Wie sicher ist Ihr WordPress-Blog wirklich? Hacker-Angriffe auf WP-Blogs!

Gastartikel von Günther Egger

hacker-stop21,2 Millionen! So viele WordPress-Blogs wurden laut einer Studie der Sicherheitsfirma Imperva alleine im Jahr 2011 aufgrund lückenhafter Absicherung Opfer von Hacker-Angriffen. Die Dunkelziffer liegt mit Sicherheit noch weit darüber. Das Hacken von Webseiten ist in der Zwischenzeit zu einem richtig professionellen Business geworden, in dem Hacker nicht mehr alleine für sich arbeiten, sondern in Form von organisierter Kriminalität.

Es spielt dabei auch keine Rolle mehr, wie groß und angesehen der WordPress-Blog ist oder wie viel Traffic er im Monat hat. Einzig und allein die Sicherheits-Einstellungen des WordPress-Blogs sind in erster Linie für Hacker ausschlaggebend. Entscheidend ist, wie leicht es wird, in das jeweilige WordPress-System einzudringen. Es stellt sich daher nicht mehr die Frage, ob, sondern nur noch, wann auch Ihr WordPress-Blog an der Reihe ist.

Warum ist es so wichtig, den WordPress-Blog zu schützen?

Wenn Sie mit Ihrem WordPress-Blog im Internet Geld verdienen wollen, dann sollten Sie diesen Artikel sehr genau durchlesen. Denn eine Infizierung Ihres WordPress-Blogs durch Hacker kann Sie sehr viel Geld, Zeit und Image kosten.

Was passiert, wenn Ihr WordPress-Blog gehackt wurde?

  • Ihre WordPress-Dateien werden mit Schadsoftware infiziert, wodurch die Besucher Ihrer Webseite gefährdet werden.
  • Das Betriebssystem der Besucher Ihrer Webseite kann durch einen eingeschleusten Virus, Trojaner, Wurm usw. auf Ihrer Webseite Schaden nehmen. Wie dankbar Ihre Besucher Ihnen sein werden, wenn Sie ihnen einen Virus verpassen, können Sie sich vorstellen.
  • Erkennt Google bei dem Besuch Ihrer Webseite eine Infizierung, sperrt Google Ihre Webseite und setzt Ihre Webseite auf die Blacklist. Besucher erhalten beim Aufruf Ihrer Webseite eine Warnmeldung (Der Besuch der Webseite kann Ihren PC beschädigen.).
  • Ihr Traffic wird innerhalb kurzer Zeit einbrechen, was natürlich auch zu einem finanziellen Problem wird.
  • Ihr Image bei Ihren Kunden und Webseiten-Besuchern leidet.
  • Die Behebung der Infizierung kostet Sie eine Menge Geld.
  • Sie werden auch auf Blacklists (McAfee, Norton, Google, Sucuri…) gelistet. Eine Entfernung aus diesen Blacklists ist mit viel Aufwand verbunden. Bis alle Einträge entfernt werden, verlieren Sie weiterhin sehr viele Besucher. Auch bei einem bereinigten WordPress-Blog erscheint die Warnmeldung vor Ihrer Webseite weiterhin, so lange Sie auf den Blacklists gelistet sind.
  • Sie müssen die Sicherung Ihrer Webseite erst recht durchführen.

Ist mein WordPress-Blog sicher?

Wie sicher ist Ihr WordPress-Blog wirklich? Diese Frage werden wir nun hier in diesem Blog-Artikel ergründen und zusätzlich auch gleich entsprechende Lösungsvorschläge anbieten. Lernen Sie hier nun einfache Möglichkeiten kennen, mit denen Sie Ihren WordPress-Blog vor Hacker-Angriffen schützen können.

Klären wir also zuerst die Frage: Wie sicher ist Ihr WordPress-Blog? Ein Hacker wird immer als erstes versuchen, die Schwachstellen des Systems auszunutzen. Dazu werden entsprechende Tools verwendet, die den Hackern die Arbeit erleichtern. Was sind nun solche Schwachstellen in Ihrem WordPress-Blog? Hier einige Beispiele:

  • Bei der WordPress-Installation wurden die Standard-Einstellungen verwendet.
  • WordPress, PlugIns oder Themes werden nicht regelmäßig upgedatet.
  • Es werden veraltete und nicht mehr gewartete PlugIns und Themes installiert.
  • WordPress gibt zu viele Informationen über das System preis.
  • Es werden zu einfache Passwörter und Benutzernamen verwendet.
  • Der Benutzer mit der ID 1 wurde nicht gelöscht.
  • Es existiert ein Benutzer „admin“.
  • Die Anmeldung in den internen Bereich von WordPress wird nicht geschützt.
  • Ihr eigener PC ist mit Viren, Würmern, Trojanern usw. infiziert.
  • Sie verwenden Filezilla als FTP-Programm.
  • Sie übertragen Benutzerinformationen nicht verschlüsselt ins Internet.
  • Die wichtigsten Dateien von WordPress werden nicht vor externem Zugriff geschützt.
  • Php.ini – PHP wird nicht gegen Angriffe abgesichert.
  • Und viele andere mehr.

Es gibt leider noch unzählige weitere Möglichkeiten, ein WordPress-System anzugreifen. Je mehr Sie jedoch von den hier genannten Punkten umsetzen, umso sicherer können Sie sich fühlen.

Wie überprüfe ich, ob mein WordPress-Blog infiziert ist?

Die einfachste und schnellste Art, den eigenen WordPress-Blog auf eine Infizierung zu überprüfen ist, indem man auf der Webseite http://sitecheck.sucuri.net kostenlos einen Scan der eigenen Webseite durchführt. Dieses Online-Tool prüft die zu scannende Webseite auf Malware, bösartiges Javascript, verdächtige Aktionen, Spam, bösartige iFrames oder verdächtige Umleitungen. Genauso wird auch überprüft, ob die Webseite schon auf einer Blacklist von Google, McAffe, Norton, Opera, Yandex oder Sucuri usw. gespeichert ist. Sollte eine Infizierung vorliegen, sollte so rasch wie möglich gehandelt werden, um einen Eintrag in eine der Blacklists zu vermeiden. Durch einen Eintrag in eine solche Blacklist werden Besucher Ihrer Webseite gewarnt, Ihre Webseite zu besuchen, da der Besuch der Webseite den Computer beschädigen könnte. Was dies bedeutet, wenn Sie keine Besucher mehr auf Ihre Webseite bekommen, können Sie sich ja ausrechnen. Daher ist der beste Schutz immer noch die Vorbeugung.

Wie schütze ich meinen WordPress-Blog am besten?

Bevor wir beginnen, WordPress zu schützen, muss ich Ihnen gestehen: Einen 100%igen Schutz für Ihren WordPress-Blog wird es nie geben. Zu viele Möglichkeiten bieten Hackern die Chance, Ihren WordPress-Blog anzugreifen. Wichtig hier ist aber auch nicht der 100%ige Schutz. Viel wichtiger ist es, den WordPress-Blog so zu schützen, dass ein Angriff sehr viel Zeit in Anspruch nimmt und es somit lohnendere Ziele gibt. Wenn Sie das erreichen, können Sie zu 99% sicher sein, dass Ihr WordPress-Blog nicht von Hackern übernommen wird.

Kommen wir nun also zu den Schutzmaßnahmen. Zuvor habe ich schon einige der Schwachstellen genannt, die Hacker natürlich gerne ausnützen. Daher müssen als erstes diese Möglichkeiten unterbunden werden.

  1. User-Name admin
    Bei der Installation von WordPress können Sie den Standard-Benutzernamen admin umbenennen. Dies sollten Sie natürlich durchführen, doch noch wichtiger ist es, diesen Benutzer später zu löschen und einem anderen Benutzer die Administrations-Rechte zu übertragen. Warum, erfahren wir in Punkt 2.
  2. UserID 1
    Der erste Benutzer, der vom System angelegt wird, erhält die ID 1 in der Datenbank. Hacker wissen natürlich, dass viele User den Standard-Benutzernamen mit der ID 1 nicht löschen und versuchen über die ID 1 Zugriff auf den WordPress-Blog zu erhalten. Deshalb sollte der Standard-Benutzer immer gelöscht werden und der Benutzer mit Administrations-Rechten erst als vierter oder fünfter Benutzer angelegt werden.
  3. Tabellen-Präfix
    Obwohl es unterschiedliche Meinungen in Bezug auf die Sicherheitsverbesserung durch Änderung des Tabellen-Präfix gibt, empfehle ich, den Tabellen-Präfix bei der Installation zu ändern. Jede Abweichung von den Standard-Einstellungen erhöht meiner Meinung nach die Sicherheit.
  4. Benutzernamen und Passwörter
    Erstellen Sie immer starke, kryptische Passwörter und Benutzernamen. Ein Passwort in WordPress sollte immer aus Buchstaben (Groß- und Kleinschreibung), Zahlen und Sonderzeichen bestehen. Wörter, die in einem Wörterbuch stehen, sollten am besten nicht verwendet werden. Weiters sollte ein Passwort mindestens 14 Zeichen lang sein. Je mehr, desto besser. Auch bei den Benutzernamen können Sie Buchstaben, Zahlen und Sonderzeichen verwenden. So kann zB ein Benutzername auch Rnx 4@ 690Pq# H% heißen und das Passwort U3mL+ßEÄ7xPd81LQö9J!5 lauten.
  5. Header-Informationen von WordPress
    Standardmäßig gibt WordPress die Information über die verwendete WordPress-Version im Header bekannt. Dies ist für Hacker natürlich von Vorteil, da sie so die Sicherheitslücken von WordPress kennen und somit auch ausnützen können. Steht diese Information nicht zur Verfügung, muss die WordPress-Version erst ermittelt werden, was natürlich wieder ein weiterer Zeit-Aufwand ist.
  6. Die Anmelde-Seite von WordPress schützen.
    Besonders die Anmelde-Seite zum internen Bereich von WordPress muss unbedingt geschützt werden. Die wirksamste Methode ist, eine zusätzliche Passwort-Abfrage hinzuzufügen. Eine sehr hilfreiche Anleitung dazu finden Sie auf der Webseite von Sergej Müller unter: http://playground.ebiene.de/adminbereich-in-wordpress-schuetzen/
    Zwei weitere Möglichkeiten, einen zusätzlichen Schutz einzubauen, bieten die beiden PlugIns Google Authenticator und yubikey-PlugIn.
  7. WordPress-Updates
    Eine der einfachsten aber auch sehr effektiven Schutzmaßnahmen ist, dass WordPress selbst und die PlugIns bzw. Themes immer auf dem aktuellsten Stand sind. Durch regelmäßige Updates werden die Sicherheitslücken geschlossen und somit die Sicherheit natürlich erhöht. Wichtig ist auch, nur die wichtigsten PlugIns und Themes zu installieren. Alle nicht verwendeten PlugIns und Themes sollten gelöscht werden.
  8. Die wichtigsten Dateien schützen
    Wichtige Dateien wie zB wp-config.php oder .htaccess müssen vor Zugriff von außen geschützt werden. Sergej Müller hat dazu ein Beispiel in seinem Beitrag (Link unter Punkt 5) aufgezeigt. Auch die Rechte für Dateien und Ordner sollten überprüft werden. Das PlugIn BulletProof Security zeigt zB an, für welche Dateien und Ordner zu weitreichende Rechte aktiviert sind.
  9. Backup der WordPress-Daten und Datenbank
    Auch eine richtige Backup-Strategie ist für die Sicherheit Ihres WordPress-Blogs entscheidend. Nur mit einer funktionierenden Sicherung können Sie im Notfall Ihren WordPress-Blog wieder herstellen. Sichern Sie daher mindestens täglich Ihre WordPress-Datenbank und wöchentlich Ihre WordPress-Daten. Selbstverständlich sollten Sie dies auch vor jeder Änderung durchführen.

Welche WordPress-PlugIns schützen vor Hacker-Angriffen?

Selbstverständlich gibt es auch einige PlugIns, die Ihren WordPress-Blog vor Hacker-Angriffen schützen. Einige dieser PlugIns möchte ich Ihnen nun vorstellen.

Aber ACHTUNG! Diese PlugIns greifen tiefer in das System Ihres Webservers ein und können dazu führen, dass Ihre Webseite nach der Installation und Aktivierung nicht mehr ordnungsgemäß funktioniert! Führen Sie daher vor jeder Installation eines dieser PlugIns eine Sicherung Ihrer WordPress-Datenbank und der WordPress-Daten durch! So können Sie die letzte funktionierende Version wieder herstellen!

Antivirus

WordPress-PlugIn AntiVirus

http://wordpress.org/extend/plugins/antivirus/

Das PlugIn Antivirus von Sergej Müller scannt einmal täglich Themes/Templates und Datenbank-Tabellen auf Injections, Exploits, Viren, Malware, Hacks usw. Wird ein verdächtiger Code gefunden, schlägt das PlugIn, je nach Einstellung per E-Mail und/oder im internen Admin-Bereich Alarm. Dadurch kann man bei einer Infizierung sehr rasch reagieren und die Schadsoftware entfernen, bevor ein größerer Schaden entsteht.

Theme Authenticity Checker (TAC)

http://wordpress.org/extend/plugins/tac/

Auch dieses PlugIn scannt die Quelldateien der installierten Themes auf Anzeichen von bösartigem Code. Wird eine verdächtige Stelle gefunden, zeigt TAC den Pfad zur Theme-Datei, die Zeilennummer und einen kleinen Ausschnitt des verdächtigen Codes an. Dieses PlugIn kann man zumindest einmal installieren und einen Scan durchlaufen lassen, für den Langzeitgebrauch würde ich aber Antivirus vorziehen.

Timthumb Vulnerability Scanner

http://wordpress.org/extend/plugins/timthumb-vulnerability-scanner/

Obwohl diese Sicherheits-Lücke schon einige Zeit zurückliegt, sollte man sie dennoch nicht übersehen. Viele Themes und PlugIns verwenden einen Thumbnail-Generator, der Bilder verkleinert usw. Dafür gibt es eine Datei namens timthumb.php die mit dem jeweiligen Theme oder PlugIn, das diese Funktion verwendet, installiert wird. Leider hat sich in einer älteren Version eine Sicherheitslücke eingeschlichen, wodurch viele WordPress-Blogs gehackt wurden. Dieses PlugIn überprüft, ob auf dem WordPress-Blog die Datei timthumb.php vorhanden ist und in welcher Version. Ist die Version veraltet, kann man mit diesem PlugIn sehr einfach auf die neueste und somit auch sichere Version der Datei timthumb.php updaten.

Limit Login Attempts

http://wordpress.org/extend/plugins/limit-login-attempts/

Die Aufgabe dieses PlugIns ist es, die Anmeldeversuche im internen Bereich einzuschränken, um so unzählige Anmeldeversuche (Brute Force Attacken) zu unterbinden. Obwohl diese Funktion auch im PlugIn Better WP Security vorhanden ist, empfehle ich dennoch, dieses PlugIn als zusätzlichen Schutz zu installieren. Leider wird das PlugIn Limit Login Attempts von vielen als das alleinige Allheilmittel vor Angriffen angesehen, was natürlich ein großer Fehler ist.

Better WP Security

WordPress-PlugIn Better WP Security

http://wordpress.org/extend/plugins/better-wp-security/

Ein PlugIn, das bei richtiger Verwendung das „Schweizer Messer der Sicherheits-PlugIns“ genannt werden kann und unbedingt installiert werden sollte, heißt Better WP Security. Schon mit den automatischen Sicherheits-Einstellungen werden einige Schwachstellen bereinigt. Die gesamte Klasse spielt es aber durch die einzelnen zusätzlichen Einstellungen aus, die vom Benutzer durchgeführt werden können. Dadurch werden sehr viele Angriffspunkte (Kein Benutzer mit ID 1, kein Benutzer mit Namen admin, kein Standard-Tabellen-Präfix, Sperren von verdächtigen IP-Adressen, Benutzer müssen starke Passwörter verwenden usw.) entschärft, die Hacker sonst ausnützen könnten.

Einziger Nachteil: Die Einstellungen greifen sehr stark in die wp-config- und htaccess-Datei ein, so dass es zu Problemen kommen kann und die Webseite überhaupt nicht mehr oder nur mit Problemen funktioniert.

Bulletproof Security

WordPress-PlugIn BulletProof Security

http://wordpress.org/extend/plugins/bulletproof-security/

Das nächste PlugIn, das die Sicherheit des WordPress-Blogs erheblich steigert, ist das PlugIn Bulletproof Security, das vor Code Injection, Base64, XSS, Remote File Inclusion-Angriffen oder SQL Injection schützt. Auch der Schutz der wichtigsten WordPress-Dateien wie zB wp-config.php, install.php, php.ini usw. wird mittels htaccess-Schutz vorgenommen. Eine hilfreiche Funktion, die angezeigt wird, sind die Statusinformationen zur Webseiten-Sicherheit. Neben Better WP Security ist dieses PlugIn mit Sicherheit eines der wichtigsten PlugIns in Ihrem WordPress-Blog.

Aber auch hier gilt, wie schon beim PlugIn Better WP Security, dass die Einstellungen sehr stark in die wp-config- und htaccess-Dateien eingreifen und so zu Problemen führen können. Einstellungen sollten also immer nur dann durchgeführt werden, wenn eine aktuelle Sicherung der WordPress-Dateien und Datenbank vorhanden ist!

Wordfence Security

WordPress-PlugIn Wordfence Security

http://wordpress.org/extend/plugins/wordfence/

Dieses PlugIn baut die Firewall für Ihren WordPress-Blog noch aus und kann durch individuelle Einstellungen auch noch sehr genau eingestellt werden. Dieses PlugIn zeigt den Live-Traffic und die entsprechende Aktivität auf der Webseite an. So besteht auch die Möglichkeit, gesperrte, blockierte und IP-Adressen, die Sicherheitsregeln verletzt haben, zu managen. Außerdem ist die Verständigung bei verdächtigen Aktivitäten per E-Mail sehr hilfreich.

Antispam Bee

WordPress-PlugIn Antispam Bee

http://wordpress.org/extend/plugins/antispam-bee/

Wenn Sie sich fragen, was ein Spam-PlugIn mit der Sicherheit von WordPress zu tun hat, dann wird es Sie verwundern, dass unter Umständen auch über Kommentare ein Eindringen in den WordPress-Blog möglich ist. Daher ist es ratsam, auch Kommentare sofort auf Spam und andere Angriffs-Methoden zu überprüfen. Es gibt dazu einige Spam-PlugIns, wovon ich zwei erwähnen möchte. Zum ersten natürlich Antispam Bee, das für den deutschsprachigen Bereich einen super Job macht. Zum anderen gibt es noch das PlugIn NoSpamNX, das auch sehr gute Dienste leistet. Es sollte aber mindestens ein Spam-PlugIn installiert sein, um Angriffe über die Kommentarfunktion zu vermeiden.

BackWPup oder WordPress Backup to Dropbox

WordPress-PlugIn BackWPup

http://wordpress.org/extend/plugins/backwpup/

Die gesamten Sicherheits-Einstellungen nützen nichts, wenn nicht ständig und richtig die WordPress-Daten und die Datenbank gesichert werden. Zwei PlugIns, die diese Aufgabe sehr gut durchführen, sind BackWPup und WordPress Backup to Dropbox. In BackWPup können sehr viele Einstellungen für eine professionelle Sicherung eingestellt werden, was dieses PlugIn sehr interessant macht. Wichtig bei der Sicherung ist, dass die WordPress-Datenbank je nach Änderungen und Kommentar-Aufkommen, mindestens einmal täglich gesichert wird. Die WordPress-Daten sollten wöchentlich gesichert werden.

Zusätzlich zu den Standard-Sicherungen sollte natürlich vor jeder Änderung am WordPress-System (wie zB Updates von WordPress oder PlugIns oder auch andere größere Änderungen) eine vollständige Sicherung der Daten und der Datenbank erstellt werden.

Weitere PlugIns, die Ihren WordPress-Blog schützen

Natürlich gibt es auch noch weitere PlugIns, die Sie zur Sicherung Ihres WordPress-Blogs einsetzen können. Einige möchte ich Ihnen hier noch vorstellen. Viele Funktionen dieser PlugIns sind aber schon in den bereits oben genannten PlugIns enthalten bzw. sind kostenpflichtig. Daher werde ich sie hier nicht weiter beschreiben: Exploit Scanner, 404 Redirected, Sucuri Sitecheck Malware Scanner, Google Authenticator, VaultPress, yubikey-PlugIn, WordPress Firewall 2, 6Scan Security, Secure WordPress…

Hacker ist nicht gleich Hacker!

Obwohl wir in diesem Artikel immer von Hackern gesprochen haben, muss ich jetzt etwas klar stellen: Der Begriff Hacker wurde hier deshalb verwendet, weil Sie mit diesem Begriff besser vertraut sind. Beim Angriff auf Ihren WordPress-Blog handelt es sich aber zum größten Teil nicht um Hacker, sondern um Cracker oder Skript-Kiddies. Der Unterschied liegt darin, dass Hacker Technik-Freaks sind, die zu einer Verbesserung von Systemen beitragen möchten. Hacker halten sich zB auch an den eigens erstellten Hacker-Kodex.

Cracker hingegen haben auch die Fähigkeiten von Hackern, verstoßen aber meist gegen den Hacker-Kodex und sind nur auf den finanziellen Vorteil bedacht. Ihr Ansinnen ist es, in Systeme einzudringen, um dadurch an Informationen zu gelangen, die sie rasch zu Geld machen können. Weiters werden die Systeme benutzt, um sich damit auch finanzielle Vorteile zu verschaffen.

Script-Kiddies sind meist Jugendliche, die kaum über technische Erfahrungen verfügen und nur Hacker-Tools verwenden, um mit diesen in Systeme einzudringen. Ihr Ziel ist es meist, nur zu zerstören und damit vor anderen jugendlichen „Kollegen“ zu prahlen.

Vor welchen dieser drei Gruppen müssen wir uns also schützen? Nun, Hacker haben kaum Interesse, Ihren WordPress-Blog zu übernehmen. Hier fehlt einfach das Motiv, für das Hacker stehen. Für Cracker könnte Ihr Blog durchaus interessant sein. Wenn jedoch der Zeit-Aufwand zu groß ist, wird sich der Cracker lieber andere Opfer suchen, die leichter einzunehmen sind. Bleiben noch die Script-Kiddies. Diese versuchen natürlich, in jeden Blog zu gelangen, um Unfug zu treiben. Da Sie aber nicht über das Wissen verfügen, können sie sich nur der Scripte bedienen, die für solche Angriffe programmiert wurden. Diese Hacker-Tools können meistens nur die Standard-Einstellungen der WordPress-Blogs abfragen. Werden diese geändert, sind die Tools meist nutzlos und Ihr WordPress-Blog somit sicher. Daher kann man davon ausgehen, dass bei entsprechenden Sicherheits-Maßnahmen Ihr WordPress-Blog zu 99% sicher ist.

Ich brauche Hilfe beim Schutz vor Hacker-Angriffen!

Die hier vorgestellten Sicherheits-Einstellungen sind für Sie immer noch verwirrend? Sie wollen nicht alleine diese Einstellungen vornehmen? Sie haben viele Fragen zu diesem Thema?

Dann dürfte diese Nachricht für Sie von Interesse sein. In Kürze startet ein Online-Kurs zum Thema „WordPress vor Hacker-Angriffen schützen!“. Hier werden in mehreren Stunden Video-Kurs die hier vorgestellten Informationen Schritt für Schritt vorgezeigt.

Außerdem gibt es ein Forum, in dem Sie Ihre Probleme mit den Einstellungen schildern können und entsprechende Hilfe bekommen.

Zusätzlich bekommen Sie bei jeder Änderung am Kurs diese Videos selbstverständlich auch kostenlos zur Verfügung gestellt. So bleiben Sie bei sicherheitsrelevanten Änderungen an WordPress, bei neuen PlugIns zum Schutz vor Hackern oder bei sonstigen wichtigen Informationen zu diesem Thema am Laufenden.

Der Online-Kurs „WPHackerSTOP“ wird in Kürze hier auf AFOMA angeboten!

Hinterlasse eine Antwort

Sichere dir jetzt unser kostenloses AFOMA-Starterkit und erfahre, wie du...

  • die perfekte Webseite aufbauen musst
  • täglich neue Besucher und Neukunden bekommst
  • dich als der Experte Nr. 1 über das Internet etablierst