24. Februar 2021

Sicherheit bei WordPress-Systemen

Sichern Sie Ihre Website gegen Angriffe ab!

Über 60 Prozent der weltweiten auf einem Content-Management-System basierten Webseiten nutzen WordPress. Auch wir haben unseren Fokus seit vielen Jahren auf dieses System gelegt und sind über die stetigen Weiterentwicklungen immer wieder begeistert. Verbreitete Systeme haben allerdings den Nachteil, dass sie häufiger von Angriffen betroffen sind, weil potentielle Cyber-Kriminelle dadurch natürlich mehr Schlagkraft bei ihren digitalen Einbrüchen erwarten.

Aufgrund dessen und weil sich aktuell die Angriffe auf WordPress-Systeme häufen, möchten wir  Sie zu dem Thema allgemein informieren und Ihnen zu einigen vorsorglichen Sicherheitsmaßnahmen raten.

Regelmäßige Systempflege und Updates

Webseiten und Content-Management-Systeme sind ähnlich zu sehen wie Betriebssysteme. Von Zeit zu Zeit sind Updates notwendig und sinnvoll um einerseits Sicherheitslücken zu schließen, aber auch um neue Features zu erhalten.

WordPress hat mit der Version 5.6 die Auto-Update-Funktion kürzlich auf die Erweiterungen ausgeweitet. Somit kann eine Vielzahl an Erweiterungen und das Basissystem selbst vollautomatisch mit Aktualisierungen versorgt werden. Wir empfehlen die Auto-Update-Funktion allerdings nur für unkritische Plugins einzusetzen. Große Versionssprünge vom System selbst sollten natürlich weiterhin unter Aufsicht erfolgen.

Gerne richten wir für Ihre Webseite einen Update-Reminder ein. Wir sprechen Sie dann zumindest 2x im Jahr auf mögliche Updates an und entscheiden dann gemeinsam, ob wir diese durchführen oder nicht.

Weitere Sicherheitsempfehlungen

Deaktivierung der XML-RPC Schnittstelle

Diese Schnittstelle wird von externen Apps verwendet um auf die Inhalte des WordPress-Systems zuzugreifen. Die WordPress-App nutzt beispielsweise diese Methode um Inhalte zu publizieren. Die meisten unserer Kunden nutzen allerdings das Dashboard zur Verwaltung der Systeme, daher kann diese Schnittstelle deaktiviert werden.

Absicherung des Theme-Editors

Sobald ein Eindringling Zugang zum System hat, kann er mit dem Editor prinzipiell die Theme-Dateien bearbeiten und so Schadcode einschleusen. Durch Deaktivierung des Theme-Editors kann diesem vorgebeugt werden.

Prüfung des Admin-Users 

Bei älteren WordPress-Systemen trug der Admin-User standardmäßig den Namen „admin“. Dadurch ist bereits ein Teil der „Username / Passwort“-Kombination bekannt. Wir prüfen den Admin-User, nennen ihn ggf. um und setzen ein neues, komplexes Passwort. Zusätzlich sorgen wir dafür, dass die Namen der WordPress-Autoren über die REST-API nicht eingelesen werden können.

Verhinderung von mehrfachen Loginversuchen

Mithilfe von Brute Force Attacken versuchen Angreifer durch einfaches ausprobieren von unzähligen „Username / Passwort“-Kombinationen Zugang zu erhalten. Mithilfe einer WordPress-Erweiterung können wir dafür sorgen, dass diese User nach X Versuchen ausgesperrt werden und verhindern somit „Glückstreffer“ bei unsicheren Passwörtern. 

Dies gilt übrigens nicht nur für den in der Regel von uns betreuten Admin-User, sondern auch für die Zugänge aller Redakteure!

Sicherung des Upload-Verzeichnisses

Auch das Upload-Verzeichnis von WordPress kann durch das Hochladen von ausführbaren Dateien ein offenes Tor zum Homepage-System darstellen. Wir empfehlen daher die Ausführung von PHP-Code im Upload-Verzeichnis generell zu unterbinden.

Wir können nicht garantieren, dass diese Maßnahmen ausreichen, aber sie machen es Menschen mit bösen Absichten zumindest etwas schwerer Ihre Webseite anzugreifen.

Haben Sie weitere Fragen zum Thema Sicherheit oder möchten Ihre Webseite besser absichern?

Bitte sprechen Sie einfach Ihren Ansprechpartner aus unserem Web-Team an:

🍪 Wir optimieren unsere Webseite mit Cookies

Cookies machen das Leben schöner und so auch Webseiten. Wir wissen, dass dieser Text von keiner Person gelesen wird, daher versuchen wir an dieser Stelle auch nicht zu erklären wie Cookies funktionieren, sondern verweisen auf unsere Datenschutzerklärung.

  • Standard
    Wesentliche Services und Funktionen
  • Komfort
    Ermöglicht Komfortfunktionen dieser Webseite (beispielsweise die Darstellung von Videoinhalten (Youtube, Vimeo) oder die Ortung durch Google Maps)
  • Performance
    Zur Optimierung des Usererlebnisses durch die Erfassung und Auswertung des Besuchsverhaltens.
  • Marketing
    Einsatz von Tools und Diensten zur Erfolgsmessung von Marketing-Maßnahmen und / oder Werbung.