Sicher habt auch Ihr euch schon Gedanken darüber gemacht wie ihr eure WordPress Seite gegen Angriffe unterschiedlicher Art schützen könnt. Im Treffen vom 27.Mai haben wir uns diesem Thema gewidmet und darüber diskutiert mit welchen Mitteln man seine WordPress Installation schützen kann.
Sicherheit ist ein ernst zu nehmendes Thema. Wer denkt, dass er (bzw. seine Internetseite) zu unwichtig ist, um angegriffen zu werden, irrt gewaltig. Obwohl es immer mehr zu gezielten Angriffen gegen Schweizer Firmen kommt werden viele Angriffe immer noch ungezielt durchgeführt. Die Motive sind vielfältig: Das Deponieren eines politischen Statements ist ebenso vertreten wie die Übernahme der Webseite zum Versenden von Spam (Massen-Mailversand) oder das Schalten von Werbung.
In der Diskussion wurden verschiedene Angriffsformen diskutiert:
- XSS (Cross Site Scripting)
- Passwort-Attacken
- Phishing
- SQL Injection der Datenbank
Folgende Empfehlungen zur Sicherung deiner Webseite wurden während unseres Treffens ausgearbeitet:
- Den Kontonamen für den Administrator umbenennen
- Bruteforce Attacken abwehren (z.B. Simple Login Lockdown)
- Nur automatisch generierte Passwörter mit min. 12 Zeichen verwenden (Bsp. KeePass)
- 2-Faktor-Authentifizierung nutzen (Google – SMS oder App Authenticator, CLEF)
- WordPress Hardening beachten
- Den Zugriff des Backend mit IP Blockierung sichern
- Im Backend PHP Editor sperren
- Seite oder nur Backend mit .htaccess sichern
- Eine Firewall installieren (z.B. All In One WP Security & Firewall, Sucuri Security)
- Für Seiten ohne Blogs die Kommentarfunktion ausschalten
- Verhinderung von Spam durch Plugins (Askimet, Antispam Bee)
- Die gesamte Installation (WP und Plugins) immer auf dem aktuellsten Stand halten
- Den Präfix der SQL Tabellen ändern
Der Besuch folgender Seiten ist lohnenswert:
- Hardening WordPress (von wordpress.org)
- WordPress konfigurieren für mehr Sicherheit (von netz-gaenger.de)