AUS DEM WEB, Veranstaltungen

WordPress: einfach sicher

25. Februar 2014

Einleitung

In Summe aller bisherigen Versionen basieren im Jahr 2012 ca. 16% aller Websites im Internet auf WordPress, das sind geschätzt 58 Millionen Webauftritte. Kein anderes Content-Management-System schafft eine solch hohe Marktdurchdringung.

Aufgrund der globalen Verbreitung und der weitverbreiteten Unwissenheit in Sicherheitsdingen ist WordPress ein leichtes und beliebtes Ziel für Hackerangriffe.

Diese Hackerangriffe können darin bestehen DDoS-Angriffe vorzubereiten, von dem Blog aus Schad- und Phirsingsoftware zu verbreiten oder schlicht um den Blog zu zerstören.

Sicherheit ?

Ich möchte keine trügerische Sicherheit verbreiten: so etwas wie Sicherheit gibt es in der IT nicht.

Ein System zu knacken ist in der Regel immer eine Frage der Resourcen Zeit und Wissen. Deshalb sollte man es den potentiellen Eindringlingen mit den folgenden Maßnahmen so schwer wie möglich machen mit Default- Methoden Euren Blog zu kappern!

Sicherheit in der Praxis

  1. 18% der WordPress- Blogs verwenden die aktuelle Version.
  • Die aktuelle Version verwenden.

 

  • Nur jeder 5. Angriff erfolgt direkt über die Schwachstellen (Adminpanell) von WordPress. 80 % dieser Angriffe nutzten infizierte Plugins und Themes um sich Zutritt zu verschaffen.

 

  • Themes und Plugins auf Schadsoftware untersuchen.
  • Den Namen des Users “admin” ändern.*
  • Das Datenbank- Tabellen Präfix sollte nicht “wp_” sein.*
  • Die WordPress- Version sollte nicht sichtbar sein*.
  • WordPress PHP- /DB Fehlermeldungen sollten nur für Admins sichtbar sein*
  • Schutz vor BruteForce Attacken.
  • Directory listing check sollte nicht eingeschalten sein.*
  • Man sollte die richtigen Dateiberechtigungen verwenden. NICHT WordPress global auf “777” stellen!*
  • Anzahl der der Login- Fehlversuche begrenzen, mit Sperrzeit belegen und anschließend den Hinweis aus dem LoginPopUp entfernen!

*Acunetix WP Security

Got Back up?

Falls es einem Hacker denoch gelingt auf die Seite oder die Datenbank zu gelangen ist es von Vorteil ein Backup ALLER Daten zu haben.

Alle Daten bedeutet eine aktuelle Kopie der WordPress- und Bilddateien sowie ein Backup der Datenbank.

  • Gesamtbackup via FTP, nach dem Einrichten des Blogs
  • automatisierte, tägliche Backups in die Dropbox [ BackWPup ]

Fazit

Erfordert etwas Zeit und Einsatz. Wenn man aber an die in den Blog investierte Zeit denkt langfristig aber eine gute Investition.

Dieser Text war das Manuskript für meine allererste (!) Session auf einem Barcamp beim Foodbloggercamp in Reutlingen (#fbc14). Seht es mir bitte nach, wenn es kurz und knackig gehalten ist. Falls Ihr auch mit googeln nicht weiterkommt oder Fragen habt – meldet Euch…

Nachklapp

Bei der Session wurde die Frage gestellt, wie man sich seine vielen Passwörter für die verschiedenen Apps und Accounts merken oder organisieren kann. Ulrike – hier der Link speziell für Dich: http://keepass.info/download.html

You Might Also Like

3 Comments

  • Reply Annkathrin 4. März 2014 at 15:22

    Hallo Werner,

    vielen herzlichen Dank!
    Werd die Liste brav abarbeiten 😉

    Liebe Grüße und hoffentlich bis zum #fbcr15

  • Reply Jan Theofel 4. März 2014 at 15:29

    Ich nutze unter Mac OS sehr gerne und begeistert 1Password als Passwort-Safe. Das ist allerdings kostenpflichtig.

    • Reply Ylva 5. März 2014 at 07:41

      Jupp, 1Password benutze ich auch und finde es super. Allein schon, weil es nicht nur für Passwörter taugt, sondern man auch Kartennummern; Softwarelizenzen & Co eintragen kann.

    Kommentar schreiben

    Durch die Benutzung der Kommentarfunktion erlaube ich die Speicherung der von mir eingegebenen Daten. Mehr zum Thema finden Sie in der Datenschutzerklärung.