Erfahrungsaustausch: Wie sichere ich WordPress ab

Wieder einmal vielen Dank an Boris für seine ausführlichen Notizen, die ich für diese Zusammenfassung genutzt habe.

Warum sollte ich meine WP-Installation absichern?

  • Meine Seite wird zweckentfremded, z.B. als Virenschleuder
  • Schutz vor Erpresssungversuch
  • Diebstahl persönlicher Daten
  • Cryptotrojaner (um Bitcoins zu schürfen, Besucher stellen unwissentlich ihren Rechner für das Schürfen von Bitcoins zur Verfügung)
  • Spam-Emails werden von meinem Server verschickt (meine IP kann so auf eine Blacklist gelangen)
  • WordPress ist für Böse Buben ein beliebtes Ziel, da sehr verbreitet (33% aller Websites, 60% aller Seiten mit einem CMS laufen mit WordPress)
  • DSGVO erfordert Sicherungsmaßnahmen, die State of the Art sind

Diese Massnahmen setzen wir ein

  • Sicheres Passwort. WordPress setzt selber sichere Passwörter
  • Security-Software verwenden, siehe unten
  • Benutzerberechtigungen für User mit bedacht vergeben
  • Regelmäßig Updates durchführen
    • Server regelmäßig prüfen, ob in anderen Verzeichnissen noch alte WP-Versionen installiert sind, die eine Sicherheitslücke haben können. Teilweise kann das Security-Software prüfen
  • Vertrauenswürdiger Hoster: arbeitet mit hohen Sicherheitsstandards
  • Prüfen, welche Maßnahmen der Hoster vornimmt. Passt das zu meinen Maßnahmen?
  • Regelmäßige Backups,
    • Backups schützen mich auch bei fehlerhafteten Updates
    • Restore üben
  • HTTPS sollte Standard sein
    • Daten werden zwischen User-Client und Server verschlüsselt übertragen (End-to-end )
    • kostenlose LetsEncrypt -Zertifikate reichen aus

Übersicht Security-Tools

Umfangreiche Security-Suiten

Diese Tools bieten umfangreiche Funktionalitäten, wie Security-Einstellungen, Absicherung des Logins, regelmäßige Scans und vieles mehr. Prinzipiell können diese Einstellungen auch selbst vorgenommen werden, wenn man sich damit beschäftigt, was genau angepasst werden soll.

Firewalls

Server- und Datei-Scans

Kommentar-Spam begrenzen

Login Fehlversuche begrenzen

Linktipps

Wer sich mit dem Thema Sicherheit vertieft beschäftigen möchte, kann sich die Aufzeichnung des Talks von Marc Nilius: WordPress Sicherheit Q&A auf dem WordCamp Köln 2018 ansehen.
Wenn Ihr Seiten auf Sicherheitsprobleme prüfen wollt, gibt es z.B. folgende Seiten:

Nachtrag

Nach 10 Jahren hatte ich (Gerd) eine Woche nach unserem Meetup den ersten zum Glück nur leichten Security-Fall. Der Sucuri-Scan von iThemes Security Pro meldete letzten Montag, dass auf einer Seite Malware installiert sei, die SEO-Spam sei. Zunächst konnte ich nicht identifizieren woher das kam, aber nach längerer Suche und Analyse, stellte sich heraus, dass eine Datei in den Root der Installation gekommen war, die offensichtlich nur unregelmäßig aktiv ist. Es handelte sich um eine provisorische Seite, die ich nicht ganz mit meinen Standardmaßnahmen überwacht habe, weshalb ich leider nicht genau nachvollziehen kann, wie die Datei dort hinkam, aber das Löschen dieser Datei hat das Problem gelöst.
Meine Lehre daraus:

  • Auf allen Seiten, auch Test- und Beta-Seiten von Anfang an Securitysoftware aktivieren, damit Probelme rechtzeitig gescannt und erkannt werden
  • Nicht benötigte Seiten auf dem Server löschen

Eine Einführung zu Gutenberg der neue WordPress Editor

Ulrich Pogson hat uns eine Einführung zum neuen WordPress Editor Codename Gutenberg gemacht.

Der Editor wie wir ihn heute kennen wird mit einem neuen Editor ersetzt. Der Inhalt im neuen Editor wird neu mit Blöcken aufgebaut. Ulrich hat die verschiedene Features in einer Live Demo demonstriert und gezeigt was darüberhinaus mit Custom Entwicklung möglich ist.

Ab WordPress 4.9.8 wird allen Benutzern durch ein Meldung im Adminbereich empfohlen, Gutenberg zu testen. Der neue Editor wird Teil des WordPress 5.0 Release. Das Veröffentlichungsdatum ist jedoch noch nicht bekannt, da Gutenberg noch weiterentwickelt wird. Wir erwarten es schätzungsweise diesen Herbst oder Winter. Ulrich hat alle ermuntert das Gutenberg Plugin beim WordPress 4.9.8 Release zu installieren und zu testen, um zu sehen was funktioniert und was nicht. Der neue Editor ändert nur im Adminbereich. Die Besucher der Website merken nichts davon. Das Plugin kann nach dem Testen wieder deaktiviert werden.

Wer sich mit den Funktionen von Gutenberg vertraut machen möchte, kann die Handhabung auch auf der Frontenberg Website testen.

Wenn deine Website noch nicht kompatibel für den neuen Editor ist, dann könnt ihr eines der folgende Plugins installieren, um auf dem Classic Editor zu bleiben bis Eure Seite kompatibel ist.

Mehr Informationen findet ihr bei den folgende Links.