#LANG
Opfer seines eigenen Erfolgs, wird WordPress regelmäßig Ziel von Cyber-Attacken. Die Motive dieser Angriffe können sehr vielfältig sein. Es kann jeden treffen – auch jene, die der Meinung sind, nicht zu den gängigen Zielgruppen zu gehören.
Ende 2014 wurden über 100.000 WordPress-Seiten Opfer einer massiven Angriffswelle.
Auch “kleine Sites” werden angegriffen. Spätestens nachdem die eigene Webseite sozusagen nur noch ein einziger Scherbenhaufen ist, wird man sich des Werts der Zeit und Energie bewusst, die man in die Wiederherstellung investieren muss. Hinzu kommt der Verlust an Glaubwürdigkeit und/oder Umsatz.
Die erste Schutzmaßnahme besteht darin, regelmäßig gesicherte Backups durchzuführen. In der Tat bietet dies keinen Schutz, ermöglicht einem jedoch im Falle eines zerstörerischen Angriffs die Webseite wiederherzustellen.
Vorbeugen ist besser als heilen
Beispiel von WordPress-Plugins
Um die Sicherheit Ihrer Internet-Seite zu optimieren, sollten Sie das CMS (Content Management System), das Sie benutzen, regelmäßig aktualisieren. Für WordPress (oder andere CMS) gibt es drei Arten von Updates:
- Updates von WordPress – (der Motor)
- Updates der Designvorlage (theme) – (die Karosserie)
- Updates der Plugins – (Zubehör und Optionen).
Unter den 3 Elementen die unbedingt regelmäßig aktualisiert werden müssen, sollte man den Plugins besondere Aufmerksamkeit schenken. Laut dem Bundesamt für Sicherheit in der Informationstechnik (BSI) gelten die Plugins als „Eintrittstür“ für 80% der Angriffe. Da Plugins von ihren Schöpfern nicht immer ordnungsgemäß gewartet und dokumentiert werden, sollte man sich nicht unbedingt auf deren Update-Verfahren verlassen.
Im Zweifelsfall, ist es ratsam das CVE-Verzeichnis von CIRCL (Plugin-Schwachstellen gruppiert nach CMS) zu konsultieren:
Aufgrund verschiedener Kompatibilitätsproblemen mit bestimmten Plugins, können CMS-Updates zu weilen ein schweißtreibendes Unterfangen bedeuten. Dies sollte jedoch keine Entschuldigung sein, die Updates nicht durchzuführen. Am besten sollten Plugins die evt. Probleme bereiten könnten, vor der Aktualisierung des CMS deaktiviert werden. Anschließend sollten zweifelhafte Plugins einer nach dem anderen reaktiviert und ihr „Verhalten“ nach der Aktualisierung im Detail überprüft werden. Es besteht indes die Möglichkeit, in der Datei “wp-config”, automatische oder manuelle Updates zu parametrisieren (fr).
Seine Immunabwehr stärken
Auch wenn Sie Ihr CMS bestens hegen und pflegen, sind Sie nicht immun gegen Angriffe. Zur Verbesserung Ihres Schutzmechanismus, hier einige Tipps:
- der Zugang zur CMS-Verwaltung sollte durch eine weitere Schutzschicht gesichert werden (z.B. mit einem .htaccess oder einem Filter für Zugriffe die auf IP-Adressen basieren)
- Standardkonten sollten umbenannt oder deaktiviert werden (zB admin oder demo)
- aktivieren Sie die verschlüsselte Verbindung (SSL/TLS) wenn Sie auf die CMS-Verwaltung zugreifen wollen und deaktivieren Sie den Klartext-Zugang
- ändern Sie die Adresse der Standard-Admin-Seite um “brute force” Angriffsversuche auf Ihr CMS zu verhindern
- verwenden Sie starke Kennwörter für den Zugang zu Ihrer CMS-Verwaltung, und aktivieren Sie die Zwei-Faktor-Authentifizierung, falls verfügbar
- vergeben Sie starke Kennwörter an alle Benutzer des CMS.
Statischer Export: maximaler Schutz
Im Allgemeinen können dynamische und interaktive Funktionen einer Website Schwachstellen darstellen. Der einzige Weg diese vollständig zu entfernen, besteht darin Ihr CMS so zu verbergen, dass es nicht direkt im Internet zugänglich ist, und der Inhalt statisch generiert wird. WordPress (und andere CMS) bieten Erweiterungen (Plugins) an, die diese statischen HTML-Seiten automatisch generieren. Ein weitere Vorteil besteht darin dass solche statischen Seiten auf jedem Server gehostet werden können, unabhängig vom CMS. Beispiele solcher Plugoins für WordPress sind: Static Press oder Really-static.
Diese extreme Lösung ist nicht immer leicht umzusetzen, da der statische Export bei bestimmten Funktionalitäten problematisch sein kann. Ebenso muss man auf jegliche Form von Interaktion mit Usern (wie kommentieren oder “posten”) verzichten…. Auch wenn genau dies ein Blog interessant macht.
Kurz, der Zaubertrank hat manchmal einen bitteren Geschmack. Wenn Sie jedoch ein Maximum an Sicherheit wollen, sollte es Ihnen wert sein, zumindest darüber nachzudenken.