WordPress wird als Content Management System (CMS) immer beliebter. Es kann ohne weitreichende technische Kenntnisse aufgesetzt und betrieben werden.
Das sollte auch so sein, denn warum sollte sich ein Autor mit der Technik herumschlagen?
Es gibt aber in der Planungs- und Installationsphase einige Dinge zu beachten, damit das neu aufgesetzte Blog nicht binnen kürzester Zeit zur „Malware-Schleuder“ wird.
Fangen wir da an, wo es eigentlich schon zu spät ist.
Eigentlich sollte die Installation damit starten, dass man sich Gedanken um die Sicherheit des Blogs macht. Das bedeutet aber den direkten Einstieg in die Themen „Dateirechte“, „Datenbankverwaltung“ und „Fehlerlog“. Ein erster Beitrag dazu findet sich an anderer Stelle hier im Blog.
Die meisten Blogbetreiber machen sich nach dem Aufsetzen des Blogs aber erfahrungsgemäß erst einmal Gedanken um das Design der Website. Das verwundert nicht, denn es wird ja um Inhalte und deren Wahrnehmung gehen.
Ich setze daher erst einmal an diesem Punkt an. Denn auch an dieser Stelle gibt es einige Möglichkeiten ein Mehr an Sicherheit zu bekommen.
Daher stelle ich hier ein paar Plugins vor, die hierbei einen guten Dienst verrichten und sofort nach der Grundinstallation hinzugefügt werden sollten.
Dieses Plugin sorgt dafür, dass nach einer zu definierenden Anzahl fehlgeschlagener Login-Versuche der Zugang zur Administrationsoberfläche für die betreffende IP gesperrt wird. Keine Angst, nicht für immer, sondern nur für eine bestimmte Zeit. Angreifer warten nicht, ob nicht sie in einer Stunde erneut versuchen können, sondern ziehen weiter. Zeit ist Geld.
Die fleißige Biene gegen SPAM. Seit es Email und Blog-Kommentare gibt, gibt es auch SPAM. Also unerwünschte Zusendungen oder Einträge unter Blogbeiträgen. Zumindest im Bereich der WordPress Installationen gibt es dieses Plugin, das eine Menge SPAM abfängt, ohne das man sich als Autor damit herum plagen muss.
Passend dazu gibt es noch einen „Blacklist Updater“, mit dem eine automatische Liste von Spammern für Antispam Bee abonniert werden kann.
Eine schöne Ergänzung zur kleinen Biene. Dieses Plugin verhindert, dass sich jedermann/jederfrau/jederbot als Benutzer an der Seite anmelden kann. In den Basiseinstellungen von WordPress kann man sich nach Eingabe seiner Mail nämlich ohne viel Aufwand registrieren lassen und kann dann nahezu automatisch Kommentare mit SPAM einstellen.
Eine oft gesehene Angriffsmethode sind „Brute-Force“ Angriffe, bei denen einfach willkürliche Loginname/Passwort Kombinationen benutzt werden. Da es bei WordPress in der Standardinstallation der Loginname dem Autorennamen entspricht, ersetzt dieses Plugin den sichtbaren Namen.
Wie der Name schon sagt, macht dieses Plugin nichts anderes, als Backups. Und zwar von der Datenbank und den Inhalten. Wohin, kann man sich aussuchen. Für mich hat sich bewährt, die Daten auf dem lokalen Host in einem eigens dafür vorgesehenen Verzeichnis per ftp abzulegen. Dieses Verzeichnis wird dann nachts über eine VPN-Verbindung auf einen lokalen Server im Büro kopiert. Damit existiert neben dem lokalen Backup auf dem Webserver auch noch ein weiteres im direkten Zugriff. Sehr nützlich um eine saubere Neuinstallation vorzunehmen, falls der Server doch einmal kompromittiert ist.
Mit diesen fünf Plugins sind schon einmal ein paar Angriffsmöglichkeiten entschärft.
Das ist aber noch längst nicht alles, was getan werden sollte.
Ein wichtiger Punkt ist immer auch die technische Absicherung einer WordPress-Installation. Hierzu gehört zum Beispiel die Absicherung des Administrationsbereiches per .htaccess-Datei. Oder eben die Prüfung der Dateirechte im System. Sobald jeder von außen etwas hochladen kann, wird das ein echtes Risiko.
Ebenso sollte es heute selbstverständlich sein, den Zugang zum Adminstrationsbereich mit einem SSL-Zertifikat abzusichern, damit ein Lauscher an der Leitung keine Login-Daten abfangen kann.
Hier wird es dann aber sehr schnell technisch. Zu technisch für die meisten Betreiber.
Sprechen Sie mich an, ich prüfe ihr WordPress-System und gebe Tipps zur sinnvollen Absicherung.