Tatort WordPress

„ …Chancen und Risiken beim Einsatz von WordPress für die Unternehmenswebsite.“

Für all jene, die den Vortrag von Karl am Fifteen Seconds Festival 2017 nicht erleben konnten, haben wir hier nochmal die wichtigsten Informationen sowie weiterführende Tipps zusammengestellt. Wir haben für Dich die Chancen und Risiken vom Einsatz des Open Source CMS WordPress (WP) analysiert. Was es in Bezug auf Sicherheit, Updates und Hosting von WordPress zu beachten gibt, erfahrt ihr hier.

Inhaltsverzeichnis

Chancen und Ihre risikoreichen Schattenseiten

Vorteile des CMS aus Sicht von Nutzern

Als Open Source wird Software bezeichnet, deren Quellcode einsehbar und veränderbar ist. WordPress ist ein solches Open Source CMS. Es fallen keine Lizenzkosten an, da die breite Entwicklercommunity das System kostenlos zur Verfügung stellt und gemeinschaftlich verbessert. Geworben wird vor allem mit der 10-Minuten-Installation des Systems. Und wahrlich – es dauert nicht länger, schon läuft WordPress auf Deiner Website.

Der Wert der Community

Die große Community und die hohe Verbreitung des Systems haben den Vorteil, dass gegenseitige Hilfe und Weiterentwicklung großgeschrieben werden. Laufende Sicherheitschecks inklusive. Eine Unzahl an Plugins gewährleistet die Flexibilität. Für nahezu jede Anforderung können WordPress Websites verwendet werden. Ob Du Deine Website als Onlineshop, digitale Visitenkarte Deines Business oder Informationsplattform nutzt – WordPress wird den Anforderungen gerecht.

Der jugendlich-moderne Charakter von WordPress kommt nicht von ungefähr. Unterschiedliche Seitentemplates sogenannte Themes bieten überdies Gestaltungsmöglichkeiten für Deine Inhalte.

Potenzielle Sicherheitsrisiken von WordPress​

Aber: Wie die beiden Seiten einer Medaille bergen diese Vorteile zugleich Risiken.

Fast jede zweite der Top-Websites weltweit baut auf WordPress. Diese enorme Verbreitung macht WP-Websites zu einem beliebten Angriffsziel und laufende Sicherheitsaktualisierungen notwendig. Bei diesen Angriffen geht es Hackern weniger darum, spezielle Seiten zu infiltrieren. Sie wollen vielmehr zeigen, dass sie in das System eindringen können. Besonders durch die Installation von Plugins können solche Hintertürchen entstehen, über die sich Hacker Zutritt verschaffen können.

Um das zu vermeiden – hier ein paar praktische Tipps:

Pluginauswahl

Welches Plugin ist das richtige?

Plugins sind Erweiterungen mit Funktionalitäten aller Art, die für WordPress teils kostenlos und teils kostenpflichtig zur Verfügung stehen. Auf Software-Plattformen wie etwa dem Envato Market steht eine riesige Anzahl an Plugins zum Download bereit. Aufgrund dieser großen Auswahl, kann die Auswahl des richtigen Plugins zur Challenge werden. Hier gelten grundsätzlich folgende Regeln:

  • Installiere nur Plugins, die genau das können, was du brauchst. Nicht mehr und nicht weniger.
  • Beachte die Anzahl der Websites, die dieses Plugin aktiv in Verwendung haben – sie kann als Vertrauensindikator betrachtet werden. Je mehr Installationen, desto besser.
  • Ließ die Beschreibung des Plugins genau durch.
  • Wähle ein Plugin, dessen Quelle Du vertraust.
  • Versuch herauszufinden, wie aktuell das Plugin ist und ob es weiterentwickelt wird. Plugins, für die es keine Updates mehr gibt, sind potenzielle Angriffsziele.

Wem Du vertrauen kannst und sollst

Jeder kann WordPress – Nein!

Die kinderleichte Installation und die selbsterklärende Bedienung des Backends von WordPress werden als überzeugende Argumente für das CMS verwendet. Aber Achtung vor selbsternannten Experten mit rudimentären Coding-Kenntnissen. Nicht jeder, der sich als solcher bezeichnet, hat auch wirklich das erforderliche Know-How. Einfache Bedienung heißt nicht, dass man nicht coden können muss, um WordPress professionell einsetzen zu können. Ganz im Gegenteil: WordPress-Profis müssen sogar richtig viel Ahnung haben und laufend up to date bleiben.

Kenne Deinen Updateprozess…

Der Updateprozess

WP-konform ist hier das Schlüsselwort. Es ist nicht egal wann und wie oft Du Dein System aktualisierst. Oft entscheiden nur wenige Stunden. Updates betreffen immer die Sicherheit Deiner Website – Du solltest sie also ernstnehmen! Sie werden in unregelmäßigen Abständen veröffentlicht. Jedes dieser Updates schließt eine Sicherheitslücke und / oder fixt einen Bug im System. Ob dieser bis dato bekannt war oder nicht, spätestens mit dem Veröffentlichen des Updates, ist er es. Alle nicht-upgedateten Sites sind ab diesem Zeitpunkt gefährdet. Genauso verhält es sich umgekehrt: Sind schon lange keine Updates mehr verfügbar, kann das System ebenso ungeschützt sein.

Grundsätzlich unterscheidet man zwischen Minor und Major Updates. Minor Updates sind kleinere Änderungen, die fast ausschließlich potenzielle Sicherheitslücken betreffen. Diese sollte man ehestmöglich machen. Bei Major-Updates wurden umfangreichere Funktionen und Features erweitert oder gar neu hinzugefügt. Diese sollte man nicht sofort installieren, sie können noch Kinderkrankheiten haben. Hilfreich ist es jedenfalls, die Beschreibung der inhaltlichen Änderungen des Updates vor der Installation durchzulesen und sich rechtzeitig zu fragen: Wer kümmert sich um Updates und wann werden Backups durchgeführt?

… und Deine Serverumgebung

Kenne Deine Nachbarn (nicht)! So lautet die Devise, wenn es um die Umgebung Deiner Website geht. In der realen Welt ist es erfreulich, seine Nachbarn zu kennen, in der virtuellen Welt allerdings alarmierend. Zu wissen, wer am Server direkt neben Deiner Website zu Hause ist, kann ein Sicherheitsrisiko sein. Der „Nachbar“ könnte seinerseits herausfinden, wer du bist und leicht Deine Daten einsehen oder Dich hacken. Sichere Server geben keinen Aufschluss über Deine Identität, sondern wahren Deine Privatsphäre. Achte also auf Dein Hosting und Deinen Hoster: Was ist inkludiert? Wie gut ist der Webspace geschützt? Wer ist für die Sicherheit des Serversystems verantwortlich?

Hackangriffe

Warum ausgerechnet Deine Website?

Gehackt werden kann grundsätzlich jeder. Die wenigsten Hackangriffe zielen jedoch direkt auf Betreiber einer speziellen Seite ab. Es gibt unterschiedliche Arten von Angriffen, die allesamt ein bestimmtes Ziel verfolgen: An Deine Daten zu kommen und damit etwas anzustellen. Die Verbreitung von schädlicher Software („Malware“) ist beispielsweise eine beliebte Methode. Ebenso Spam aller Art (SEO: das Redirecten von Besuchern auf Google und Platzieren von Links, Spam-Mails etc.), Phishing Mails (Landingpages für Phishingmails verstecken) oder Defacing (hacken um des Hackens willen – Selbstdarstellung und lächerlich machen). Die Wahrscheinlichkeit, dass ausgerechnet Deine Seite gehackt wird, kannst du verringern, wenn Du ein paar gängige Fehler vermeidest.

Arten von Angriffen

Wie kann ich gehackt werden?

Die häufigste Ursache für Hackangriffe ist, ein leichtes angreifbares System zu haben. Wer fahrlässig mit seinen Daten umgeht, seine Umgebung nicht kennt und sich nicht um seine Website kümmert, bietet sich einem Hacker am Silbertablett an. Wenn Du folgende Dinge beachtest, bist auf der sicheren Seite:

  • Vermeide Unsicherheiten im Hosting (Server, Nachbarn, FTP-Zugangsdaten)
  • Wähle ein sicheres Passwort, um dich vor Brute-Force Attacken zu schützen
  • Verwende nie dieselben Benutzerdaten für mehrere Anwendungen und speichere Passwörter nie in deinem Mailaccount ab. Wenn dieser gehackt wird, freut sich der Angreifer nicht nur über Deine Mails
  • Logge dich nie in unverschlüsselten fremden WLANs ein
  • Halte Deine Website am aktuellsten Stand, führe Updates durch und date Dein Theme regelmäßig up
  • Weniger ist mehr – Installiere Themes und Plugins gezielt nach Anforderung und Vertrauenswürdigkeit
angriffspunkte_1-comp
angriffspunkte_2-comp
ursachen_1-comp
ursachen_2-comp

Ursachen und Schutzmaßnahmen

Was sind Brute-Force-Attacken?

Unter Brute-Force (lat. für „rohe Gewalt“) versteht man das Durchprobieren zahlreicher Passwortkombinationen. Diese Art des Hackings ist besonders oft erfolgreich. Dabei kann man sich leicht dagegen schützen. Verwende einfach ein möglichst langes Passwort, das aus Buchstaben, Zahlen und Sonderzeichen besteht. Dadurch braucht der Angreifer um ein Vielfaches mehr Rechenleistung um die vielen Kombinationen durchzurechnen und kann dein Passwort viel schwerer herausfinden.

Checklist zur Risikominimierung​

Stell Dir diese Fragen und setze dann Maßnahmen für die Sicherheit Deiner Website!

  • Welches Hosting hast Du im Einsatz?
  • Wer kümmert sich um die Sicherheit des Servers?
  • Wer kümmert sich um die Sicherheit Deines CMS?
  • Gibt es eine Update-Routine?
  • Gibt es ein Backup und wie lange braucht eine Wiederherstellung?
  • Hast Du Passwörter in Deinem Mailaccount gespeichert?
  • Nutzt Du dasselbe Passwort für mehrere Systeme?
  • Nutzt Du bereits die Zwei-Faktoren-Authentifizierung?
Sicherheitstipps - zusammengefasst:

1. Kenne deinen Updateprozess

Wer ist für Updates verantwortlich und was wird wann gemacht?
Teste nach dem Update alle Funktionen der Website und ließ Update-Beschreibungen!
Wie sieht Dein Backup- und Restore-Prozess aus, gibt es ein Staging oder Autoupdates?

 

2. Nutze Child-Themes

Durch die Nutzung von Child Themes machst Du Deine Site individualisierbarer und hältst sie gleichzeitig updatebar. Außerdem erkennst Du schneller, welche Anpassungen gemacht wurden. Achtung: Wenn Du ein gekauftes Template verwenden willst, finde heraus, ob es Child-Themes nutzt.

				
					/*
	Theme Name: Mein Templatename
	Theme URI: https://www.domain.com/templatename
	Description: Beischreibung des Templates
	Author: Name
	Author URI: https://www.domain.com
	Template: Theme_Name_des_Basistemplates
	Version: 1.0.0
*/

3. Setze Plugins wohlüberlegt ein

Installiere nur dann ein Plugin, wenn du es unbedingt brauchst, vermeide unnötigen Overhead und setze nur ein Plugin für eine Funktion ein. Überprüfe regelmäßig die Aktualität Deiner Plugins.


4. Deaktiviere unnötige Funktionen

Blende Anzeigename und Usernamen aus, achte auf die Autoren-Seite, URL Rewrites & deaktiviere die REST API, wenn Du sie nicht nutzt.

				
					add_filter( 'rest_authentication_errors', function( $access ) {
	if( ! is_user_logged_in() ) {
		return new WP_Error( 'rest_API_cannot_access', __( 'Only authenticated users can
		access the REST API.', 'disable-json-api' ), array( 'status' =>
		rest_authorization_required_code() ) );
	}
	return $access;
});

5. Kenne deine Nachbarn (nicht)

Stelle sicher, dass Deine Site nicht lesbar für andere Nutzer in Deiner Serverumgebung ist. Dies ist am besten über einen vHost, einen Container, einer Virtualisierung oder einen Root sichergestellt. Wie steht es um die SQL-Erreichbarkeit Deines Servers und wer hält die Schreibrechte für den Code (www/FTP/PHP)?

 

6. Mache https zum Standard

https verschlüsselt Deine Daten zusätzlich und macht die Website langfristig durch Unterstützung von HTTP/2 over SSL sogar schneller. Dadurch sind Deine Logindaten sicher. Https ist kostenlos via „Let`s Encrypt“ verfügbar und über Cloudflare als Proxy nutzbar.

Den kompletten Vortrag von Karl am Fifteen Seconds Festival gibt eh hier nochmal zum Nachsehen: