Erfahrungsaustausch: Wie sichere ich WordPress ab

Wieder einmal vielen Dank an Boris für seine ausführlichen Notizen, die ich für diese Zusammenfassung genutzt habe.

Warum sollte ich meine WP-Installation absichern?

• Meine Seite wird zweckentfremded, z.B. als Virenschleuder
• Schutz vor Erpresssungversuch
• Diebstahl persönlicher Daten
• Cryptotrojaner (um Bitcoins zu schürfen, Besucher stellen unwissentlich ihren Rechner für das Schürfen von Bitcoins zur Verfügung)
• Spam-Emails werden von meinem Server verschickt (meine IP kann so auf eine Blacklist gelangen)
• WordPress ist für Böse Buben ein beliebtes Ziel, da sehr verbreitet (33% aller Websites, 60% aller Seiten mit einem CMS laufen mit WordPress)
• DSGVO erfordert Sicherungsmaßnahmen, die State of the Art sind

Diese Massnahmen setzen wir ein

• Sicheres Passwort. WordPress setzt selber sichere Passwörter
  • Nicht doppelt verwenden!!
  • Passwortmanager: KeePass, 1Password, LastPass, Dash etc.
  • OpenSource-Software bevorzugen
• Security-Software verwenden, siehe unten
• Benutzerberechtigungen für User mit bedacht vergeben
• Regelmäßig Updates durchführen
  • Server regelmäßig prüfen, ob in anderen Verzeichnissen noch alte WP-Versionen installiert sind, die eine Sicherheitslücke haben können. Teilweise kann das Security-Software prüfen
• Vertrauenswürdiger Hoster: arbeitet mit hohen Sicherheitsstandards
• Prüfen, welche Maßnahmen der Hoster vornimmt. Passt das zu meinen Maßnahmen?
• Regelmäßige Backups,
  • Backups schützen mich auch bei fehlerhafteten Updates
  • Restore üben
• HTTPS sollte Standard sein
  • Daten werden zwischen User-Client und Server verschlüsselt übertragen (End-to-end )
  • kostenlose LetsEncrypt -Zertifikate reichen aus

Übersicht Security-Tools

Umfangreiche Security-Suiten

Diese Tools bieten umfangreiche Funktionalitäten, wie Security-Einstellungen, Absicherung des Logins, regelmäßige Scans und vieles mehr. Prinzipiell können diese Einstellungen auch selbst vorgenommen werden, wenn man sich damit beschäftigt, was genau angepasst werden soll.

• iThemes Security, iThemes Security Pro
• Wordfence, Wordfence Premium

Firewalls

• Ninja Firewall,
• Wordfence, Wordfence Premium

Server- und Datei-Scans

• Sucuri Security
• iThemes Security, iThemes Security Pro
• Wordfence, Wordfence Premium

Kommentar-Spam begrenzen

• AntiSpamBee
• Akismet

Login Fehlversuche begrenzen

• iThemes Security, iThemes Security Pro
• Wordfence, Wordfence Premium
• Limit Login Attempts Reloaded
• WP Limit Login Attempts

Linktipps

Wer sich mit dem Thema Sicherheit vertieft beschäftigen möchte, kann sich die Aufzeichnung des Talks von Marc Nilius: WordPress Sicherheit Q&A auf dem WordCamp Köln 2018 ansehen.
Wenn Ihr Seiten auf Sicherheitsprobleme prüfen wollt, gibt es z.B. folgende Seiten:

• https://sitecheck.sucuri.net
• https://www.virustotal.com/de

Nachtrag

Nach 10 Jahren hatte ich (Gerd) eine Woche nach unserem Meetup den ersten zum Glück nur leichten Security-Fall. Der Sucuri-Scan von iThemes Security Pro meldete letzten Montag, dass auf einer Seite Malware installiert sei, die SEO-Spam sei. Zunächst konnte ich nicht identifizieren woher das kam, aber nach längerer Suche und Analyse, stellte sich heraus, dass eine Datei in den Root der Installation gekommen war, die offensichtlich nur unregelmäßig aktiv ist. Es handelte sich um eine provisorische Seite, die ich nicht ganz mit meinen Standardmaßnahmen überwacht habe, weshalb ich leider nicht genau nachvollziehen kann, wie die Datei dort hinkam, aber das Löschen dieser Datei hat das Problem gelöst.
Meine Lehre daraus:

• Auf allen Seiten, auch Test- und Beta-Seiten von Anfang an Securitysoftware aktivieren, damit Probelme rechtzeitig gescannt und erkannt werden
• Nicht benötigte Seiten auf dem Server löschen