Was man selbst tun kann

1. Updates, Updates, Updates

Ganz oben auf der Liste steht, alle Plugins, Themes und auch den WordPress-Core stets aktuell zu halten. Regelmäßige Updates schließen bekannte Sicherheitslücken, die gezielt von Angreifern ausgenutzt werden. Updates bringen also nicht nur neue Funktionen, sondern vor allem wichtige Sicherheits-Patches. 

2. Sinnvolle Benutzerrechte

Nicht jeder Nutzer benötigt Administratorrechte – in der Regel reicht ein einzelner Admin-Zugang völlig aus. Alle weiteren Benutzer sollten nur die Rechte erhalten, die sie tatsächlich brauchen. So lässt sich der Schaden begrenzen, falls ein Benutzerkonto kompromittiert wird. Ein gehackter Redakteurs-Account ist deutlich weniger kritisch als ein Admin-Zugang.

3. Nicht aktive Plugins löschen

Achten Sie darauf, nur Plugins und Themes zu verwenden, die aktiv gepflegt werden. Manchmal verliert der Autor das Interesse oder eine Erweiterung wird aus anderen Gründen nicht mehr aktualisiert. Nicht mehr aktualisierte Themes und Erweiterungen stellen ein großes Sicherheitsrisiko dar und sollten konsequent entfernt werden.
Ähnliches gilt für Plugins und Themes, die nicht aktiv genutzt werden sind. Man probiert ein Plugin oder ein Theme aus und deaktiviert es dann wieder. Auch diese Liste sollte man im Auge behalten. Was nicht gebraucht wird, sollte man löschen.

4. Vertrauenswürdige Quellen nutzen

Beziehen Sie Themes und Plugins ausschließlich aus offiziellen und vertrauenswürdigen Quellen. Vermeintliche Schnäppchen, bei denen kostenpflichtige Erweiterungen kostenlos oder sehr günstig angeboten werden, enthalten in der Regel Schadcode. Der gefährdet Ihre gesamte Website.

5. Sichere Zugänge 

Sie sollten immer mit starken Zugangsdaten arbeiten, das bedeutet vor allem gute Passwörter (siehe Kasten). Verwenden Sie Passwörter auf keinen Fall mehrfach, auch wenn das leichter zu merken ist. Vermeiden Sie den Standard-Benutzernamen „admin“, da dieser bei Brute-Force-Angriffen immer zuerst ausprobiert wird. Jeder Benutzer sollte ein eigenes Konto mit einem sicheren, einzigartigen Passwort haben und nur die notwendigen Rechte erhalten.

6. Nicht am Hosting sparen

Ein guter Hoster schützt seine Server mit einer modernen, abgesicherten Infrastruktur, erstellt regelmäßige Backups und steht bei Problemen mit kompetentem Support zur Seite. Das ist eine wichtige Basis für die Sicherheit Ihrer Website.

Login verstecken?

Diesen Rat liest man recht häufig: Man soll die Login-Seite verstecken. Das ist nicht schwer umzusetzen, der WP-Login bekommt einfach eine andere URL zugewiesen. Ich halte von dieser Maßnahme nicht so viel, denn Angreifer finden auch versteckte Login-Seiten. Legen Sie den Fokus lieber auf starke Benutzernamen und sichere Passwörter.

Und was ist mit Sicherheits-Plugins?

Unter dem Stichwort “Sicherheit” oder “Security” gibt es viele Angebote im Plugin-Verzeichnis. Diese Plugins versprechen schnellen Rundum-Schutz für alle Lebenslagen. Es gibt sie in kostenlosen Versionen über WordPress.org oder in Premium-Versionen gegen eine Jahreslizenz. Sie bieten üblicherweise Funktionen aus den folgenden Bereichen:

• Firewall, d.h. es werden Anmeldeversuche registriert und ggf. die IPs gesperrt, von denen die Versuche kommen.
• Der Malware Scanner prüft die Installation auf potenziellen Schadcode und gleicht die Plugins ab mit Listen von bekannten Sicherheitslücken
• Möglichkeiten, Benutzerkonten und Anmeldung abzusichern, indem z. B. starke Passwörter eingefordert werden

Viele der Funktionen kann auch ein gutes Hosting übernehmen. Je nachdem, welche Sicherheitsstandards Ihr Hosting hat, kann es sogar sein, dass Sie dort gar keine Sicherheitsplugins installieren dürfen. Das ist dann kein Nachteil, sondern ein Zeichen dafür, dass das Hostingunternehmen das Thema ernst nimmt und sich darum kümmert. Häufig können Sie einzelne Aspekte in Ihrem Kundenmenü konfigurieren.

Der Charme eines Sicherheitsplugins ist, dass es Benutzer:innen an die Hand nimmt und alle oben genannten Sicherheitsaspekte einmal durchgeht. Die Funktionen werden in einem Dashboard zusammengeführt, wo alles übersichtlich dargestellt und (idealerweise) gut erklärt wird. Wenn man allerdings mehr als nur die Basis-Funktionen nutzen möchte, braucht man in der Regel die bezahlte Version. Für alle, die einen eher günstigen Hosting-Tarif haben, kann ein Sicherheits-plugin die Sicherheit der Website erhöhen.

Anstatt eine große Erweiterung mit vielen Funktionen zu installieren, kann man viele Aspekte aber auch einzeln regeln. Man kann z.B. ein Plugin installieren, das starke Passwörter erzwingt und am besten gleich 2-Faktor-Authentifizierung für bestimmte Benutzergruppen einfordert. Oder eines, das nur eine gewisse Anzahl an Anmeldeversuchen erlaubt.
Auch einen Sicherheitsscan kann ich anders bekommen, es gibt Plugins und Dienste, die diese Dienstleistung anbieten, kostenlos oder bezahlt. Häufig kommt so etwas auch zusammen mit der Backup-Funktion: Ein Plugin, das regelmäßig Backups erstellt und die möglichst zu einem anderen Server schickt, kann in der Regel auch einen Sicherheitsscan initiieren.

Fazit Sicherheitsplugins

Sicherheitsplugins können helfen, das komplexe Thema Sicherheit besser erfassbar zu machen. Manches mag auf den zweiten Blick nicht unbedingt notwendig sein – ich denke da beispielsweise an das Verstecken des WordPress Logins. Aber, richtig eingesetzt, können diese Plugins sinnvoll sein.

Dabei muss man berücksichtigen, dass man gerade bei Sicherheitsplugins penibel darauf achten muss, Updates zu machen. Denn diese Tools haben weitreichende Rechte im System und greifen tief in eine Website ein. Wenn hier eine Sicherheitslücke offen bleibt, wird das Sicherheitsplugin selbst zum Sicherheitsrisiko.

Wie sinnvoll ein Sicherheitsplugin ist, kommt nicht zuletzt auf das Hosting an. Wenn Ihre Website bei einem Anbieter gehostet wird, der bereits ausgeklügelte Firewalls und Malware-Schutz anbietet, bringt das Installieren einer zusätzlichen Erweiterung keinen großen Mehrwert. Sicherheitsplugins können außerdem zu einem trügerischen Sicherheitsgefühl führen: Wenn schwache Passwörter unterwegs sind oder es viele unbeobachtete Admin-Accounts gibt, steht die Hintertür weit offen. Das kann auch das Sicherheitsplugin nicht verhindern.

The post WordPress einfach und wirkungsvoll absichern has first been published on start the loop_.

Sichere Passwörter verwaltet man am besten mit einem Passwort-Manager. So ein Programm merkt sich alle Passwörter und speichert sie sicher und verschlüsselt ab. Man kann damit seine Passwörter übersichtlich sortieren und ordnen. Man kann sich Notizen machen und sieht unter anderem, wann man ein Passwort zuletzt geändert hat.

Passwort-Manager bieten auch Abhilfe bei einem sehr weit verbreiteten Sicherheits-Problem: Dasselbe Passwort wird mehrfach verwendet. Ich hatte auch mal so ein „schönes“ Passwort, das ich an vielen verschiedenen Orten eingesetzt habe. Damit erhöht sich leider das Risiko massiv, dass Zugangsdaten in falsche Hände geraten. Es reicht eine geleakte Liste, auf der das Passwort auftaucht.

Passwort-Manager gibt es für alle Betriebssysteme (Windows, Mac, Linux) sowie für Smartphones und mobile Geräte (Android, iOS). Die Programme sind recht komfortabel, sie bringen beispielsweise eine Erweiterung für Webbrowser mit. Das Programm merkt sich dann die URL einer Login-Seite und schlägt gleich die richtige Kombination aus Username und Passwort vor.

Das kann beispielsweise auch verhindern, dass die Login-Daten in eine Fake-Website eingegeben werden, da der Passwort-Manager die falsche URL nicht identifizieren kann. Man kann die Login-Daten natürlich immer von Hand eingeben. Aber möglicherweise genügt die kurze Irritation, dass der Login nicht klappt, um zu begreifen, dass etwas faul ist.

Hier sind drei der bekanntesten Passwortmanager-Programme 

1. 1Password – Ein weit verbreiteter Passwort-Manager mit vielen Funktionen für Einzelpersonen und Teams.
   Zur Website von 1Password
2. Bitwarden – Open-Source-Passwortmanager mit sicherer Verschlüsselung und plattformübergreifender Nutzung.
   Zur Website von Bitwarden
3. Keeper – Ein Passwort-Manager, der das sichere Teilen von Passwörtern erleichtert
   Zur Website von Keeper

Die Verbraucherzentrale NRW hat einen informativen Artikel zum Thema Passwort-Manager veröffentlicht. Auch bei der Stiftung Warentest gibt es einen Vergleich.

The post Passwort-Manager has first been published on start the loop_.

Shops speichern Zahlungsdaten, Mitglieder-Websites haben Benutzerkonten. Diese Daten – Namen, E-Mail-Adressen, Passwörter, Zahlungsinformationen – kann man stehlen und zu Geld machen. Bei einer Website, auf der Nutzer-Daten gespeichert werden, sind häufig die Daten das Ziel eines Angriffs. 

Aber was ist, wenn auf der Website gar keine Nutzer-Daten vorkommen? Schützt mich das automatisch gegen Angriffe? Leider nicht. Denn nicht nur Daten sind für Angreifer interessant. 

Kontrolle über die Website

Eine Website unter ihre Kontrolle zu bringen ist das weitaus häufigste Motiv, warum Kriminelle eine Website angreifen. Das Ziel ist es dabei, Admin-Zugriff oder Server-Zugriff zu bekommen. Wer Zugang hat, kann Schadcode einbauen. Über kompromittierte Websites werden Spam-Mails versendet, sie enthalten Weiterleitung auf Phishing-Seiten oder sie werden zum Hosten von Malware eingesetzt. Die Möglichkeiten, eine Website für kriminelle Zwecke einzusetzen, sind vielfältig: Glücksspiel, Pornografie, Fake-Shops, SEO-Spam (Backlinks für andere Seiten), Affiliate-Betrug und so weiter. 

Dass eine Website Schadcode enthält, erkennen die Suchmaschinen-Bots häufig vor den Besitzern selber. Die Website wird dann als gefährlich eingestuft und die Suchmaschine zeigt die Website nicht mehr an. Sie wird so quasi nicht mehr erreichbar. Auch dazugehörige Mailadressen sind von einer solchen Sperre (Blacklisting) betroffen. Alle Mails werden als Spam markiert.

So entsteht relativ schnell ein ziemlich umfangreicher Schaden. Den zu bereinigen, ist mit viel Arbeit verbunden. Ohne die Hilfe eines professionellen Dienstleisters geht es meistens nicht. Denn selbst, wenn man Schadcode aufspürt und löscht, die Angreifer haben ziemlich sicher eine offene „Backdoor“ hinterlassen, über die sie jederzeit neuen Schadcode einschleusen können. Die zu finden ist nicht einfach. Und dafür, den guten Ruf der Seite und das Suchmaschinen-Ranking wieder aufzubauen, gibt es ebenfalls keine schnelle Lösung.

Hier ist es von Vorteil, ein Hosting zu haben, das Sicherheit der Server großschreibt. In dem Fall findet hoffentlich der Scanner des Hosters den Schadcode vor den Suchmaschinen, die Website wird sofort offline genommen. Das ist zwar auch nicht schön, verhindert aber in der Regel die Probleme, die durch ein Blacklisting entstehen.

The post Wovor müssen wir uns da eigentlich schützen? has first been published on start the loop_.