• LinkedIn
  • Twitter
  • Youtube
  • Instagram
  • Soundcloud
  • Pinterest
  • Mail
  • DATENSCHUTZ
  • SEO gratis!
  • datenschmutz.Bulletin
datenschmutz.blog | Ritchie Pettauer
  • Home
    • datenschmutz.blog
    • Online Marketing Tutorials
    • Online Marketing News
    • Videopodcasts
    • datenschmutz KULINARIUM
    • Astrids Kolumne
    • Archiv 2006 – 2019
  • Beratung
    • Workshop: LinkedIn für Unternehmen
    • Workshops: Online Strategie
    • Fachartikel: Marketing mit LinkedIn
    • Fachartikel: HR mit LinkedIn
  • Vorträge
    • Keynotes & Moderation
    • Keynote-Themen
    • Referenzen
    • Vortragsanfrage
  • #LinkedInShow
    • Aktuelle Sendung
    • Archiv
    • LinkedIn Profiloptimierung (E-Book)
    • Marketing mit LinkedIn
  • Podcast
    • Staffel 1
    • Staffel 2
  • Glossar
  • Literatur
  • Termine
  • Shop
  • RitchieRitchie Pettauer, der Autor
    • Presse-Clippings
    • Ritchie im Social Web
    • Ritchie bewerten!
    • Partner | pnc Netzwerk
  • Kontakt
    • Video-Call buchen
    • Testimonial einreichen
    • Werbung / Mediakit
  • Suche
  • Menü Menü

WordPress Sicherheit: Ausreichend Schutz vor Hackern

22.04.2014/6 Kommentare/in /von Ritchie Pettauer
Teilen
Teilen
Twittern
WhatsApp
Print

Um eine WordPress-Installation zu hundert Prozent vor Angriffen und Hacks zu schützen, existiert in diesem uns bekannten Teil des Universums nur eine einzige Möglichkeit: man lässt das CMS lokal auf einem Rechner laufen, der völlig vom Internet getrennt ist. Kein Netzwerkkabel, kein WLAN, kein Bluetooth. Da diese Variante aber im Großteil der Anwendungsfälle nicht mit der Intention des Blogbetreibers, Information zu veröffentlichen, kompatibel sein dürfte, muss man ständig mit dem Risiko leben, verwundbar zu sein – und ein paar vergleichsweise simple Ratschläge beherzigen.

Jedes Plugin zu installieren, das im WordPress-Repository mit „Security“ getaggt ist und sich danach sicher zu fühlen, kann man zwar nicht direkt mit Homöopathie vergleichen (immerhin bieten manche Plugins deutlich mehr als puren psychologischen Placebo-Effekt), schießt aber schnell mal übers Ziel hinaus und im schlimmsten Fall sogar noch die Performance des Webservers ab. Außerdem sollen auch schon üble Sicherheitslücken in solchen Erweiterungen gefunden worden sein…

Also machen wir uns nichts vor: wenn weder Sony noch Adobe ihre Server absichern können, wenn der Heartbleed Bug zwei Jahre lange ungesehen im OpenSSL Code vor sich hinschlummern konnte, dann brauchen wir uns gar nicht erst in Sicherheit zu wiegen. Denn schließlich lautet ein altes chinesisches Sprichwort nicht umsonst:

Selbst der vorsichtigste WordPress-Administrator hat einen interessanten Webhoster. Und wenn er einen Rootserver betreibt, dann hat er ein interessantes Betriebssystem.

Soll heißen: ob Shared Space oder Managed Server oder selbst kompilierter Linux Core, Irren ist menschlich. Die wichtigste Vorbeugemaßnahme gegen allfällige feindliche Übernahmen des eigenen Blogs lautet also: regelmäßig Backups anfertigen! Das funktioniert bei kleineren Blogs mit Backup-Plugins ganz okay. Hier auf datenschmutz hab ich mittlerweile ein paar Gigs an Attachments und Fotos rumliegen, deshalb mach ich das ganze händisch über Terminal: zuerst kommt ein Datenbank-Dump dran, dann pack ich das ganze /www/ Verzeichnis in ein gzip-Archiv, das ich mir anschließend via abhole.

Dass der Admin-Nutzer nicht „admin“ heißen sollte, WordPress und Plugins zeitnah upgedatet werden wollen, man sich bei letzteren besser aufs Nötigste beschränkt und dass sich die Passwörter für (s)ftp-Zugang, Datenbank und Admin-User unterscheiden sollten, hat sich mittlerweile hoffentlich herumgesprochen. Ein starkes Passwort ist natürlich ebenfalls ein Muss, ein anderes mySQL-Tabellen-Präfix als das standardmäßig eingestellte wp_ erschwert zumindest Datenbank-Injections. Datenübertragungen von/zum Server sollten nicht via ftp erfolgen, sondern ausschließlich über die sichere Variante sftp verwenden – ganz besonders in öffentlichen WLANs, wo auch das beste Passwort keinen Schutz vor Lauschangriffen bietet, wenn man nicht den WordPress-Admin auf SSL-umstellt. Besonders Vorsichtige empfehlen zusätzlich, Autor- und Admin-Nutzer zu trennen, aber die dauerende Umloggerei wär mir persönlich zu umständlich.

Sensible Daten via SSL verschlüsselt übertragen

Update, 26.4.2014: Martin Leyrer hat mich auf eine weitere grundlegende Maßnahme hingewiesen – SSL Verschlüsselung für den gesamten Admin-Bereich. Verzichtet man auf diese verschlüsselte Datenübertragung, dann hebeln potentiell Lauscher in öffentlichen WLANs nämlich jede Passwortabfrage aus:

Wenn man sein WP nämlich aus dem Kaffehaus, etc. administriert kann JEDER, der das WLAN mitbenutzt, auch das WP-Adminpasswort mitlesen. Und zwar mit trivialem Aufwand. Und da ist es vollkommen egal, ob man nun ein oder zwei Passwörter eingeben muss und ob WP oder der Apache dieses verifiziert.

Wie einfach das in der Praxis funktioniert, zeigt Martin in diesem Video.

Die Einrichtung von SSL ist leider nicht ganz trivial – erstens hängen die konkreten Schritte von der jeweiligen Hostinglösung (eigener Rootserver, Managed Server oder Shared Space), zweitens vom Betriebssystem und drittens vom eigenen Webserver ab. Die Erstellung eines eigenen Zertifikats ist keine Hexerei, in vielen Fällen erleichtert das Plugin WordPress SSL den Prozess. Eine ausführliche englischsprachige Anleitung gibt’s hier.

Sicherheitsschloss für den Admin-Bereich

Den Administrationsbereich, also jenen Teil einer WordPress Installation, der sich im Verzeichnis abspielt, mit einem Extra-Schloss auszurüsten, ist an sich eine ganz hervorragende Idee, sofern sich am Blog sowieso keine Nutzer registrieren dürfen. Muss sich ein Angreifer erstmal mit der serverseitigen Passwortabfrage rumplagen, kommt er an viele Hebel und Einfallstore erstmal gar nicht ran. Gefürchtete Brute-Force-Attacken, bei denen in rascher Folge ein große Anzahl von Usernamen/Passwort-Kombinationen durchprobiert werden, fallen somit schon mal flach – sofern man für diesen sogenannten htaccess-Schutz eine nicht leicht bis unmöglich zu erratende Kombination verwendet.

Damit erspart man sich auch die Installation weitgehende sinnbefreiter Schutz-Plugins á la „Limit Login Attempts“, die nach x-maliger falscher Passworteingabe eine bestimmte IP-Adresse für y Stunden sperren. Sinnbefreit deshalb, weil solche Angriffe in der Regel nicht von Script-Kiddies, sondern Botnetzen kommen, und die wechseln ihre IP-Adressen schneller als Gina Lisa ihre Schönheitschirurgen.

Viele Webhoster ermöglichen einen solchen Verzeichnisschutz über Administrations-Interface – ABER: man sollte keinesfalls das ganze /wp-admin/ Verzeichnis schützen, sondern lediglich die Datei wp-login.php! Das erspart Probleme mit einzenlen Dateien, die auch am Frontend aus /wp-admin/ geladen werden, zum Beispiel Fehlermeldungen bei versehentlich leer gelassenen Kommentarfeldern. Wie das funktioniert, hat Sergej Müller ganz wunderbar erklärt, technisches Vorwissen ist für die Umsetzung seiner 5-Minuten-Anleitung nicht erforderlich: Mehr Sicherheit für WordPress durch den „Admin“ Schutz.

Wer sein WordPress nicht am Apache-Server laufen hat, kennt sich mit Alternativen für nginx und Co. hoffentlich gut genug aus. Sollte jedoch der Webhoster trotz Apache keine .htaccess Funktionalität bieten – dann wird’s höchste Zeit für einen neuen Webhoster.

Nicht übertreiben mit den Security-Plugins!

Mit diesen Tipps (sicheres Passwort, eigenes Tabellen-Präfix, abgesicherter Admin) werden 90% aller potentiellen Attacken von Ihrer WordPress-Installation abprallen wie Schmeißfliegen von einem Nissan NSX auf der Autobahn. Die folgenden Security-Plugins sind nicht gänzlich überflüssig und haben sich bei mir recht gut bewährt.

BBQ – Block Bad Queries: ein simples, kleines Filterscript, das bekannte „malicious requests“ im Hintergrund block – Konfiguration überflüssig.

Wordfence: Firewall, umfangreiche Blocking- und Throttling Optionen und Scanning auf veränderte Core-Dateien bzw. „malicious URLs“ in Kommentaren. Obendrauf gibt’s noch die hauseigene Caching-Engine „Falcon“, die ich gerade ausprobiere. Zahlende Nutzer bekommen zusätzlich 2-Faktor-Authentifizierung via SMS.

Acunetix WordPress Security Plugin: zeigt auf eine Blick die aktuelle Konfiguration an und weist auf potentielle Sicherheitslücken hin. Vor allem bei älteren Installation hilfreich, um schnell mal zu überprüfen, ob die Dateirechte ausreichend restriktiv gesetzt und leere index.php Dateien in /wp-content/ und anderen Verzeichnissen vorhanden sind. Kein Plugin, das dauerend aktiviert sein muss, aber hilfreich, um allfälligen Einfallstoren auf die Schliche zu kommen und diese zu beseitigen. iThemes Security macht den gleichen Job und hilft nötigenfalls auch bei der Umbenennung des Admin-Users.

Felloazit: Kein noch so mächtiges Sicherheitsplugin ersetzt ein wenig Hausverstand und Selbstdisziplin bei der Passwortvergabe. Wer auf Nutzerregistrierungen verzichten kann, schützt sich mit einer Kombination aus serverseitiger Passwort-Abfrage für die wp-login.php Datei und SSL für den WordPress Admin am effizientesten vor einer ganzen Reihe von Angriffen.

Teilen
Teilen
Twittern
WhatsApp
Print
https://datenschmutz.net/wp-content/uploads/2020/02/datenschmutz-weblogo2.png 0 0 Ritchie Pettauer https://datenschmutz.net/wp-content/uploads/2020/02/datenschmutz-weblogo2.png Ritchie Pettauer2014-04-22 17:22:302018-01-24 13:59:56WordPress Sicherheit: Ausreichend Schutz vor Hackern
6 Kommentare

Hinterlasse einen Kommentar

Schreibe einen Kommentar Antworten abbrechen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Möchten Sie neue Kommentare abonnieren?
Wann möchten Sie Ihre Benachrichtungen erhalten?
Sie können auch Kommentare zu diesem Beitrag abonnieren, ohne selbst zu kommentieren.

Ritchie Pettauer, Online Strategie Berater
Herzlich willkommen! Als erfahrener Online-Stratege und LinkedIn-Experte berate ich dich in allen Content-Marketing, Social-Selling und Personal-Branding Fragen.
Buchen jetzt deinen kostenfreien Strategie-Call!

Dieser Newsletter ist zu exklusiv. Bitte nicht abonnieren.

Pflichtfeld!
Pflichtfeld!
Pflichtfeld!
Absenden
Datenschutz, Analyse & Widerruf

Neueste Blogbeiträge

#LinkedInShow #live

#LinkedInShow #44 mit Felix Thönnessen

#LinkedInShow #44: Felix Thönnessen über Start-Up Marketing | Wie viele Kontakte brauchst du?

https://datenschmutz.net/wp-content/uploads/2020/06/f0-lishow44.jpg 355 700 Ritchie Pettauer https://datenschmutz.net/wp-content/uploads/2020/02/datenschmutz-weblogo2.png Ritchie Pettauer2020-06-22 12:27:262020-06-22 12:27:26#LinkedInShow #44: Felix Thönnessen über Start-Up Marketing | Wie viele Kontakte brauchst du?

Aktueller Podcast

Profilerin Patricia Staniek im datenschmutz Podcast

Patricia Staniek über Profiling in Video-Konferenzen (s02e16)

https://datenschmutz.net/wp-content/uploads/2020/06/s02e16-patricia-staniek-blog.jpg 355 700 Ritchie Pettauer https://datenschmutz.net/wp-content/uploads/2020/02/datenschmutz-weblogo2.png Ritchie Pettauer2020-06-16 11:05:492020-06-16 11:05:49Patricia Staniek über Profiling in Video-Konferenzen (s02e16)

Druckfrische #Buchempfehlung

Digitale Marketing Strategien

Rupp, Miriam: Storytelling für Unternehmen

https://datenschmutz.net/wp-content/uploads/2018/01/f0-socialmedialiteratur.jpg 355 700 Ritchie Pettauer https://datenschmutz.net/wp-content/uploads/2020/02/datenschmutz-weblogo2.png Ritchie Pettauer2019-11-27 09:37:302020-01-16 22:56:34Rupp, Miriam: Storytelling für Unternehmen

Zufälliger Glossar-Eintrag

Öffentliche Vorträge & Workshops

21Apr

LinkedIn Workshop: Profiloptimierung und Jobsucheöffentlich / kostenpflichtig

Mittwoch, Zoom Workshop
Details
28Jun

Blog- und Website-Erstellung mit WordPress (2-Tages-Kurs)öffentlich / kostenpflichtig

Montag, bfi Wien
Details
29Jun

Blog- und Website-Erstellung mit WordPress (2-Tages-Kurs)öffentlich / kostenpflichtig

Dienstag, bfi Wien
Details
Keine Veranstaltung gefunden

Neu im Blog:

02.06.2020/von Ritchie PettauerSchlagworte:Algorithmus, Dwell-Time, LinkedIn, Newsfeed, Reichweite, Update, Verweildauer

LinkedIn Dwell-Time Update: Der neue Algorithmus (Juni 2020), die Verweildauer & 1 Experiment

08.05.2020/von Ritchie PettauerSchlagworte:mblog

LinkedIn Live: Zugriff bekommen, Reichweite steigern?

15.04.2020/von Ritchie PettauerSchlagworte:mblog

Frohe Ostern 2020 wünschen Pula, Capri & Ritchie!

24.02.2020/von Ritchie PettauerSchlagworte:Company Page, Identität, LinkedIn

Auf LinkedIn als Company Page Status Updates kommentieren & liken (Hack)

17.02.2020/von Ritchie PettauerSchlagworte:Featured Box, LinkedIn, Multimedia, Profiloptimierung

LinkedIn: Die neue „Featured“ Box aus Personal Branding Sicht

12.01.2020/von Ritchie Pettauer

Video Hardware fürs Streaming Studio: Greenscreen, Kamera, Mikrofon & Licht

02.01.2020/von Ritchie PettauerSchlagworte:2020, Neujahr, Silvester

Prosit 2020! Auf ein gutes, neues Jahr & Jahrzehnt!

18.11.2019/von Ritchie PettauerSchlagworte:Audiohardware, RCA Line-In, Soundblaster, Soundkarte, Streaming Audio, ZxR

Soundblaster ZxR: RCA Line-In Eingang unter Windows 10 aktivieren (Anleitung)

06.11.2019/von Anna PiankaSchlagworte:Backlinks, Keywords, SEO Tool, Werkzeug

SEO DIVER – Wir lassen die kostenlose SEO Toolsammlung auf datenschmutz.net los

26.10.2019/von Ritchie PettauerSchlagworte:b2b, DACH, Langzeitstudie

Social Media B2B Studie 2019: Die Ergebnisse sind da!

Blogheim.at Logo © Copyright pnc Online Marketing Beratung 2020 |
  • LinkedIn
  • Twitter
  • Youtube
  • Instagram
  • Soundcloud
  • Pinterest
  • Mail
  • Offenlegung
  • Datenschutz
  • Impressum
datenschmutz wünscht ein frohes Osterfest! G+ Reichweite: 4 essentielle Tipps für mehr Shares und mehr +1s auf Google... Nach oben scrollen

Diese Seite verwendet Cookies.

OKEinstellungenDatenschutz

Cookie and Privacy Settings



Wie Cookies verwendet werden

Wenn Sie diese Seite besuchen, werden möglicherweise Cookies auf Ihrem Gerät gespeichert. Ich verwende diese Cookies um herauszufinden, wann Sie meine Seite besuchen und wie Sie mit mir interagieren, um die Benutzererfahrung zu verbessern und personalisierte Inhalte anzubieten.

Klicken Sie auf die einzelnen Tabs, um mehr herauszufinden bzw. Ihre Privacy-Einstellungen zu ändern. Bitte beachten Sie aber, dass die Deaktivierung einzelner Cookies Funktionen der Seite beeinträchtigen kann.

Essential Website Cookies

Diese Cookies sind technisch unbedingt notwendig, um Ihnen bestimmte Funktionen meiner Webseite zur Verfügung zu stellen.

Die Deaktivierung dieser Cookies würde die Seite beeinträchtigen. Sie können Sie blockieren oder löschen, indem Sie ihre Browsereinstellungen entsprechend anpassen und alle Cookies von datenschmutz.net blockieren.

Google Analytics Cookies

Diese Cookies sammeln Informationen, die entweder in aggregierter Form verwenden werden, um mehr über die Nutzung der Webseite , und die Effektivität von Marketing-Kampagnen herauszufinden bzw. um die Webseite besser an die Bedürfnisse meiner Besucher anzupassen.

Wenn Sie nicht möchten, dass Google Analytics Ihre pseudonymisierten Daten trackt, dann können Sie die Funktion hier deaktivieren:

Andere externe Services

datenschmutz.net nutzt verschiedene externe Services wie Google Webfonts, Google Maps sowie externe Video-Provider. Da diese Anbieter möglicherweise Ihre persönlichen Daten (etwa die IP-Adressen speichern), ermöglichen wir Ihnen hier, sie zu blockieren. Bitte beachten Sie, dass diese Einstellungen möglicherweise die Funktion und das Design der Seite beeinträchtigen. Die Änderungen werden wirksam, sobald Sie die Seite neu laden.

Google Webfont Settings:

Google Map Settings:

Vimeo and Youtube video embeds:

Datenschutzerklärung

Ausführliche Informationen zur Verarbeitung Ihrer Daten auf datenschmutz.net finden Sie in meiner Datenschutzerklärung.

Accept settingsHide notification only