Das Thema Sicherheit wurde bereits beim Meetup im Juni 2015 diskutiert. Wir sind diese Woche gemeinsam die Themen noch einmal durchgegangen und haben sie ergänzt.
- Das Thema Cross-Site-Scripting (XSS) wurde diskutiert. Wichtig dabei ist, dass bereits im Code verhindert wird, das über Such- oder Kommentarfelder bösartiger Code eingeschleust wird. Daraus kam die Empfehlung, dass wo man selber Plugins entwickelt, auf die bestehende Methoden in der WordPress-API zugegriffen werden soll.
- Es ist für Anwender ohne Programmiererkenntnis schwierig festzustellen, ob Sicherheitslücken im Code stehen. Deshalb sollte man vertraute Quellen für Themes und Plugins bevorzugen. Zum Beispiel die von WordPress-Mutterfirma Automattic.
- Sobald Besucher wissen, dass die Website mit WordPress (oder auch anderen CMS!) läuft, wird es einfacher jegliche Schwachstellen zu kennen. Darum sollte man die Empfehlungen für WordPress Hardening folgen.
- Es gibt Sicherheitstools, die man mehr oder weniger problemlos einsetzen kann. Dessen Anwendung ist ein guter erster Schritt aber man soll sich Zeit nehmen, um die Auswirkungen zu verstehen. Die Beispiele Bulletproof Security, Sucuri Scanner und iThemes Security enthalten alle ausführliche Checklisten, die in die .htaccess-Datei (für Apache-Server) schrieben.
- Probiert man diverse Optionen in einer Test-Umgebung aus, um diese später in eine Live-Umgebung zu implementieren, soll man genau notieren was gemacht wurde. Damit man besser verstehen kann, welche Auswirkung die Option hat und ggf. manuelle Anpassungen vornehmen kann.
- Die wichtigste Maßnahme, für Anwender ist die Nutzung sichererer Passwörter und auch Benutzernamen. Zur Verwaltung seiner Passwörter wurde 1password oder KeePass empfohlen.
- Wenn sich keine Besucher auf der Seite anmelden müssen/sollen, ist der Schutz über die .htaccess ein zusätzlicher wichtiger Schutz. Anleitung auf WP-Toolbox.ch.
- Serverseitig kann man weitere diverse Optionen nutzen, um die Installation besser zu schützen. Zum Beispiel der Einsatz von SSH Schlüsseln, wo die Hostingfirma dies ermöglicht.
- Diskutiert wurde auch, das regelmäßige Backups hilfreich sind, um eine WordPress-Installation, die gehackt wurde wieder zu reparieren. Allerdings muss man hier zunächst versuchen herauszufinden, wann der Hack passiert ist.