Wordpress-Wochenende

Sicherheitscheck!

Ich bin ganz aufgeregt, denn heute geht es los mit dem WordPress-Wochenende! 🙂  Als erstes Thema habe ich mir etwas herausgesucht, was mehrmals von euch gewünscht wurde und was ich aufgrund der letzten Probleme als besonders aktuell betrachte: Sicherheit. Sicherheit ist im Internet ein äußerst wichtiges Thema, auf das wirklich jeder ein Auge haben sollte und das eigentlich schon bevor etwas passiert. 😉 In diesem Beitrag möchte ich mal die Spitze des Eisbergs anschauen, was man machen kann, um seinen Blog etwas sicherer zu machen. Selbstverständlich ist das kein Garant dafür, dass euer Blog/ eure Webseite nicht angegriffen oder übernommen werden kann, aber es macht einen Angriff schon etwas schwieriger.

Sicherheitsgrundlagen

Das A und O bei der Anmeldung auf irgendwelchen Webseiten oder für die Benutzung deines Blogs sind sichere Passwörter! Ihr habt es bestimmt schon tausendmal gehört, aber auch zum Tausendundeinsten Mal kann es nicht schaden. 😉 Hier die wichtigsten Dinge, die zu beachten sind:

  • Nutz deine Passwörter nicht mehrmals
  • Ändere deine Passwörter regelmäßig
  • Wähle satzartige Passwörter oder eine lange komplizierte Folge von Großbuchstaben, Kleinbuchstaben, Zahlen und Sonderzeichen
  • Und ganz wichtig: gib dein Passwort niemals weiter!
Quelle: xkcd.com/936

Ebenso wichtig sind bei einer WordPress-Seite/ einem WordPress-Blog die richtigen Benutzerrollen. Benutzerrollen werden für die verschiedenen Rechte auf deiner Webseite verwendet. Dabei hat jede Rolle verschiedene Rechte. Der Administrator ist die Rolle, die Rechte für alles hat und alles auf deiner Webseite darf. Daher ist es sehr, sehr wichtig, hierbei einige Dinge zu beachten:

  • Es sollte nur EINEN Administrator geben
  • Mit dem Administrator werden keine Beiträge oder Seiten veröffentlicht oder Bilder hochgeladen
  • Der Benutzername des Administrators sollte nicht „Administrator“, „Webmaster“ oder „Admin“ sein, sondern am besten etwas ganz individuelles

Mehr über die verschiedenen Benutzerrollen bei WordPress erfährst du hier.

Wenn du Daten über das Internet verschickst, ist es wichtig, dass dieses über eine gesicherte Verbindung passiert. Du hast jetzt ein super sicheres Passwort und einen fancy Administratornamen, gehst auf deine WordPress-Login-Seite, gibst deine Daten ein und schickst sie über das Internet dahin, wo sich dein WordPress befindet. Ist deine Verbindung nicht gesichert, werden deine Daten unverschlüsselt, das heißt genau so, wie du sie eingegeben hast, über das Internet verschickt und sind so für jeden lesbar. Na gut, vielleicht nicht für jeden, aber für jeden, der sich damit ein wenig auskennt. 😉 Daher empfehle ich es, für deine Seite/ deinen Blog ein SSL-/TLS-Zertifikat zu haben. Dieses bekommst du bei deinem Hosting-Anbieter, also da, wo du deine Webseite gebucht hast. Mit dem SSL-/TLS-Zertifikat ist deine Seite mittels „https“ erreichbar und alle Daten werden verschlüsselt übermittelt.

Mein Browser sagt mir zum Beispiel auch, ob eine Seite „sicher“ ist.

Backups

Wenn es um die Sicherheit für dich selbst geht, sind Backups ein ganz großes Thema. Manchmal kann, wie auch immer, etwas auf deiner Seite kaputt gehen oder trotz aller Sicherheitsvorkehrungen wurde dein Blog/ deine Seite gehackt. Dann ist es sinnvoll, wenn man ein nicht so altes Backup zur Hand hat, was man dann nutzen kann. 

Es gibt mehrere Möglichkeiten für Backups:

  • Selbstständiges Erstellen eines Backups
  • Backup durch den Hostinganbieter
  • Backup durch ein Plugin

Das selbstständige Erstellen eines Backups ist meiner Meinung nach eher zu empfehlen, wenn sich die Inhalte auf der Webseite eher selten ändern. Es ist übrigens nicht damit getan, die Beiträge und Kommentare zu exportieren. 😉 Da man bei dieser Methode schnell auch mal vergessen kann ein neues Backup zu machen, finde ich automatische Backups besser. Ich nutze dazu die Backups durch meinen Hostinganbieter und bin damit absolut zufrieden. Täglich wird ein Backup gemacht und bei größeren Änderungen, mache ich sicherheitshalber noch einmal vorher ein Backup. Solltest du automatische Backups über ein Plugin machen, dann achte auch darauf, dass der Speicherplatz für die Backups immer vorhanden ist und lösche zwischendurch mal zu alte Backups.

Updates

Was bei WordPress niemals zu verachten sind, sind die Updates! Es ist wirklich unglaublich wichtig, dass du regelmäßig Updates machst, da mit den Updates nicht nur Funktionen verbessert werden, sondern auch Sicherheitslücken, also Fehler, die es ermöglichen deine Seite/ deinen Blog zu übernehmen, geschlossen werden. Mindestens einmal in der Woche solltest du nach neuen Updates schauen und diese installieren. Da beim Installieren von Updates deine Seite kurzzeitig nicht erreichbar ist, solltest du die Updates am besten zu Besucher-schwachen Zeit machen. Ich mache meine Updates zum Beispiel am liebsten Nachts.

Was du regelmäßig updaten solltest:

  • WordPress-Version
  • Plugins
  • Dein Theme

Ich bin ehrlich gesagt kein Fan von den automatischen Updates von WordPress, weil es schon vorgekommen ist, dass WordPress-Versionen noch Fehler mit sich gebracht haben. Daher warte ich immer so 1-2 Tage, nachdem die Nachricht, dass es eine neue WordPressversion gibt, bei mir aufgetaucht ist, bis ich die neuste Version installiere. Es ist aber wichtig, dass man nicht zu lange mit dem Aktualisieren der WordPressversion wartet. Die Hackercommunity ist sehr fix darin neue Sicherheitslücken zu entdecken. 😉

Aber auch für Plugins gibt es regelmäßig neue Updates. Wenn ich in meinem WordPress-Dashboard sehe, dass es neue Updates für meine Plugins gibt, schaue ich mir vor dem Aktualisieren an, ob die neuste Plugin-Version mit meiner WordPress-Version kompatibel ist – das steht zum Glück schon direkt unter dem Plugin. Sollte das nicht der Fall sein, gucke ich, was das Plugin denn für Neuerungen mit sich bringt und überlege dann, ob ich es riskieren kann, das Plugin zu aktualisieren.

Außerdem sollte man nie vergessen auch sein Theme – also sein Design – regelmäßig zu updaten. Wenn man alles ordentlich eingerichtet hat, sollte dabei auch eigentlich nichts kaputt gehen, aber zum Thema Design, Childtheme und Co. kommen wir auch noch. 😉 Ich bevorzuge übrigens Themes mit regelmäßigen Updates, weil es auch beim Design Sicherheitslücken geben kann! Vor der Aktualisierung eines Themes ist es besonders wichtig, ein Backup zu machen, da sich bei der Aktualisierung schon mal eine Menge ändern kann. Für das Update eines Themes würde ich mir also auch ausreichend Zeit nehmen, weil man immer damit rechnen muss, dass man das nicht so nebenbei machen kann und man auf Änderungen reagieren muss.

Plugins

Zu dem Thema Plugins kommen wir in zwei Wochen noch mal genauer. Es gibt aber trotzdem zwei Sicherheitsplugins, die ich an dieser Stelle kurz vorstellen möchte.

AntispamBee
„AntispamBee“ ist, wie der Name schon vermuten lässt, ein Plugin gegen Spamkommentare. Das Plugin schaut sich die verschiedenen Kommentare an und prüft dann, ob diese Spam sein könnten. Ich finde das sehr hilfreich, weil es doch Kommentare gibt, bei denen man auf den ersten Blick nicht sieht, ob sie Spam sind oder nicht und man will sich ja nichts einfangen. Bei vielen WordPress-Installationen ist „Akismet“ als Anti-Spam-Plugin installiert. Dazu folgender Hinweis:

Akismet erhebt eine Menge Daten (IP, Kommentarname, Kommentarmailadresse, Kommentar, Browser und viele weitere), sendet und speichert diese auf Servern in den USA. Dies ist nach dem deutschen und europäischen Datenschutzrecht nur mit einer Einwilligung der Kommentatoren erlaubt, weil die USA nach unserem Gesetz als ein Land ohne hinreichendes Datenschutzniveau gelten. – Quelle: wpde.org

iThemes Security
Auch bei „iThemes Security“ lässt sich schon vom Namen ableiten, dass es bei diesem Plugin um Sicherheit geht. Es fügt deinem Blog ein Paar mehr Sicherheitsfunktionen hinzu. Ich denke, für den Anfang ist man dann auch ganz gut mit den Standardeinstellungen von „iThemes Security“ bedient. 🙂

 

Möchtest du zu einem der Themen noch tiefere Informationen?

Tati, 27, süchtig nach Büchern, Nagellack und Toffifee, Informatikerin, Backfee, angehende Autorin, Webentwicklerin, verheiratet, viel zu neugierig, perfektionistisch und immer ein Lächeln auf dem Gesicht. Noch mehr erfährst du mit einem Klick.

17 Comments

  • Buchbahnhof

    Hallo Tati,
    Danke für den sehr spannenden Beitrag.

    Das Einzige, was ich nicht verstehe ist: „Mit dem Administrator werden keine Beiträge veröffentlicht oder Bilder hochgeladen.“ Warum nicht? Was könnte passieren? Ich bin jetzt seit 7 Jahren bei WordPress und da ich die Einzige bin, die auf meinen Blog Zugriff hat, arbeite ich schon immer als Admin und habe gar keine weiteren Benutzer. Hier wäre ich für nähere Erläuterungen dankbar!
    LG
    Yvonne

    • Tatze

      Liebe Yvonne,

      es freut mich, dass dir der Beitrag gefällt. 🙂

      Es sollte niemals bekannt werden, wie der Benutzername des Administrators ist, weil dieser Benutzer gerade so viele Rechte hat. Benutzt man den Administrator zum Veröffentlichen von Beiträgen und/ oder zum Hochladen von Bildern, wird der Name deines Administrators bekannt. Hackerangriffe werden zuerst alle möglichen Benutzernamen, die sie auf deiner Seite finden können, verwenden. Sollte jetzt, wie auch immer, irgendein öffentlich bekannter Benutzer gehackt werden, kann der Angreifer im schlimmsten Fall Beiträge verändern, Bilder hochladen, Beiträge veröffentlichen usw. Sollte jedoch der Administratoraccount gehackt werden, kann der Angreifer alles mit deinem Blog machen – sogar dich selbst davon ausschließen. Daher ist es ratsam alles zu versuchen, um den Administratorbenutzer geheim zu halten.

      Ich hoffe, das war so verständlich. Sonst frag einfach noch mal nach. 😉

      Liebste Grüße,
      Tati

  • Elli

    Hi Tati 🙂
    Ein sehr gelungener Beitrag zum WordPress Wochenende!
    Ich weiß, wie schwierig es ist, technische Details für Menschen ohne Vorwissen zu erklären und ich finde, das ist dir sehr gut gelungen. 🙂
    Liebste Grüße,
    Elli

  • Madame Lustig

    Hallo meine liebe Tati,
    ich findet dieses Beitragsreihe wahnsinnig toll und danke dir für die Mühe, die du da reinsteckst. Ich steige zwar immer mehr durch WP durch, aber es gibt nach wie vor extrem viel, das ich nicht verstehe oder weiß und da bist du wie ein Licht am Ende eines langen Tunnels. Danke danke danke! 🙂

    Fühl dich ganz lieb gedrückt.
    Maike

    • Tatze

      Liebe Maike,

      ich freue mich sehr, dass die Reihe bei euch so gut ankommt. Es ist so schön, dass ich helfen kann. 🙂

      Liebste Grüße,
      Tati

  • Nelly

    Liebste Tati,
    ich finde es wirklich bewundernswert, wieviel Mühe Du Dir damit gibst, uns Laien etwas mehr WordPress näher zu bringen. Vielen Dank dafür!
    Einige deiner Tipps kannte ich ja bereits schon, weil Du sie mir von Anfang an eingertrichtert hast 😀 Und ich versuche mich auch immer daran zu halten, schon allein deswegen, weil Du es sonst ausbaden musst 😀
    Die Beitragsreihe ist auf jeden Fall der Hit und freue mich schon auf weitere Posts dazu

    Alles Liebe, Nelly

    • Tatze

      Liebste Nelly,

      „weil Du es sonst ausbaden musst“ ist tatsächlich einer der Gründe, warum ich mich für diese Beitragsreihe entschieden habe. So oft fallen mir Dinge bei anderen Blogs auf, da habe ich gehofft, mit dieser Reihe zumindest ein Paar erreicht. 🙂

      Liebste Grüße,
      Tati

  • Nicci Trallafitti

    Hey!
    Ein hilfreicher Beitrag zum Thema WordPress Sicherheit.
    Jedoch verstehe ich auch nach Lesen der Kommentare nicht, was es mit diesem Adminding auf sich hat.
    Wo soll ich denn den Namen davon ändern?
    Ist das nicht automatisch auch der Name der überall auftaucht wenn ich was schreibe?
    Und Fotos lade ich ja automatisch über dieses Mediending hoch, wo soll ich da denn einstellen, dass es in Wirklichkeit nicht der Admin macht? Hm.

    Liebe Grüße,
    Nicci

    • Tatze

      Liebe Nicci,

      ok, dann noch einmal von Anfang an. 😉 Du kannst für einen Blog verschiedene Benutzer haben und diesen verschiedene Rechte zuweisen. Diese Rechteverteilung nennt man Rollen. Bei WordPress sind solche Rollen zum Beispiel Administrator, Redakteur oder Mitarbeiter. Jede dieser Rollen hat verschiedene Rechte, also darf verschiedene Dinge. Ein Administrator darf alles auf dem Blog tun und ist damit die wichtigste und zugleich gefährlichste Rolle – denn wer die Kontrolle über den Administrator hat, hat die Kontrolle über den Blog. Hackt also jemand deinen Administrator hat er die Kontrolle über deinen Blog. Daher ist es ratsam nur einen Benutzer mit der Rolle Administrator zu haben und diesen Benutzer nur für Einstellungen usw. zu benutzen.

      Der Benutzer, der Administrator ist, wird also nicht bekannt, weil man Beiträge mit einem anderen Benutzer, der dann zum Beispiel die Rolle Redakteuer hat, schreibt, veröffentlicht usw. So kann ein Hacker nur diesen Benutzernamen auslesen und auch nur diesen Benutzer versuchen zu hacken. Das heißt, der Name des Benutzers, der überall auftaucht, sollte niemals der Benutzername des Administrators sein – für den ja auch noch andere Regeln gelten, die ich im Beitrag genannt habe und der übrigens beim Erstellen des Benutzers vergeben wird.

      Die Fotos, die du über den Bereich „Medien“ hochlädst, lädst du am besten mit dem Benutzer hoch, der nicht die Rolle Administrator hat.

      Kurz und knapp zusammengefasst: das System lebt am besten, wenn du mehr als einen Benutzer hast. 😉 Ich hoffe, ich konnte dir das ein bisschen besser erklären. Wenn du es noch nicht verstanden hast, sag einfach Bescheid. 🙂

      Liebste Grüße,
      Tati

  • Buchbahnhof

    Hallo Tati,
    ich muss nochmal eine Frage loswerden. Ich wollte jetzt endlich Jetpack deaktivieren, aber dann fehlt mir sowohl die Möglichtkeit, dass man meinem Blog per Mail folgen kann, als auch die Möglichkeit, Kommentare bzw. die Antworten darauf, als Mail zu abnonnieren. Hast du dafür eine andere Lösung?
    Statistik löse ich jetzt über Piwik, denn Google Analytics ist ja datenschutzrechtlich etwas umstritten. Piwik ist vom Landesdatenschutzzentrum in Schleswig-Holstein anerkannt, wenn man gewisse Einstellungen vornimmt.
    LG
    Yvonne

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.