Wieder einmal vielen Dank an Boris für seine ausführlichen Notizen, die ich für diese Zusammenfassung genutzt habe.
Warum sollte ich meine WP-Installation absichern?
- Meine Seite wird zweckentfremded, z.B. als Virenschleuder
- Schutz vor Erpresssungversuch
- Diebstahl persönlicher Daten
- Cryptotrojaner (um Bitcoins zu schürfen, Besucher stellen unwissentlich ihren Rechner für das Schürfen von Bitcoins zur Verfügung)
- Spam-Emails werden von meinem Server verschickt (meine IP kann so auf eine Blacklist gelangen)
- WordPress ist für Böse Buben ein beliebtes Ziel, da sehr verbreitet (33% aller Websites, 60% aller Seiten mit einem CMS laufen mit WordPress)
- DSGVO erfordert Sicherungsmaßnahmen, die State of the Art sind
Diese Massnahmen setzen wir ein
- Sicheres Passwort. WordPress setzt selber sichere Passwörter
- Security-Software verwenden, siehe unten
- Benutzerberechtigungen für User mit bedacht vergeben
- Regelmäßig Updates durchführen
- Server regelmäßig prüfen, ob in anderen Verzeichnissen noch alte WP-Versionen installiert sind, die eine Sicherheitslücke haben können. Teilweise kann das Security-Software prüfen
- Vertrauenswürdiger Hoster: arbeitet mit hohen Sicherheitsstandards
- Prüfen, welche Maßnahmen der Hoster vornimmt. Passt das zu meinen Maßnahmen?
- Regelmäßige Backups,
- Backups schützen mich auch bei fehlerhafteten Updates
- Restore üben
- HTTPS sollte Standard sein
- Daten werden zwischen User-Client und Server verschlüsselt übertragen (End-to-end )
- kostenlose LetsEncrypt -Zertifikate reichen aus
Übersicht Security-Tools
Umfangreiche Security-Suiten
Diese Tools bieten umfangreiche Funktionalitäten, wie Security-Einstellungen, Absicherung des Logins, regelmäßige Scans und vieles mehr. Prinzipiell können diese Einstellungen auch selbst vorgenommen werden, wenn man sich damit beschäftigt, was genau angepasst werden soll.
Firewalls
Server- und Datei-Scans
Kommentar-Spam begrenzen
Login Fehlversuche begrenzen
- iThemes Security, iThemes Security Pro
- Wordfence, Wordfence Premium
- Limit Login Attempts Reloaded
- WP Limit Login Attempts
Linktipps
Wer sich mit dem Thema Sicherheit vertieft beschäftigen möchte, kann sich die Aufzeichnung des Talks von Marc Nilius: WordPress Sicherheit Q&A auf dem WordCamp Köln 2018 ansehen.
Wenn Ihr Seiten auf Sicherheitsprobleme prüfen wollt, gibt es z.B. folgende Seiten:
Nachtrag
Nach 10 Jahren hatte ich (Gerd) eine Woche nach unserem Meetup den ersten zum Glück nur leichten Security-Fall. Der Sucuri-Scan von iThemes Security Pro meldete letzten Montag, dass auf einer Seite Malware installiert sei, die SEO-Spam sei. Zunächst konnte ich nicht identifizieren woher das kam, aber nach längerer Suche und Analyse, stellte sich heraus, dass eine Datei in den Root der Installation gekommen war, die offensichtlich nur unregelmäßig aktiv ist. Es handelte sich um eine provisorische Seite, die ich nicht ganz mit meinen Standardmaßnahmen überwacht habe, weshalb ich leider nicht genau nachvollziehen kann, wie die Datei dort hinkam, aber das Löschen dieser Datei hat das Problem gelöst.
Meine Lehre daraus:
- Auf allen Seiten, auch Test- und Beta-Seiten von Anfang an Securitysoftware aktivieren, damit Probelme rechtzeitig gescannt und erkannt werden
- Nicht benötigte Seiten auf dem Server löschen
Sali Gerd
Wir setzen auf eine Kombination aller Bereiche um die Installationen unserer Kunden zu schützen:
Die von Dir genannten Tools sind aus meiner Sicht tauglich, allerdings hat kaum ein Kunde Zeit und das nötige Know-How seine WP Sicherheit selbst zu gewährleisten.