Dieser Tage hat es wieder zahlreiche Blogs erwischt: Sie wurden Ziel eines Angriffs durch Hacker (besser: Cracker), bei dem die Webseite übernommen wurde und mindestens eine Weiterleitung auf eine obskure, ausländische Seite vorgenommen wurde. Es hat dabei nicht nur den ein oder anderen Otto-Normal-Blogger erwischt, sondern auch die Internetpräsenzen von Firmen und Verlagen.
Der Grund hierfür war das eigentlich gut gemeintes Plugin WP GDPR Compliance, das die Webseiten sicher vor Abmahnungen mit Blick auf Verletzungen der DSGVO machen sollte. Durch schwache Programmierung in der Version 1.4.2 hat es allerdings einem Angreifer Tür und Tor zum Herzen der WordPress Installation geöffnet. Die DSGVO hat viele Seitenbetreiber dieses Plugin installieren lassen und somit den Angreifern ein breites Feld an potenziellen Angriffszielen beschert.Die unzähligen Plugins für WordPress sind Fluch und Segen der beliebten Blog Software, denn sie ermöglichen es auf der einen Seite den Webauftritt so zu gestalten, wie man es gerne hätte, also mit zahlreichen Features und Funktionen, aber auch zur Erfüllung gesetzlicher Anforderungen. Auf der anderen Seite jedoch überfrachtet man die Webseiten damit auch mit Programmcode, der nicht nur zu Geschwindigkeitseinbußen und Inkompatibilitäten führt, sondern eben auch Sicherheitslücken mit sich bringt.
Maßnahmen für ein sicheres WordPress
In diesem Beitrag zeige ich einige wenige Schritte auf, die helfen, die WordPress Installation sicherer zu gestalten, ohne dass tiefgreifende Kenntnisse der Programmierung und Administration von Webserver erforderlich sind. Diese Maßnahmen bilden damit das Grundgerüst, allerdings nicht einen vollumfänglichen Schutz. Für die Absicherung des Webservers ist in der Regel der Hoster zuständig und sollte dahingehend geprüft werden.
PHP Version aktuell halten
PHP ist die Programmiersprache in der WordPress und die Plugins implementiert sind. PHP wird stetig weiterentwickelt und gepflegt und ist selber von diversen Schwachstellen durchsetzt, die regelmäßig gestopft werden. Von daher ist es unerlässlich dafür zu sorgen, dass immer eine aktuelle Version von PHP im Einsatz ist. PHP mit einer Versionsnummer von 5 ist dabei zum gegenwärtigen Zeitpunkt schon von sich aus nicht mehr geeignet, da sie zum Jahresende 2018 nicht mehr weitergeführt wird. Derzeit ist Version 7.2.12 das aktuellste PHP Release und 7.3 steht in den Startlöchern. WordPress kommt ohne Probleme mit PHP 7 klar, von daher sollte diese aktuelle Version des PHP Interpreters zum Einsatz kommen.
Die Installation von PHP erfolgt üblicherweise durch den Hoster, die Festlegung der für die Domain zum Einsatz kommende Version obliegt allerdings nicht selten dem Domaininhaber. Hier lohnt sich also ein Blick auf das Kundenmenü oder eine entsprechende Anfrage beim Hoster.
WordPress aktualisieren
Der Kern des Blogs bildet die WordPress Software, die ebenfalls regelmäßig mit neuen Versionen versorgt wird. Die Aktualisierung von WordPress ist dabei äußerst elegant und stabil gelöst. Im Backend von WordPress findet man im Menü unter Dashboard den Punkt Aktualisierungen.
Wenn eine neue Version vorhanden ist, wird dies dort prominent angezeigt und kann mit einem Klick automatisch installiert werden. Üblicherweise führt dies zu keinen Problemen, allerdings muss nicht gesondert darauf hingewiesen werden, dass vor solchen tiefgreifenden Aktualisierungen eine Datensicherung angeraten ist.
Im folgenden Abschnitt zeige ich auch eine Lösung auf, wie diese und weitere Aktualisierungen auch automatisiert erfolgen können.
Inhalt
Sehr hilfreich, danke dir.
Habe nach zahlreichen Spams nun auch die Plugins installiert und schau mal wie gut das funktioniert.
Grade die Umleitung von /wp-admin finde ich cool