WordPress Sicherheit

Einfache Maßnahmen zur Sicherheit

Schon bei der Instal­la­tion von WordPress sollte man grund­le­gende Sicher­heits­aspekte berücksichtigen.

1. Wahl des Hosters

Gehen Sie bei der Auswahl des Provi­ders nicht nur nach dem Preis. Viele Anbie­ter bieten spezi­elle Pakete für WordPress-Hosting an. Gegen gerin­gen Aufpreis kann man Sicherheits-Tools buchen, z. B. einen tägli­chen Scan auf Malware und eine Wieder­her­stel­lung des gesam­ten Webs­pace auf einen frühe­ren Zustand für den Fall einer Infek­tion. Die Ange­bote der Hoster sind auf den ersten Blick sehr ähnlich. Sie soll­ten das Augen­merk auf die Zusatz­fak­to­ren rich­ten, wie

  • Werden SSL‐Zertifikate angeboten?
  • Gibt es für WordPress opti­mierte Pakete?
  • Wird eine aktu­elle PHP-Version verwendet?
  • Welche Webserver‐Versionen werden eingesetzt?
  • Welche Daten­bank kommt zum Einsatz?

2. Sicheres Passwort

Dass Namen und bekannte Zahlen­kom­bi­na­tio­nen als Pass­wör­ter nicht in Frage kommen, sollte sich bereits herum­ge­spro­chen haben. Hacker benut­zen auto­ma­ti­sierte Scripts (→ Brute‐Force‐Attacke), die mit Hilfe von umfang­rei­chen Wörter­bü­chern mit großer Geschwin­dig­keit Login-Daten auspro­bie­ren. WordPress besitzt einen Passwort-Generator, der sichere Pass­wör­ter vorschlägt, die mit solchen Metho­den nicht zu knacken sind. Die aktu­elle WordPress-Version gene­riert 24-stellige Zufalls-Passwörter, die man sich unmög­lich merken kann. Die Verwen­dung eines Pass­wort­ma­na­gers wie z. B. → KeePass kann die sichere Anmel­dung wesent­lich erleichtern.

Selbst­ver­ständ­lich muss auch der Zugang zu Ihrem Webs­pace und zur Daten­bank bei Ihrem Hoster abge­si­chert sein. Auch hier soll­ten nur sichere Pass­wör­ter verwen­det werden. Der Daten­ver­kehr mittels FTP (File-Transfer-Protocol) zum Webs­pace sollte nur verschlüs­selt über FTPS stattfinden.

3. Sicherer Arbeitsplatz

Natür­lich nutzt das alles nichts, wenn das System, mit dem Sie WordPress bear­bei­ten, schon korrum­piert ist, etwa durch einen Keylog­ger, der alle Tasta­tur­ein­ga­ben aufzeich­net und weiter­lei­tet. Deshalb sollte man sich nur von Arbeits­plät­zen in WordPress einlog­gen, die über ein gut geschütz­tes Computer-System und eine verschlüs­selte Inter­net­ver­bin­dung verfü­gen. Ein unver­schlüs­sel­tes WLAN in einem Hotel oder öffent­li­chen Hot Spot zu benut­zen, ist grob fahr­läs­sig. Sämt­li­che über­mit­tel­ten Daten inklu­sive Pass­wör­ter könn­ten im Klar­text mitge­le­sen werden.

4. Benutzername

Beim Login in das WordPress-Backend werden Nutzer­name und Pass­wort abge­fragt. In älte­ren WordPress-Versionen war für den Admi­ni­stra­tor der Nutzer­name »admin« vorein­ge­stellt. Verwen­den Sie diesen Namen nicht und auch keine Namen, die aus dem Kontext der Seite heraus zu erra­ten wären. Denn ist der Nutzer­name bekannt, muss nur noch das Pass­wort ermit­telt werden, was Angriffe erleichtert.

5. Rechtevergabe

WordPress kennt fünf Benut­zer-Rollen mit unter­schied­li­chen Rechten:

  1. Der Admi­ni­stra­tor hat unbe­grenz­ten Zugriff. Er kann Themes und Plugins instal­lie­ren, Beiträge und Seiten erstel­len, veröf­fent­li­chen oder löschen, Benut­zer hinzu­fü­gen oder entfer­nen und ihnen Rechte zuwei­sen. Diese Rolle sollte nur dem Seiten­in­ha­ber oder der beauf­trage Webma­ster innehaben.
  2. Der Redak­teur herrscht über die Inhalte. Er hat aber keinen Zugriff auf die tech­ni­sche Seite. Er kann Beiträge und Seiten auch von ande­ren Autoren hinzu­fü­gen, löschen oder veröf­fent­li­chen. Er kann nicht in die Rech­te­ver­wal­tung eingreifen.
  3. Der Autor kann eigene Beiträge schrei­ben, bear­bei­ten, veröf­fent­li­chen oder auch entfer­nen. Kommen­tare zu seinen Beiträ­gen kann er lesen, aber nicht geneh­mi­gen, mode­rie­ren oder löschen.
  4. Ein Mitar­bei­ter kann Beiträge schrei­ben und diese bear­bei­ten oder löschen. Er darf sie aber nicht veröf­fent­li­chen. Er kann keine Dateien hoch­la­den, also z. B. keine Bilder in seine Beiträge einfügen.
  5. Der Abon­nent hat Zugang zum Backend, darf aber nur das eigene Profil bear­bei­ten, z. B. sein Pass­wort ändern. Er bekommt durch seine Anmel­dung nur Lese­rechte der Seite.

Je nach Art um Umfang und Art des Webauf­tritts können also Aufga­ben an Mitar­bei­ter mit spezi­el­len Rech­ten verge­ben werden. Mit geeig­ne­ten Plugins lässt sich die Rech­te­ver­wal­tung noch erheb­lich erwei­tern. Etwa bestimmte Kate­go­rien nur für die davor vorge­se­he­nen Mitar­bei­ter zur Bear­bei­tung frei zu geben. Oder für umfang­rei­chen Content Co-Autoren zu bestim­men, die gemein­sam an einem Thema arbei­ten und vieles mehr.

Grund­sätz­lich gilt immer: Keine unnö­ti­gen Rechte verge­ben. Die Administratoren-Rechte soll­ten beim Inha­ber der Seite und bei dem beauf­trag­ten Webma­ster bleiben.

6. Updates

Ganz wich­tig ist es, alle verwen­de­ten Module auf den neue­sten Stand zu halten. Jede Soft­ware hat Sicher­heits­lücken, so auch WordPress. Eine hundert­pro­zen­tige Sicher­heit gibt es nicht. Alle verfüg­ba­ren Updates soll­ten zeit­nah nach Erschei­nen instal­liert werden. Ein Kenn­zei­chen einer guten Soft­ware ist, dass auf bekannt gewor­dene Sicher­heits­lücken schnell mit einem Patch reagiert wird. Es ist also nicht damit getan, eines der vielen Security-Plugins zu instal­lie­ren um sich dann in Sicher­heit zu wiegen. Das betrifft nicht nur WordPress selbst, sondern auch die Themes und Plugins, die verwen­det werden.

Mit WordPress Version 5.5 wurde die auto­ma­ti­sche Aktua­li­sie­rung von Plugins einge­führt. Im Backend kann die auto­mai­sche Aktua­li­sie­rung für jedes Plugin einzeln einge­stellt werden. Das erleich­tert die Pflege einer WordPress-Seite natür­lich sehr – wird aber in der Fach­welt teil­weise kritisch gese­hen. Plugins könn­ten sich gegen­sei­tig in die Quere kommen. Bei der Viel­zahl an Plugins, die sich allein im offi­zi­el­len Plugin-Verzeich­nis bei WordPress befin­den, kann es durch­aus vorkom­men, dass sich zwei Plugins nach einer Aktua­li­sie­rung zusam­men nicht mehr vertra­gen und Fehler produ­zie­ren, die die ganze Seite lahm­le­gen können.

7. Sicherheit bei der Auswahl von Plugins

Im offi­zi­el­len → Plugin‐Verzeichnis von WordPress sind aktu­ell über 58 000 Plugins geli­stet. PHP-Program­mie­rer können dort selbst entwickelte Plugins einrei­chen. Sie werden vor der Veröf­fent­li­chung manu­ell auf ihre Funk­tio­na­li­tät und Unbe­denk­lich­keit geprüft. Ob sie auch mit der eige­nen Instal­la­tion und zusam­men mit ande­ren Plugins reibungs­los funk­tio­nie­ren, kann nicht gara­tiert werden. Bei Plugins von Anbie­tern, die nicht im WordPress-Verzeichnis geli­stet sind, ist Vorsicht gebo­ten. Der Sicher­heits­aspekt ist hier wich­ti­ger als bei Themes, weil Plugins sehr komplexe Funk­tio­nen in den WordPress-Core imple­men­tie­ren können. Hilf­reich ist es, im Plugin-Verzeichnis die Anga­ben zu dem Plugin zu betrach­ten. Wie häufig wird es verwen­det? Wann ist es zuletzt aktua­li­siert worden? Gete­stet mit welcher WordPress-Version usw. Mit der Schalt­flä­che »Belieb­te­ste« lassen sich die Einträge nach der Häufig­keit Ihrer Verwen­dung sortie­ren. Mit der Such­maske kann nach bestimm­ten Funk­tio­nen gesucht werden.