WordPress kostenlos sicherer machen

WordPress sicher machen

Sie haben Glück: Wahrscheinlich interessiert sich kein Schaf für Ihre Homepage, ebenso wenig wie für meine, eben diese, die Sie gerade besuchen. Ich meine natürlich kein schwarzes Schaf unter den Wandlern im Internet, das seine dunklen Energien darauf verwendet, Ihre Inhalte zu zerstören, Ihre Apps zu verseuchen, Ihre Daten zu klauen. Würde das heute geschehen, stünde es morgen nicht in der Zeitung, mithin rentierte sich der ganze Aufwand nicht. Okay, das gilt nicht, wenn Sie Mitarbeiter eines populären Weltkonzerns oder des iranischen Verteidigungsministeriums sind. Trotzdem: Auch Sie und ich müssen stets die Absicherung unserer Homepages im Auge haben, schließlich steckt viel Arbeit darin. Was Sie dazu tun können, ohne Ihre Geldbörse zu belasten, erfahren Sie in diesem Artikel.

Moderne Internetpräsenzen werden heute mit web-basierten Content-Management-Systemen (CMS) erstellt, die meisten mit WordPress oder Joomla. Auch wenn ich mich hier auf WordPress beziehe, gibt es doch grundsätzlich falsches Verhalten bei Seitenbetreibern, das egal welches verwendete System weniger sicher macht. Zu selbstverständlich erscheint es, als dass man darauf hinweisen muss, aber gerade darum will ich es doch tun: Unwissenheit, Sorglosigkeit und Schlamperei sind oft die Väter der erfolgreichen Attacke.

Es gibt hunderte von Blogartikeln im deutschsprachigen Web zur Optimierung von WordPress, die teilweise detailliert Änderungen im Quellcode beschreiben. So weit können, aber müssen Sie nicht gehen. Einen Artikel für Otto Normaluser haben Sie ja bereits gefunden, und ich hoffe, Sie sind am Ende etwas schlauer als noch an dieser Stelle. Nutzen Sie die Links am Artikelende und hangeln Sie sich dann immer weiter. Auch, wenn nicht alles, auf das Sie stoßen werden, für Sie relevant oder leicht verständlich sein wird – Wissen schützt vor Schaden und Sie sind jetzt auf gutem Wege.

Und denken Sie nie, bei Ihnen wird schon keiner einbrechen. Es sind die anonymen Automaten, denen es Paroli zu bieten gilt (und nicht den eingangs erwähnten Hacker-Koryphäen). Die versuchen, Ihre Backend-Anmeldung zu knacken, Kommentar-Spam abzuladen, oder in verseuchten Komponenten von innen heraus Ihr System beschädigen wollen. Denen ist es ganz egal, wer Sie sind oder was Sie schreiben, die spammen auch den „Hallo Welt“-Musterartikel einer absolut jungfräulichen WordPress-Installation voll. Geben Sie sich also immer Mühe mit dem, was die Einrichtung Ihrer Homepage betrifft und prüfen Sie beispielsweise, welcher zusätzlichen Komponente für Ihr System Sie vertrauen wollen.

Und bleiben Sie konsequent in diesem Verhalten. Das Internet lebt und die Installation Ihrer Homepage ist niemals zu Ende. Schauen Sie öfter mal im Backend vorbei, auch wenn Sie nichts an Ihren Inhalten ändern wollen. WordPress und seine Plugins liefern Ihnen Updates frei Haus, nur einen Klick entfernt wartet eine auch sicherheitstechnisch verbesserte Version. Dass nach einem Update etwas nicht so funktioniert wie vorher, ist möglich, wenngleich bei Standard-Installationen eher unwahrscheinlich und nicht lebensbedrohend. Dennoch ist dieses Risiko ein guter Grund, sich um ein Daten-Backup Gedanken zu machen. Das kann man einem Plugin seiner Wahl überlassen, meine Websites werden von meinem Hoster gesichert und sind als Backup maximal 24 Stunden alt.

Kommen wir nun zu konkreten Maßnahmen. Sie sind der WordPress Admin Ihrer Homepage und Sie heißen auch so. Alle anderen, und das sind Millionen, haben standardmäßig den gleichen Namen. Das ist sicherheitstechnisch vornehm ausgedrückt nicht so gut, deshalb ändern wir ihn als erstes. Da WordPress das nicht direkt zulässt, gehen wir einen Umweg und legen im Menü „Benutzer“ einen neuen, zweiten Benutzer an und geben ihm die vollen Admin-Rechte. Das sind jetzt Sie mit Ihrem individuellen Anmeldenamen. Vervollständigen Sie Ihr Profil, indem Sie sich noch einen Spitznamen geben, mit dem WordPress Sie intern anredet. Dieser soll sich vom Anmeldenamen unterscheiden, und so sein, wie Sie ihn bei Ihren Veröffentlichungen als genannter Autor sehen wollen. Dazu müssen Sie ihn nur noch im Ausklappmenü „Öffentlicher Name“ auswählen. Nun haben Sie einen individuellen Anmeldenamen und einen abweichenden öffentlichen Namen. Ein Hinweis mit Bart bis zum Boden: Ihr Passwort gestalten Sie natürlich nicht zu simpel und nicht aus dem Wörterbuch, Sie mixen Groß- und Kleinbuchstaben mit Zahlen und Sonderzeichen, nicht wahr?. Melden Sie sich nun mit Ihrer alten Identität ab und mit der neuen an. Als erste Amtshandlung löschen Sie sodann den alten „admin“, danach installieren Sie ein Plugin, das die Fehlversuche beim Anmelden begrenzt.

Ich empfehle dazu Limit Login Attempts, auch wenn das letzte Update aus Mitte 2012 schon einige Zeit her ist. Damit kann man die Anzahl der Loginversuche festlegen, wie lange die entsprechende Zeitsperre dauern soll und wie oft man so eine Zeitsperre kassieren kann, bevor eine noch längere Sperre in Kraft tritt. Beim Blick in das Protokoll hat man dann immer wieder Aha-Erlebnisse, wie viele falsche admins die Homepage entern wollten. Dieses Maßnahmenbündel ist gewiss nicht das Ende aller Sicherheitsverbesserungen, jedoch ein sehr ordentlicher Basis-Schutz für Ihre „Bürotür“.

Der nächste Angriffspunkt ist die Kommentarfunktion bei Ihren Artikeln. Grundeinstellungen dazu können Sie direkt unter Einstellungen/Diskussionen in WordPress vornehmen, aber für eine einfache und effektive Spamerkennung und -bekämpfung empfiehlt sich unbedingt das Plugin Antispam Bee vom deutschen Entwickler Sergej Müller. In einem übersichtlichen Menü können Sie genau einstellen, was für Sie Spam ist und wie er behandelt werden soll. Fortan ist automatisiert abgeladener Textmüll kein Thema mehr für Sie. Auch AntiVirus ist von ihm. Dieses Plugin analysiert automatisch die Dateien Ihres WordPress-Templates und meldet verdächtige Codezeilen. Nicht immer ist dabei Handlungsbedarf angesagt, am besten lässt man sein frisch installiertes Template überprüfen und gibt unberechtigte Warnungen frei (manchmal ist auch ein Template nicht nach allen Regeln der Kunst programmiert). So stellt man sicher, dass man spätere Veränderungen im Code eindeutig identifiziert.

Wenn Sie sich auf die Suche nach weiteren Plugins machen, die Ihre Homepage nicht nur im Namen der Sicherheit verbessern, bedenken Sie dabei, dass jedes Plugin auch eine potentielle Gefahr darstellt. Sie wissen ja nicht, wie es programmiert wurde. Minimieren Sie das Risiko, indem Sie nur von der offiziellen WordPress Plugin-Website herunter laden. Das funktioniert auch mit den in diesem Artikel genannten Plugins direkt aus Ihrem Backend, Menü Plugins. Überlegen Sie aber vorher, welche Plugins Sie wirklich benötigen, auch weil Sie Ihre Hardware sonst unnötig belasten und langsamer machen. Vergleichen Sie zwischen ähnlichen Angeboten. Hat es sich schon bewährt, gibt es Updates, wer ist der Anbieter? Und wenn Ihnen eine Funktion wirklich wichtig ist, zahlen Sie eben doch mal Geld für so eine Komponente. Das ist nicht verwerflich.

Gleiches gilt für die Templates. Kostenfreie Templates von der offiziellen WordPress-Website bieten eine gewisse Sicherheit und sind für einfache Homepages auch durchaus in Ordnung. Gewerbliche Anbieter stellen ebenfalls oft eins, zwei kostenlose Magerversionen zur Verfügung. Für einen umfassenderen Webauftritt würde ich persönlich aber ein professionell programmiertes Template wählen und die geforderten 20,- bis 30,- Euro gerne zahlen. Leute, die davon leben, neigen nicht dazu, Ihre Kunden durch schädlichen Code zu verärgern. Genau wie ich, deshalb gehören auch alle genannten Maßnahmen zum Standard bei meiner Internet-Arbeit für mich und für Sie.

Weiterführende Links:
Die offizielle WordPress Plugin-Site
Tipps für ein sicheres Passwort inkl. Generator
Renommierte deutsche WordPress-Schmiede elmastudio

Quellennachweis Artikelbild: Composing unter Verwendung eines Bildes von marika/pixelio.de

Kommentar hinterlassen

E-Mail Adresse wird nicht veröffentlicht.


*