Reicht es den Login abzusichern für WordPress Security?

Es ist einfach den WordPress Login vor Angriffsversuchen zu schützen. Aber ist das auch genug, um eine WordPress Website securitytechnisch abzusichern? Ein kurzer Spoiler: Leider nein.

Was ist das Problem mit der WordPress Security?

Die WordPress Security wird leider sehr sehr häufig stiefmütterlich behandelt. Oder eben überhaupt nicht. Ich habe über die letzten 10 Jahre wirklich viel Kontakt mit Websites von allerlei KundInnen gehabt. Was sich in 95% der Fälle durchgezogen hat, ist dass die Security schlicht ignoriert wurde oder darin bestand, den Login-Bereich abzusichern. Sicher, der Loginbereich ist besonders sensibel. Hat jemand Zugriff darauf, kann er oder sie alles tun und lassen was er oder sie auch will:

• Inhalte ändern
• Websites abschießen
• kopieren
• Viren einschleusen
• SPAM einbauen
• etc.

Von daher ist es durchaus wichtig den Login-Bereich gut zu schützen. Durch:

• Veränderung der Login-Adresse
  (auch wenn der eine oder andere das immer noch als unsinnig empfindet; bei meinen vielen KundInnen hat sich das über die Jahre als sehr effektiv erwiesen)
• Sofortige Sperrung des Users „Admin“ bei Einlogg-Versuchen
• Komplexe Passwörter und Richtlinien
• Reduzierte Zugriffsrechte für MitarbeiterInnen
• 2-Faktor-Authentifizierung
•  usw.

Aber reicht das auch, damit eine WordPress Website ausreichend geschützt ist? Ganz sicher nicht. Wieso das so ist, möchte ich kurz erklären.

Wie häufig und wie wird WordPress meist angegriffen?

Aktuell verfügbare Statistiken besagen, dass

• täglich ca. 13.000 WP Websites gehackt werden, das sind 4.7 Mio. Websites pro Jahr!
• 8% der gehackten Websites werden wegen unzureichenden Zugriffsrechten gehackt (so weit so gut und wichtig für die Absicherung des Login-Bereichs)
• >60% der Websites werden wegen veralteter WP Core Files (selten), Themes (häufig), Plugins (häufig) gehackt
• 97% der Websites wurden automatisiert gehackt

Du siehst, es sind gerade einmal 8% der Hacks, die über den Login stattfinden. Die allermeisten Hacks passieren, weil A) das System veraltet und B) keine weiteren Sicherheitsmaßnahmen durchgeführt wurden. Es fehlen Security-Direktiven und Regeln, die bestimmte Angriffsmuster direkt blockieren und unliebsame Besucher ausschließen.

Es ist selten so, dass HackerInnen persönlich vor dem Rechner sitzen und sich denken „Ich hacke jetzt mal Website A von Person B“. Das wäre viel zu ineffektiv. In den meisten Fällen passiert das über automatisierte Systeme, die nichts anderes tun, als das Web nach Schwachstellen in WordPress Websites zu durchsuchen und diese dann auszunutzen. Indem Schadcode eingeschleust und Hintertüren auf dem Webspace platziert wird.

Die häufigsten Hacks von WordPress Websites

• Malware ~60%
• Backdoors ~60%
• Spam ~52%
• Hacktools ~20%
• Phishing ~7%
• Optische oder Inhaltliche Veränderungen ~7%

Mehr Infos dazu findest du im Hacked Websites Report des Security-Anbieters Sucuri.

Worauf kommt es dann konkret bei WordPress Website-Security an?

1. Halte dein System aktuell
2. Aktualisiere Plugins und Themes
3. Prüfe regelmäßig, ob Themes und Plugins überhaupt noch Updates erhalten, bzw. weiterentwickelt werden. Wenn nein: abschalten und ersetzen
4. Installiere Firewall-Plugins
5. Konfiguriere Firewall-Plugins korrekt (wenn du nicht weißt wie, dann lass das einen Fachmann für WordPress Security machen)
6. Führe eine langfristige Backup-Strategie
7. (scanne im Zweifelsfall regelmäßig auf Hack-Spuren)

Führe also einen regelmäßigen (1x wöchentlich bis 1x monatlich ist empfehlenswert) Wartungslauf durch. Oder lass ihn durchführen von jemandem der oder die sich auskennt. Wurde deine WordPress Website gehackt, spiele ein früheres Backup ein und sichere die Website dann mit den genannten Securitymaßnahmen ab.

Bildnachweis: Login icons created by Freepik – Flaticon