Die eigene Website schützen

WordPress ist eine der beliebtesten Möglichkeiten zur Erstellung von Websites und hat über 60 Prozent Marktanteil. Deshalb ist es natürlich auch ein beliebtes Ziel für Hackerangriffe aller Art. Insofern sollte sich jeder, der eine eigene Website betreibt oder sich mit dem Gedanken eine Website zu erstellen, trägt, auch unbedingt mit dem Thema Sicherheit beschäftigen. Wie kann man seine mit WordPress erstellte Website schützen? Dieser Beitrag soll eine Erinnerung sein, sich mal wieder mit der Sicherheit der eigenen Website zu beschäftigen. Der Beitrag gibt euch Anregungen und Hinweise, keine fertigen Rezepte.

Wer im Internet «Website schützen» sucht, wird unglaublich viele Puzzlestücke finden, die am Ende mehr verwirren als helfen. Dagegen habe ich mit dem Buch «WordPress absichern» von Sebastian Hein einen kompetenten Ratgeber gefunden. Hein beschreibt darin viele Sicherheitsmassnahmen, einschliesslich der benötigten Code-Snippets, Vorgehensweisen oder Plugins. Der Leser erfährt nicht nur, wovor diese Massnahmen schützen, er erhält auch einen übersichtlichen Werkzeugkasten für kleines Geld an die Hand. Selbst an den lokalen PC als Schwachstelle wird gedacht. Die Hinweise richten sich sowohl an Anfänger als auch an Profis.

Im Unterschied dazu wird im alten «WordPress Praxishandbuch» nur auf allgemeine Sicherheitsmassnahmen wie Updates und Passwörter eingegangen. Für weitergehende Bedürfnisse wird auf das iThemes Security Plugin verwiesen. Im Dezember 2020 ist mit dem «WordPress Praxishandbuch 5.0» ein neueres Werk erschienen.

Wie kann ich meine Website schützen

Eine «nackte» WordPress Website ist wie ein Haus, bei dem man weder Türen noch Fenster in die Öffnungen eingesetzt hat. Jeder kann nach Belieben ein- und ausgehen. Die einfachsten und am besten sichtbaren Zugänge sind im Erdgeschoss. Mit etwas mehr Aufwand kann man aber auch im Obergeschoss oder durch den Keller «einsteigen».

Bei einem «Einbruch» in die Website kann die Website als Geisel genommen und der Besitzer ausgesperrt werden. Lösegeldzahlungen, Diebstahl von Kundendaten oder die Verbreitung unethischer Inhalte oder von Malware können das Ziel sein.

Es ist also keine Frage, man muss seine Website schützen. Wenn ihr den Schutz einem Plugin wie iThemes überlassen wollt, könnt ihr an dieser Stelle aufhören zu lesen. Wollt ihr die Sicherheit eurer Website selbst in der Hand haben, dann lest weiter.

Die in Heins Buch vorgestellten Massnahmen würde ich unterteilen in Massnahmen, die einmalig implementiert werden und solche, die regelmässige Wartung erfordern.

Die Entscheidung, welche Massnahmen ihr treffen wollt unterliegt verschiedenen Kriterien. Da ist einmal die Frage des Aufwands im Verhältnis zum Schutzbedarf und dem Wert den die Website für euch hat. Zum anderen verhindert eine Massnahme manchmal auch bestimmte Funktionen eurer Website. Wieder andere Massnahmen erfordern die Nutzung eines Plugins, das seine Aufgabe nur mit Hilfe seiner Server in anderen Ländern erfüllt. Da spielen dann schnell Datenschutz Überlegungen eine Rolle.

Keine der Massnahmen, auch nicht alle zusammen bieten einen absoluten Schutz. Den gibt es nicht. Man kann es den Einbrechern jedoch schwer machen.

Praktische Beispiele zum Schutz der Website

Das «Erdgeschoss» der Website schützen

Um beim Vergleich mit dem Haus zu bleiben, ihr würdet im Erdgeschoss die Fenster und Türen sichern. Bei WordPress bedeutet dies folglich das Eindringen über das Login zu erschweren (Brute Force Angriffe erschweren). Dazu gibt es zwei WordPress Plugins.

Zum einen wären da das Plugin «WPS Hide Login» zu nennen. Es versteckt den Standard-Wordpress-Login-Pfad durch Vorschalten eines beliebig wählbaren anderen Pfadnamen. In Verbindung mit dem anderen Plugin «WPS Limit Login», welches die Anzahl der erfolglosen Login-Versuche begrenzt, erhöht man die Wirksamkeit. Erfolgen nämlich während eines definierten Zeitfensters mehr als erlaubt erfolglose Login-Versuche von derselben IP-Quelle, wird diese IP-Adresse für 24 Stunden gesperrt.

Auch das Ausblenden der WordPress-Versions-Information in den an die Leser ausgelieferten HTML-Dateien der Website gehört dazu. Kann man doch daran erkennen, ob ihr den Empfehlungen zu regelmässigen Aktualisierung folgt und seine Schlüsse ziehen.

Als letztes Beispiel mag die Erstellung der robots.txt Datei dienen. In dieser Datei definiert ihr für die Suchmaschinen und andere Bots den Zugang zu Website-Dateien. Einzelne Unterseiten könnt ihr so für Bots, die die robots.txt lesen, sperren. Damit könnt ihr beispielsweise den Abmahnanwälten, die pauschal nach kleinen Fehlern in der Datenschutzerklärung etc. suchen, die Arbeit erschweren. Bösartige Bots können solche Sperren sicher auch umgehen.

Das Obergeschoss der Website schützen

Im Haus hat die obere Etage häufig einen Balkon, der es Einbrechern erleichtert einzusteigen. Bei der Website könnte die MySQL Datenbank eine solche Einstiegsmöglichkeit sein. Mit dem von Hein detailliert beschriebenen Vorgehen ändert ihr die Standard-Tabellen-Präfixe von WordPress in der MySQL Datenbank. Damit erschwert ihr die Arbeit der Einbrecher.

Den Keller der Website schützen

Jeder Website Betreiber, der in Interaktion mit seinen Lesern treten will, wird eine Kommentarfunktion haben. Je mehr Austausch stattfindet, um so lebendiger kommt eine Website daher. Allerdings bietet eine solche Kommentarfunktion verschiedene Schadmöglichkeiten. Es geht unter anderem um Cross-Site-Scripting oder Script-Injections. Durch diverse Einträge in der «.htaccess» Datei könnt ihr die Script-Angriffe erschweren. In Heins Buch findet ihr dazu genaue Anleitungen.

Zusätzlich veröffentlichen wir nur freigeschaltete Kommentare. In letzter Zeit wurden wir regelrecht zugespamt. Und wir verzichten auf emojis, smileys und Avatare und haben damit weitere Einfallstore geschlossen.

Allgemeine Massnahmen zum Schutz der Website

Zu den allgemeinen Schutzmassnahmen, um die Website zu schützen, gehören regelmässige Updates von WordPress und den Plugins. Nach solchen Updates überzeugt ihr euch sicher auch, ob die Website noch funktioniert und macht anschliessend ein Backup. Das heruntergeladene Backup-Zip-File könnt ihr dann lokal mit eurem Virenscanner auf Malware untersuchen. Vergesst bei den Updates nicht, dass auch Datenbanken und Scriptsprache aktualisiert werden müssen. Bei uns ist dafür der Webhoster zuständig.

Eine weitere Möglichkeit ist es, die Website auf Malware oder Security Lücken zu scannen. Befragt die Datenkrake nach Malware beziehungsweise Security Scannern und ihr werdet viele Anbieter finden. Da die Schwerpunktsetzung unterschiedlich ist, lohnt es sich, die Scanner verschiedener Anbieter darüber laufen zu lassen. Folgt aber nicht blind den Empfehlungen, sondern denkt selbst und informiert euch.

Was jetzt so aufwendig klingt, kann euch unter Umständen viel Ärger ersparen. Also nutzt den Schwung beim Start ins neue Jahr und überprüft mal eure präventieven Massnahmen um eure Website zu schützen.

Dir hat der Beitrag gefallen? Dann würden wir uns freuen, wenn Du ihn teilst.

Wir freuen uns über Kommentare, Anregungen und Diskussionen zu unseren Beiträgen

Wenn euch die Seite gefällt oder ihr Ergänzungen, Aktualisierungen oder sonstige Hinweise habt, helft uns, die Seite aktuell zu halten.