viele Nutzer mit verschiedenen Daten und Angriffspunkten, welche sich durch Lücken in einer Plattform ergeben, sorgen für eine große Ausbeute der Hacker. Betroffen sind alle Plattformen, seien es Betriebssysteme, Wirtschaftssysteme oder auch WordPress. Dabei ist zu klären, welche Fehler bei WordPress bekannt sind, wie sicher das Tool nach den aktuellen Updates ist und wie sich die privaten Seiten gut schützen lassen.

Wie sicher ist WordPress?

Der Aufschrei am Ende des Jahres 2014 war groß. Alle WordPress Seiten sind unsicher, so wurde es in den Medien bekannt. Der Fokus der Attacken lag auf einem Cookie, welches für die Kommentarfunktion genutzt wurde und allen Applications sowie Themes, welche auf Java basieren. Das Problem mit Sicherheitslücken in allen Gebieten, bei denen Java zum Einsatz kommt, ist hingehend bekannt. Auch Cookies agieren mit dem Skript.

Die Entwickler von WordPress wissen, wie wichtig den Bloggern und allen, die das Datenmanagement Tool nutzen, die Sicherheit der Daten ist. Besonders verheerend war dadurch auch, dass nicht nur ein Angriff auf den Kern der Seite, sondern auch auf die Server möglich wurde. Man reagierte mit einem Update, welches die Lücken schließen und die Plattform wieder sicher gestalten sollte.

Maßnahmen, die mit dem Update ergriffen wurden, beinhalteten unter anderem das Beheben von 3 Fehlern im XXS (CrossSiteScripting), durch die Kommentatoren und Autoren Zugriff auf die Adminrechte der Seite erlangen konnten. Die Passwortsicherheit und automatische Vergabe von Passwörtern wurde erneuert und potentielle Sicherheitslücken dadurch geschlossen. Auch ein erweiterter Schutz vor falschen HTTP-Server-Anfragen wurde eingebunden. Das Tool gilt somit wieder als sicher.

WordPress sicher machen
Es gibt einfache Maßnahmen, um die eigene Nutzung und die Administration einer WordPress Seite sicherer zu machen (eine Liste wurde auch von Netzsieger.de erstellt). Ansatzpunkte dazu gibt es einige. Die Maßnahmen sind unkompliziert, so dass auch Neueinsteiger ein Leichtes Spiel für mehr Sicherheit haben. Hier zunächst eine Liste mit weiteren Plugins für ein sicheres Management der Daten:

-WPScan Vulnerability Database und Plugin WSD Security
Das Plugin gibt eine Übersicht zu den Einstellungen von Themes und auch den Einstellungen des Tools. Die Eigenschaften können mit den optimalen Eigenschaften und bekannten Sicherheitslücken der Database verglichen und angeglichen werden. Somit lässt sich die eigene Version einfach auf die Sicherheit der Einstellungen prüfen.

– Das Plug-in mit dem Namen Limit Login Attempts begrenzt die Anzahl der Login Versuche und sichert so gegen Brute-Force-Attacken. Der Administrator der Seite wird informiert.

– Das AskApache Password Protect Plugin liefert Extra-Passwortschutz, der sich lohnt.

– Mit Secure WordPress werden unter anderem Fehlerinformationen auf der Loginseite entfernt, eine index.html zu der Plugin Directory hinzugefügt, die WordPress Version wird verborgen.

– Snitch – Network monitor for WordPress – liefert eine bessere Kontrolle über den Traffic nach draußen.

Neben dem Aufrüsten mit Updates und PlugIns, gibt es noch weitere Maßnahmen für mehr Sicherheit. Eines davon, ist ein regelmäßiges Backup um den Datenstand zu sichern. Dabei sollte geprüft werden, ob ein Restore mit dem erstellten Backup möglich ist. Auch der Login-Name muss vom Standartnamen geändert werden.

Sicher auf eigene Verantwortung
Wer mit sensiblen Daten umgeht, muss sich entsprechend selbst um die Sicherheit kümmern, Tipps und Hinweise wie diese bieten nur ein Überblickswissen, über mögliche Maßnahmen. Sicherheit ist meist nur von kurzer Dauer, denn Hacker und Kriminelle finden immer wieder neue Wege, die bestehenden Systeme zu umgehen. Die einzige Möglichkeit im Wettrüsten aktuell zu bleiben ist es, regelmäßig nach Updates zu suchen und sich Selbstständig auf dem aktuellen Stand zu halten.

Ein guter Leitfaden wird von WordPress Deutschland selbst geliefert und lässt zunächst keine Fragen offen: http://faq.wpde.org/wordpress-sicherer-machen/

Artikel von Timm HendrichTimm Hendrich  ist Experte der Redaktion von Netzsieger.de, ein Vergleichsportal mit kostenlosen Produkttests.

Timm Hendrich lebt seit 2003 in Berlin. Seit 2013 betreut er den Redaktionellen Inhalt des Vergleichsportal Netzsieger und verfasst auch selbst Beiträge zum Thema Internet-Sicherheit und Virenschutz.