Sicherheit für Nischenwebsites – Tipps, Erfahrungen, Plugins, Services

eAssistentinWerbung

Das Thema Sicherheit ist in den letzten Wochen des öfteren hier im Blog diskutiert wurden.

Das lag unter anderem daran, dass einige Nischensites von Teilnehmern gehackt wurden.

In diesem Artikel möchte ich darauf eingehen, wie man für Sicherheit bei seinen (WordPress-)Nischenwebsites sorgt und was man dabei beachten sollte.

Sicherheit für Nischenwebsites

Bevor ich mit den Tipps loslege muss ich gleich darauf hinweisen, dass es keine 100% Sicherheit gibt.

Die automatischen Attacken auf Websites häufen sich und gerade WordPress steht dabei immer mehr im Fokus. Das ist der Preis dafür, dass WordPress mittlerweile so populär ist.

Man sollte auch und gerade deshalb viel Wert auf Sicherheitsmaßnahmen legen. Eine gehackte Website kann nicht nur bei Google aus dem Index fliegen oder zumindest blockiert werden. Viele Antiviren-Tools blocken mittlerweile verdächtige Websites und im schlimmsten Fall kann man sogar rechtlichen Ärger bekommen, wenn die eigene Website Schadsoftware verteilt.

Updates

Obwohl WordPress so populär ist und damit für Hacker interessant, bin ich dem CMS dennoch treu. Das liegt unter anderem daran, dass die Entwickler-Gemeinde sehr aktiv ist und regelmäßig Sicherheitsupdates veröffentlicht.

Seit einer Weile bietet WordPress die Option diese Sicherheits-Updates automatisch installieren zu lassen und ich empfehle sehr dies zu tun. Ich habe nur die großen Updates, mit neuen Features nicht auf automatische Installation gesetzt. Wie man das in der eigenen wp-config.php einstellt, erfahrt ihr auf posteed.com.

Ebenfalls immer auf dem aktuellen Stand solltet ihr eure Plugins halten. Da gibt von WordPress ebenfalls Funktionen, mit denen man das automatisieren kann.

Man sollte übrigens nur vertrauenswürdige Plugins nutzen. Gleiches gilt für Themes.

Gerade bei Nischenwebsites sind die automatischen Updates sehr sinnvoll, da man häufig tage- oder wochenlang nicht auf die Nischenwebsite schaut und sicherheitsrelevante Updates verpasst.

Keinesfalls sollte man irgendwann aufhören die WordPress-Version oder Plugins zu aktualisieren. Sicher ist das ein Zusatzaufwand und manchmal bereiten die Updates auch Probleme, aber der Ärger bei einer gehackten Website ist ungleich größer.

Plugins

Es gibt eine Vielzahl von Plugins, die die Sicherheit von WordPress erhöhen (jedenfalls versprechen viele das).

Ich selber nutze die Plugins Anti-Virus und Limit Login Attempts. Ersteres prüft regelmäßig, ob die Theme-Dateien verändert wurden und schlägt ggf. Alarm. Das zweite Plugin protokolliert die Anmeldeversuche und sperrt den Zugriff für bestimmte IPs, wenn es nach einem Angriff aussieht. Leider wird das Plugin „Limit Login Attempts“ nicht mehr weiterentwickelt, funktioniert aber noch sehr gut.

Ob es Sinn macht weitere Sicherheits-Plugins zu nutzen, muss jeder für sich entscheiden. Ich bin mit diesen zufrieden.

Eine weitere Möglichkeit wäre das offizielle Jetpack Plugin, welches nun auch einen Brute Force Schutz bietet.

htaccess Schutz

Eine Maßnahmen, die ich generell bei WordPress-Sites nutze, ist ein htaccess-Schutz der Admin-Seite.

Dabei handelt es sich um eine zusätzliche Benutzername/Passwort-Anfrage, die browserseitig durchgeführt wird, bevor der Admin-Login angezeigt wird.

Das ist recht leicht umzusetzen, wenn der eigene Hosting-Anbieter eine Anpassung der htaccess-Datei erlaubt.

Verhalten

Ganz wichtig ist das Verhalten des Nischenseiten-Betreibers selbst. Wer seine Zugangsdaten in Internet-Cafes nutzt, über ungesichterte WLAN-Netze sendet oder unverschlüsselt auf seinem gehackten PC speichert, braucht sich nicht zu wundern, wenn die Website gehackt wird.

So sollte man bei der Erstellung von Benutzername und Passwort bei der WordPress-Installation immer etwas kryptisches nehmen. Keinesfalls als Bentuzername „admin“ oder was ähnliches. Und auch das Passwort sollte nicht einfach der Name des eigenen Hundes sein oder was ähnlich leicht zu erratenes.

Ein aktuellen Virenscanner gehört genauso dazu wie ein Up-to-date Betriebssystem und idealerweise ein Passwort-Manager. Zudem sollte man seine Zugangsdaten nicht auf Rechnern eingeben, zu dem auch andere Zugriff haben.

Und auch bei der Mailbenutzung sollte man immer vorsichtig sein und nicht übereilig auf Mails ala „Bitte geben Sie ihre WordPress-Anmeldedaten nochmal ein“ reagieren. Sowas ist zu 99,9% Fake und ein Versuch, an die eigenen Zugangsdaten heranzukommen.

Backups

Neben den Vorsorgemaßnahmen sollte man sich unbedingt auch für den Fall wappnen, dass die eigene Website doch gehackt wird.

Ist dies der Fall, kann man in der Regel weder die Dateien, noch die Datenbank ohne Risiko weiter nutzen.

Besser ist es auf jeden Fall, wenn man ein aktuelles Backup hat, das man einspielen kann. Ich nutze dafür WordPress-Plugins, wie z.B. BackWPup. Dieses bietet vielfältige Möglichkeiten sowohl die CMS-Dateien, als auch die Datenbank zu sichern.

Im Fall der Fälle löscht man einfach alle Dateien und die Datenbank auf dem Server und setzt alles neu mit den Backup-Daten auf.

Wie merke ich, dass meine Nischenwebsite gehackt wurde?

Wenn man in Google nicht mehr gelistet wird oder das eigenen Virenprogramm die Nischenwebsite sperrt, ist es meist schon zu spät.

Ich nutze den Service von Sucuri*, um meine Websites überwachen zu lassen. Dieser Service scannt meine Sites regelmäßig und meldet sich, falls es Malware oder ähnliches entdeckt.

Kostenlos kann man zur schnellen manuellen Überprüfung den Site-Check* von Sucuri nutzen.

Fazit

Als Nischenseiten-Betreiber sollte man keinesfalls die Sicherheit vernachlässigen.

Auch wenn es keine 100% Sicherheit gibt, so kann man durch ein paar wichtige Maßnahmen dafür sorgen, dass man relativ sicher ist.

Nischen-Detektiv

WERBUNG

4 Gedanken zu „Sicherheit für Nischenwebsites – Tipps, Erfahrungen, Plugins, Services“

  1. Der .htaccess Schutz stand auch auf meinen Plan. Sicherheit sollte eigentlich vorgehen, dennoch schiebt man sowas gerne nach hinten. Über das Security Plugin „Better Security“ bin ich was Brut Force Attacken & Back Ups angeht, fürs Erste gesichert.
    Gut, dass Du das Thema aufgreifst. Es scheint, als sei es bei vielen Nischenteilnehmer noch überhaupt nicht in Erwägung gezogen worden.

  2. Hallo,

    ich glaube, dass das Thema Sicherheit eines der zentralen Themen der nächsten Jahre werden wird. Und es ist wirklich erschreckend, wie die Hackerangriffe vor allem in den letzten Monaten zugenommen haben.

    Wichtig ist auch der bedachte Einsatz von Plugins – viele Plugins können ganz einfach durch ein bisschen Quellcode ersetzt werden. Seit einiger Zeit habe ich mir das WordPress entschlacken zur Passion gemacht – und ich bin doch sehr erstaunt, wie leicht manche Plugins zu eliminieren sind.

    Ciao,
    Miri

    PS: Die Admin-Namen können übrigens ganz leicht automatisiert ausgelesen werden, wenn man dies nicht explizit verhindert: https://www.bytepark.de/blog/2013/06/11/wie-man-das-auslesen-der-benutzernamen-aller-autoren-in-wordpress-verhindert/

  3. Grundsätzlich ist WordPress relativ robust was das Thema Sicherheit angeht, man mag es kaum glauben. Ich persönlich habe aber sehr gute Erfahrungen mit der NinjaFirewall (siehe hier: http://fastwp.de/3904/) gemacht, die eben wirklich eine echte Firewall installiert und das deutlich günstiger als Sucuri und Co.

  4. Also ich habe mit dem htaccess-Schutz sehr gute Erfahrungen gemacht. Seit ich den auf meinen größeren Websites installiert habe, wurden keine Sperrungen durch LimitLoginAttempts mehr dokumentiert. Aus meiner Sicht eine absolut notwendige Hürde für Hacker, die sehr effizient funktioniert.

    Und natürlich stets ein Update der Plugins und WordPress Version machen, um dort permanent auf dem neusten Stand zu sein, was Sicherheitslücken angeht.

Kommentare sind geschlossen.