Die Anzahl der Websites, auf denen das Content Management System WordPress genutzt wird, steigt weltweit ständig weiter an. Allein im November 2016 wurden laut dem Portal Statista rund 23,57 Milliarden Page Views auf Blogs mit WordPress gezählt. Zu den größten Vorteilen des Content Management Systems zählt der Nutzerkomfort. Selbst der Laie wird damit in die Lage versetzt, neue Artikel auf seinen Websites blitzschnell einzupflegen.
Auch die Einbindung von Bildern, Videos oder Sounds wird durch die Vielzahl der verfügbaren Plugins zum Kinderspiel. Vorgefertigte Templates (in dem Falls Themes genannt) sorgen dafür, dass auch keine Fachkenntnisse des Webdesigns für die Erstellung von Homepages mehr benötigt werden. Viele Provider bieten außerdem inzwischen die One-Click-Installation auf günstigen Shared Servern an.
Websites mit WordPress stehen im Fokus der Hacker
Die Beliebtheit des offenen und flexibel anpassbaren Systems sorgt dafür, dass Websites mit WordPress in jüngster Zeit zur Zielscheibe von Hackern geworden sind. Sie versuchen, in den Adminbereich einzudringen. Schaffen sie das, werden die Inhalte manipuliert und im schlimmsten Fall Schadcode eingeschleust, der Viren und Trojaner beim Aufrufen der infizierten Seiten verteilt. Deshalb sollte hier das Augenmerk auf den Schutz des Admin-Zugangs gerichtet werden. Dafür ist ein ganzes Bündel an Maßnahmen notwendig. Wir haben hier zusammen mit casinovergleich.eu die wichtigsten benannt. Der Casino Vergleich war in der Vergangenheit öfters in das Visier von Hackern geraten.
Maßnahme 1: Admin-Zugang nach der Einrichtung umbenennen!
WordPress legt bei der Einrichtung automatisch einen Admin-Zugang an, der anhand des Nutzernamens als solcher auch erkennbar ist. Die erste Sicherheitsmaßnahme besteht deshalb darin, einen zweiten Nutzer mit einem anderen Namen einzurichten und diesem volle Admin-Rechte zuzuweisen. Danach sollte der ursprüngliche Admin-Zugang gelöscht werden. Am sichersten sind hier die Webmaster, die sowohl in den Namen als auch in das Passwort mehrere zulässige Sonderzeichen einbinden. Ziffern sowie ein Wechsel aus Groß- und Kleinschreibung sollten ebenfalls intensiv genutzt werden.
Maßnahme 2: Verhindern Sie Attacken von Bots und Software!
Hacker nutzen immer öfter für ihre Versuche, in den Admin-Bereich einzudringen, eine ausgeklügelte Software, die in der IT-Fachsprache als Bot bezeichnet wird. Dadurch können sehr viele Nutzernamen und Passwörter binnen kurzer Zeit getestet werden. Solchen maschinellen Angriffen können die Nutzer von WordPress auf einfache Weise einen Riegel vorschieben, indem sie ein Plugin integrieren, von welchem beim Login ein Captcha kreiert wird. Als sehr effektiv haben sich hier die Plugins erwiesen, die zu lösende Rechenaufgaben sowohl in Würfelform als auch in Textform und als römische Zahlen darstellen.
Maßnahme 3: Sichern Sie WordPress mit einem „Zeitschloss“!
Mit weiteren Plugins kann die Zahl der Falscheingaben von Nutzernamen und Passwörtern beschränkt werden. Sie werden unter Bezeichnungen wie Limit Login Attempts veröffentlicht. Dort kann der Webmaster wählen, wie viele Falscheingaben innerhalb eines bestimmten Zeitraums zugelassen werden. Eine Beschränkung auf drei Fehlversuche ist optimal, um sich nicht selbst bei einem Buchstabendreher auszusperren. Ist die maximale Anzahl der Fehlversuche erreicht, wird eine Zeitsperre wirksam. Einige Plugins für die Begrenzung der Login-Versuche arbeiten mit einer gestaffelten Zeitsperre.
Maßnahme 4: Schließen Sie Hacker vom Zugriff auf die Seite aus!
Die Praxis zeigt, dass die Hackerattacken auf Websites mit WordPress immer wieder aus den gleichen Subnetzen und von identischen IP-Adressen kommen. Dieses Wissen kann sich der Webmaster beim Schutz seiner Seite zunutze machen. Das Plugin Wordfence bietet die Chance, per Mausklick wahlweise einzelne IP-Adressen oder komplette Netzwerke vorrübergehend (vier Minuten) oder dauerhaft zu sperren. Nach der Sperrung bekommen die Nutzer dieser IP-Adressen den Fehler 403 (Forbidden Access) angezeigt. Praktischerweise bietet das Plugin einen Filter, der die Auflistung der Echtzeitzugriffe auf den Aufruf der Login-Seite beschränkt. Hier ist allerdings Vorsicht geboten, damit sich der Webmaster nicht versehentlich selbst aussperrt.
Allerdings hat diese Vorgehensweise einen kleinen Nachteil. Viele Provider arbeiten mit dynamischen IP-Adressen. Dadurch kann es passieren, dass im Laufe der Zeit auch einige IP-Adressen gesperrt werden, die später Nutzer bekommen, von denen keine Hackeraktivitäten ausgehen. Deshalb sollten die Aktivitäten der gesperrten IP-Adressen in regelmäßigen Abständen überprüft werden. Das Plugin bietet die Chance, gesetzte Sperren jederzeit per Mausklick aufzuheben. Unwirksam ist die Sperrung der IP-Adressen bei Hackern, welche sich das Tor-Netzwerk zunutze machen oder Browser-Plugins zum Umgehen der Country Locks verwenden. Hier bleibt dem Webmaster lediglich die Chance zum rigorosen Handeln. Das besteht darin, kurzerhand die IP-Adresse des angezeigten Hosts zu sperren.
Allgemeine Hinweise zum Schutz von Seiten mit WordPress
Parallel sollte in den Google Webmaster Tools (neuerdings Google Search Console) die Hinweise auf erkannte Sicherheitsprobleme verfolgt werden. Gut beraten ist auch der Webmaster, der beim Admin-Zugang regelmäßig sein Passwort wechselt. Weder beim Nutzernamen noch beim Passwort sollten Daten verwendet werden, die aus den Inhalten der Seite selbst stammen. Auch Namen und Daten von angezeigten Kontakten in den Social Networks sind als Nutzernamen und Passwörter unbedingt zu vermeiden. Wer all diese Hinweise beachtet, kann Hackerattacken mit geringem Aufwand sehr effizient abwehren.
Quelle: https://de.statista.com/statistik/daten/studie/320570/umfrage/anzahl-der-seitenaufrufe-von-wordpress-artikeln-pro-monat/