WordPress Sicherheit

Einfache Maßnahmen zur Sicherheit

Schon bei der Installation von WordPress sollte man grundlegende Sicherheitsaspekte berücksichtigen.

1. Wahl des Hosters

Gehen Sie bei der Auswahl des Providers nicht nur nach dem Preis. Viele Anbieter bieten spezielle Pakete für WordPress‐Hosting an. Gegen geringen Aufpreis kann man Sicherheits‐Tools buchen, z. B. einen täglichen Scan auf Malware und eine Wiederherstellung des gesamten Webspace auf einen früheren Zustand für den Fall einer Infektion. Die Angebote der Hoster sind auf den ersten Blick sehr ähnlich. Sie sollten das Augenmerk auf die Zusatzfaktoren richten, wie

  • Werden SSL‐Zertifikate angeboten?
  • Gibt es für WordPress optimierte Pakete?
  • Wird eine aktuelle PHP‐Version verwendet?
  • Welche Webserver‐Versionen werden eingesetzt?
  • Welche Datenbank kommt zum Einsatz?

2. Sicheres Passwort

Dass Namen und bekannte Zahlenkombinationen als Passwörter nicht in Frage kommen, sollte sich bereits herumgesprochen haben. Hacker benutzen automatisierte Scripts (→ Brute‐Force‐Attacke), die mit Hilfe von umfangreichen Wörterbüchern mit großer Geschwindigkeit Login‐Daten ausprobieren. WordPress besitzt einen Passwort‐Generator, der sichere Passwörter vorschlägt, die mit solchen Methoden nicht zu knacken sind. Die aktuelle WordPress‐Version generiert 24‐stellige Zufalls‐Passwörter, die man sich unmöglich merken kann. Die Verwendung eines Passwortmanagers wie z. B. → KeePass kann die sichere Anmeldung wesentlich erleichtern.

Selbstverständlich muss auch der Zugang zu Ihrem Webspace und zur Datenbank bei Ihrem Hoster abgesichert sein. Auch hier sollten nur sichere Passwörter verwendet werden. Der Datenverkehr mittels FTP (File‐Transfer‐Protocol) zum Webspace sollte nur verschlüsselt über FTPS stattfinden.

3. Sicherer Arbeitsplatz

Natürlich nutzt das alles nichts, wenn das System, mit dem Sie WordPress bearbeiten, schon korrumpiert ist, etwa durch einen Keylogger, der alle Tastatureingaben aufzeichnet und weiterleitet. Deshalb sollte man sich nur von Arbeitsplätzen in WordPress einloggen, die über ein gut geschütztes Computer‐System und eine verschlüsselte Internetverbindung verfügen. Ein unverschlüsseltes WLAN in einem Hotel oder öffentlichen Hot Spot zu benutzen, ist grob fahrlässig. Sämtliche übermittelten Daten inklusive Passwörter könnten im Klartext mitgelesen werden.

4. Benutzername

Beim Login in das WordPress‐Backend werden Nutzername und Passwort abgefragt. In älteren WordPress‐Versionen war für den Administrator der Nutzername »admin« voreingestellt. Verwenden Sie diesen Namen nicht und auch keine Namen, die aus dem Kontext der Seite heraus zu erraten wären. Denn ist der Nutzername bekannt, muss nur noch das Passwort ermittelt werden, was Angriffe erleichtert.

5. Rechtevergabe

WordPress kennt fünf Benutzer-Rollen mit unterschiedlichen Rechten:

  1. Der Administrator hat unbegrenzten Zugriff. Er kann Themes und Plugins installieren, Beiträge und Seiten erstellen, veröffentlichen oder löschen, Benutzer hinzufügen oder entfernen und ihnen Rechte zuweisen. Diese Rolle sollte nur dem Seiteninhaber oder der beauftrage Webmaster innehaben.
  2. Der Redakteur herrscht über die Inhalte. Er hat aber keinen Zugriff auf die technische Seite. Er kann Beiträge und Seiten auch von anderen Autoren hinzufügen, löschen oder veröffentlichen. Er kann nicht in die Rechteverwaltung eingreifen.
  3. Der Autor kann eigene Beiträge schreiben, bearbeiten, veröffentlichen oder auch entfernen. Kommentare zu seinen Beiträgen kann er lesen, aber nicht genehmigen, moderieren oder löschen.
  4. Ein Mitarbeiter kann Beiträge schreiben und diese bearbeiten oder löschen. Er darf sie aber nicht veröffentlichen. Er kann keine Dateien hochladen, also z. B. keine Bilder in seine Beiträge einfügen.
  5. Der Abonnent hat Zugang zum Backend, darf aber nur das eigene Profil bearbeiten, z. B. sein Passwort ändern. Er bekommt durch seine Anmeldung nur Leserechte der Seite.

Je nach Art um Umfang und Art des Webauftritts können also Aufgaben an Mitarbeiter mit speziellen Rechten vergeben werden. Mit geeigneten Plugins lässt sich die Rechteverwaltung noch erheblich erweitern. Etwa bestimmte Kategorien nur für die davor vorgesehenen Mitarbeiter zur Bearbeitung frei zu geben. Oder für umfangreichen Content Co‐Autoren zu bestimmen, die gemeinsam an einem Thema arbeiten und vieles mehr.

Grundsätzlich gilt immer: Keine unnötigen Rechte vergeben. Die Administratoren‐Rechte sollten beim Inhaber der Seite und bei dem beauftragten Webmaster bleiben.

6. Updates

Ganz wichtig ist es, alle verwendeten Module auf den neuesten Stand zu halten. Jede Software hat Sicherheitslücken, so auch WordPress. Eine hundertprozentige Sicherheit gibt es nicht. Alle verfügbaren Updates sollten zeitnah nach Erscheinen installiert werden. Ein Kennzeichen einer guten Software ist, dass auf bekannt gewordene Sicherheitslücken schnell mit einem Patch reagiert wird. Es ist also nicht damit getan, eines der vielen Security‐Plugins zu installieren um sich dann in Sicherheit zu wiegen. Das betrifft nicht nur WordPress selbst, sondern auch die Themes und Plugins, die verwendet werden.

Mit WordPress Version 5.5 wurde die automatische Aktualisierung von Plugins eingeführt. Im Backend kann die automaische Aktualisierung für jedes Plugin einzeln eingestellt werden. Das erleichtert die Pflege einer WordPress-Seite natürlich sehr – wird aber in der Fachwelt teilweise kritisch gesehen. Plugins könnten sich gegenseitig in die Quere kommen. Bei der Vielzahl an Plugins, die sich allein im offiziellen Plugin-Verzeichnis bei WordPress befinden, kann es durchaus vorkommen, dass sich zwei Plugins nach einer Aktualisierung zusammen nicht mehr vertragen und Fehler produzieren, die die ganze Seite lahmlegen können.

7. Sicherheit bei der Auswahl von Plugins

Im offiziellen → Plugin‐Verzeichnis von WordPress sind aktuell über 58 000 Plugins gelistet. PHP-Programmierer können dort selbst entwickelte Plugins einreichen. Sie werden vor der Veröffentlichung manuell auf ihre Funktionalität und Unbedenklichkeit geprüft. Ob sie auch mit der eigenen Installation und zusammen mit anderen Plugins reibungslos funktionieren, kann nicht garatiert werden. Bei Plugins von Anbietern, die nicht im WordPress‐Verzeichnis gelistet sind, ist Vorsicht geboten. Der Sicherheitsaspekt ist hier wichtiger als bei Themes, weil Plugins sehr komplexe Funktionen in den WordPress‐Core implementieren können. Hilfreich ist es, im Plugin‐Verzeichnis die Angaben zu dem Plugin zu betrachten. Wie häufig wird es verwendet? Wann ist es zuletzt aktualisiert worden? Getestet mit welcher WordPress‐Version usw. Mit der Schaltfläche »Beliebteste« lassen sich die Einträge nach der Häufigkeit Ihrer Verwendung sortieren. Mit der Suchmaske kann nach bestimmten Funktionen gesucht werden.