WordPress ist so weit verbreitet, dass es Angreifer nahezu anlockt wie das Licht die Motten. Man muss sich schützen. Denn WordPress wird angegriffen. Jetzt kann man natürlich viel darauf geben, dass man irgendeine kostenpflichtige Firewall-Lösung permanent auf seinen Blog draufschauen lässt. Aber vielleicht geht es auch ganz anders? Ich will den Firewall-Lösungen nicht die Daseinsberechtigung absprechen, aber jeder Betreiber einer Webseite kann genügend selbst tun.
Hackerangriffe auf WordPress
https://t.co/UnoSYsQbbD wurde gehackt und ist bis auf weiteres nicht erreichbar. Texte etc. aktuell unter https://t.co/sTCmSOr4gT
pic.twitter.com/KONQ0pb7zR
— CARTA (@carta_) January 7, 2017
Dieser Tweet hat mich aufgeschreckt. „Carta“ ist ein professioneller Blog. Das heißt, dass da eventuell Leute extra dafür da sind, sich mit der Technik und der Sicherheit zu beschäftigen. Und dann denkt man eigentlich, dass solchen Blogs nichts passieren kann. Denkste, wie man sieht. Ich habe verschiedene Dinge mitbekommen, die besagen, dass derzeit eine riesige Angriffswelle in Richtung WordPress-basierten Blogs unterwegs ist. Verfallen wir nun in Panik? Oder was können wir besseres tun? Was denken Sie?
Es gibt unzählige Blog-Artikel zu dem Thema. Alle lauten mehr oder weniger „Blog gehackt – was nun?“ oder so ähnlich. Ich habe es denkbar oft hier im Blog geschrieben: Updates können viel verhindern. Suchen Sie einfach mal hier im Blog. Und außerdem habe ich immer wieder erzählt, dass man automatisch Backups vom Datenbestand und der Datenbank machen sollte, um möglichst schnell zurückkehren zu können, sollte wirklich mal etwas mit dem Blog sein.
Davon ausgehend, kann man viel abbügeln, sodass die Chance auf einen Angriff und damit auf einen Ausfall denkbar gering ist. Wir dürfen natürlich niemals vergessen, dass es keine absolute Sicherheit gibt. Angriffsversuche wird es immer geben. Man kann nur versuchen, so gut wie möglich Vorkehrungen zu treffen, damit nicht auch noch Fahrlässigkeit dazu kommt. Was würde ich also tun?
Updates
Es gibt die WordPress-Aktualisierungen. Dort finden wir alles mögliche, was aktualisiert werden kann. Jedes Update, dass zur Verfügung steht, wird über diese Seite aufgelistet. Hier finden wir folgende Arten an Updates:
- WordPress-Updates
- Plugin-Updates
- Theme-Updates
- Aktualisierte Übersetzungen
So lange unter Dashboard -> Aktualisierungen irgendeine Zahl in weißer Schrift auf rotem Untergrund neben dem Wort „Aktualisierungen“ steht, haben wir nicht alles getan, um auf der Software-Seite sicher zu sein. Es gibt für mich keine Ausrede, die Updates sind einfach mal zu installieren. Aber das habe ich schon oft genug erzählt, das wiederhole ich nicht.
Backups
Ich erzähle mal kurz, wie ich Backups mache. Das habe ich jahrelang mit „BackWpUp“ gemacht, bin aber umgeschwenkt auf „UpdraftPlus“. Das kann man sich hier herunterladen. Nach der Aktivierung kann man sich einen „Plan“ erstellen:
- Über die Einstellungen des Plugins kann ich einen Datei-Sicherungsplan und einen Datenbank-Sicherungsplan einrichten. Beides sollte die gleichen Werte haben, also zum Beispiel „Täglich“ mit der gleichen Anzahl aufzubewahrender Sicherungen.
- Es sollte ein externes Ziel ausgewählt werden. Ich nutze hier Google Drive. UpdraftPlus bietet selbst eine Anleitung an, wie man beide Dienste miteinander verknüpft. Mancher Screenshot hat sich inzwischen geändert, aber vom Prinzip hier funktioniert das noch so.
- In UpdraftPlus trägt man alle Authentifizierungsinformationen aus Google Drive ein und wählt dann die Dinge aus, die gesichert werden sollen. Am besten alle. Und man gibt an, ob man per Email informiert werden will, wenn ein Backup erfolgt ist.
Mit einer Premium-Version von UpdraftPlus kann das Datenbank-Backup verschlüsselt erfolgen und noch weitere Backup-Ziele ausgewählt werden. Aber im Prinzip erfolgt alles immer auf eine ähnliche Art und Weise. Und das Plugin speichert die oben eingestellte Anzahl Sicherungen im FTP-Verzeichnis, sodass wir die dann auch gleich mal herunterladen können. Damit sind wir erstmal gewappnet, einen aktuellen Datenbestand zu haben, den wir dann nur hin und wieder auf Befall und Funktionalität überprüfen sollten.
WordPress absichern
Wir können alle möglichen Kopfstände machen, um WordPress sicher zu bekommen. Wie gesagt, solche Firewall-Lösungen haben ihre Daseinsberechtigung, aber was können wir abseits von ihnen tun?
- Wir können die Logins beschränken, indem wir Plugins wie „Limit Login Attempts“ oder so verwenden.
- Wir können Scanner verwenden, die in WordPress selbst laufen. Ein gutes Beispiel dafür ist „Plugin Vulnerabilities“, das nach unsicheren Plugins sucht.
- Wir können einen zusätzlichen Passwort-Schutz einbauen, wie ich es vor langer Zeit in einem meiner erfolgreichsten Artikel seit Blogbestehen erklärt habe.
Wir müssen uns aber vor Augen halten, dass es niemals einen absoluten Schutz gibt. Wir können uns dessen immer nur weitgehend annähern, aber die 100% werden wir nie erreichen. Im Zusammenspiel mit den Updates und den Backups sollten wir aber auf einem guten Weg sein, unseren Blog weitgehend abgesichert zu haben.
Was sind Auswirkungen?
Wurde ein Blog gehackt, hat das immer Auswirkungen. Wie diese aussehen, kann immer anders sein. Aber es ist erst einmal klar, dass so ein Ausfall immer nachwirkt. Leser, Partner, Kunden bekommen das ja mit und stellen sich ggf. die Frage, ob diese Webseite noch der richtige Anlaufpunkt ist. Ich denke, es handelt sich um diese Auswirkungen:
- Einnahmerückgänge: Lädt die Seite nicht, ist nicht verfügbar, oder es ist sonstwas, bringt es Besucher immer dazu, gleich wieder zu verschwinden und ggf. nie wieder zu kommen.
- Reputationsverluste: Wird bekannt, dass eine Seite gehackt wurde, spricht sich das herum. Besucher könnten dann davon absehen, diese Seite überhaupt aufzurufen.
- Kontrollverluste: Man weiß ja nicht, ob irgendwas nach einem Hackerangriff als Rest übrig bleibt. Und während des Angriffs ist man nicht Herr der Sache. Oft bleibt nur die Wiederherstellung aus einem Backup. Aber hat man dann die volle Kontrolle?
- Zeitverlust: Solche Angriffe sind immer ärgerlich. Denn sie bedeuten für die Webseiten-Betreiber auch immer einen heiden Aufwand. Wir haben ja nur die Wiederherstellung betrachtet, aber noch nicht nach der Ursache gesucht. Das kommt ja noch mit dazu.
Fazit
Niemand kann vermeiden, dass die eigene Webseite angegriffen wird. Wenn man das jemand zu 100% vermeiden will, muss die Webseite abgeschaltet werden. Aber jeder kann sich schützen. Es fängt bei Selbstverständlichkeiten wie Updates und regelmäßigen Backups an und hört bei solchen Sachen wie der Absicherung von WordPress nicht auf. Und selbst dann hat man lediglich das Risiko reduziert. Das muss jedem klar sein. Nur wer mit einem solchen Verständnis eine Webseite betreibt, kann dies auch relativ gelassen tun.
Dem Blog carta.info wünsche ich, baldmöglich wieder online zu sein. Aber anhand der hier niedergeschriebenen 1000 Worte können Sie sich vorstellen, dass das durchaus auch länger dauern kann.
Das könnte Sie auch interessieren
![Wichtiges Sicherheitsupdate: WordPress 4.5.3 veröffentlicht]()
Wichtiges Sicherheitsupdate: WordPress 4.5.3 veröffentlicht![Neue Cross-Site-Scripting-Lücke in WordPress]()
Neue Cross-Site-Scripting-Lücke in WordPress![2013, als 1 Milliarde Datensätze bei Yahoo geklaut wurden]()
2013, als 1 Milliarde Datensätze bei Yahoo geklaut wurden![Automatisches Backup einer MySQL-Datenbank mit MySQLDumper]()
Automatisches Backup einer MySQL-Datenbank mit MySQLDumper![WordPress – Unsichere Plugins müssen nicht sein]()
WordPress – Unsichere Plugins müssen nicht sein![Sicherheitslücke: Aktualisieren Sie Ihre WordPress-Plugins]()
Sicherheitslücke: Aktualisieren Sie Ihre WordPress-Plugins
