loading ...

Heute Morgen öffnete ich meine Emails und hatte das Postfach voll von Warnungsmeldungen meiner WordPress-Firewall, die mir sagte, dass jemand von wechselnden Servern versucht, sich über eine XML-RPC Bruteforce Attacke in mein WordPress einzuhacken. Ich werde nicht weiter darauf eingehen was für eine Attacke das genau ist. Da meine Seite sehr gut abgesichert ist, ist es auch nicht weiter schlimm. Jeder falsche Login-Versuch wird sofort per IP-Adresse für eine gewisse Zeit gesperrt. Auf diese Art und Weise werden Bruteforce-Attacken so gut wie unmöglich.

Selig ist, wer eine gut konfigurierte Firewall hat

Für eine Webseite (erstmal egal ob WordPress oder nicht), die diese Absicherungen nicht hat wären diese Angriffe jedoch ein Problem. Tatsächlich habe ich in letzter Zeit wirklich oft Kunden, die unter Hacker-Angriffen leiden oder bereits gehackt wurden. Gerade vor wenigen Tagen rief mich ein Freund an, der Rat suchte, weil mehrere seiner (nicht gesicherten) WordPress-Webseiten gehackt wurden. Glücklicherweise merkte er dies ziemlich früh, weil auf seinen Webseiten plötzlich sichtbare Werbung eingeblendet wurde – dass es so schnell auffällt, ist aber eher die Seltenheit.

Hacker-Angriffe häufen sich

Da WordPress das weltweit mit Abstand am weitesten verbreitete Content Management System ist, ist es auch Ziel Nr. 1 für automatisierte Hacker-Angriffe. Wenn eine Seite gehackt wurde, wird sie meist für dubiose Machenschaften entfremdet die in den allermeisten Fällen eben nicht sichtbar sind! So hatte ich vor einiger Zeit Kunden, die von ihrem Provider einen Hinweis bekamen, dass ihre Seite gesperrt wurde, weil der Traffic plötzlich in die Höhe geschossen war – die Seite war gehackt und mit einem sogenannten “Bitcoin Miner” besetzt worden, der für die Hacker Bitcoin schürfte und den Server bis zum Limit auslastete. Da der Kunde nicht nur mangelhafte Sicherheitsvorkehrungen getroffen hatte, sondern auch keine Backups besaß und die Hacker seine Webseite komplett gelöscht hatten, entschied er sich schlussendlich für die Neuprogrammierung eines (sowieso überfälligen) Webseite – gutes Geschäft für uns, aber eine sehr teure Lehre für den Kunden.
Andere Kunden-Seiten wurden mit pornografischer Werbung überzogen und wieder andere wurden als Satelliten-Seiten für schlechtes Link-Building benutzt (das führte zur Abwertung durch Google und dauerte sehr lange, bis Google den Penalty wieder aufhob). Gerne werden gehackte Seiten auch als Satelliten-Seiten genutzt, von denen aus wiederum andere Seiten gehackt werden – in diesem Fall wird es besonders brenzlig, denn nach deutschem Recht hat der Eigentümer einer Webseite für deren Sicherheit zu sorgen und haftet oftmals auch dann, wenn auf Grund grober Fahrlässigkeit ohne sein Wissen von seiner Seite aus andere Seiten gehackt werden. Ähnlich steht es, wenn beispielsweise kinderpornographische Inhalte und dergleichen über gehackte Webseiten aufgerufen oder gar verteilt werden werden.

Was kann ich dagegen tun?

Eine WordPress-Seite nicht zu schützen ist grob fahrlässig – und es ist auch völlig unnötig, denn bei den Sicherheitsmaßnahmen handelt es sich um relativ wenige Handgriffe, die von einem Fachmann in kürzester Zeit erledigt werden und zu einem sehr hohen Sicherheitsstandard führen. Teuer wird es, wenn es schon zu spät ist – dann müssen oft in langwieriger Handarbeit hunderte von Dateien oder Codeschnipsel entfernt und zeitintensive Scans durchgeführt werden. Zum Schutz einer WordPress-Seite empfehlen wir folgende Maßnahmen und Tools:

  • SSL-Verschlüsselung (erkennbar am https:// vor ihrer Domain)
  • Wordfence Firewall (mit optimaler Konfiguration)
  • Zwei-Faktor-Authentifizierung mind. für Admin Account (via Wordfence Firewall)
  • WPS Hide Login (Versteckt die WordPress Login-URL, die ständigen Bruteforce-Attacken ausgesetzt ist)
  • Updraft Plus (Regelmäßige, automatische Backups auf einem separaten Server)
  • Have I been Pwned? (Email-Adressen Check auf Passwort-Leaks)
  • Disable XML-RPC (optional, kann auch wichtige Services unterdrücken)
  • wp-config.php Datei auf 444 Rechte stellen
  • korrekte Rechtevergabe im WordPress-Verzeichnis
  • Auto Updates deaktivieren und nur nach vorherigem Backup in regelmäßigen Abständen manuelle Updates ausführen

Gerne bringen wir Deine Webseite auf den aktuellsten sicherheitstechnischen Stand – je nach Umfang der Maßnahmen für einen Preis zwischen € 130,00 und € 260,00. Für eine kostenfreie Erstberatung nimm bitte Kontakt mit uns auf.

Das A und O: Passwortsicherheit!

Alle Sicherheitsmaßnahmen nützen nichts, wenn Deine Passwörter nicht sicher sind, oder wenn Du überall ähnliche oder gar das gleiche Passwort benutzt. Bei der Flut von Passwörtern, der wir ausgesetzt sind, gibt es eigentlich nur eine sichere Methode: Leg Dir einen Passwort-Safe wie beispielsweise LastPass an – das ist gleichzeitig auch am einfachsten, denn Du musst dir ab sofort nur noch ein einziges Passwort merken. Alle anderen Passwörter werden von LastPass automatisch vergeben – als ausreichend lange, zufallsgenerierte Codes aus Zahlen, Buchstaben und Sonderzeichen. Außerdem weißt LastPass Dich automatisch sofort darauf hin, wenn eins Deiner Passwörter in einem Datenleck auftaucht oder falls Du ein Passwort auf mehreren Seiten gleichzeitig vergeben hast. LastPass ist kostenlos und kann als App sowohl auf Deinem Smartphone als auch als Plugin in fast jedem Browser installiert werden, so dass Deine Zugangsdaten immer automatisch ausgefüllt werden – kein lästiges händisches Eingeben mehr. Die Sicherung und Verwahrung Deiner Passwörter ist das alleinige Geschäftsmodell dieses marktführenden Anbieters – alle Passwörter werden Ende-zu-Ende verschlüsselt, dass heißt nur Du – und nicht einmal der Provider selbst – können die Passwörter einsehen, ändern oder entschlüsseln. Mit der Premium-Version kannst Du Passwörter zum Beispiel sogar zur Verwendung an andere freigeben, ohne dass sie das Passwort selber sehen können – die perfekte Lösung wenn Du Mitarbeitern Zugangsdaten zur Verfügung stellen willst. Die Freigabe kannst Du jederzeit zurückziehen.

Ein Video-Tutorial, wie Du LastPass installierst und die ersten Schritte zur Übernahme Deiner bisherigen Passwörter findest Du hier.

Alternativ helfen wir Dir gerne in einem persönlichen LastPass Coaching via Bildschirmübertragung und begleiten Dich Schritt für Schritt durch den Installationsprozess auf all Deinen Endgeräten. Die Kosten liegen je nach Dauer der Sitzung meist zwischen € 65,00 und € 130 (65€/h – viertelstündige Abrechnung) – wir machen Dir vorher einen Festpreis.

Das i-Tüpfelchen: Zwei-Faktor-Authentifizierung

Du kennst das von Deinem Online-Banking: Du musst nicht nur ein Passwort eingeben, sondern bekommst auch noch einen Code auf DeinTelefon geschickt. Fast alle größeren Internetportale bieten mittlerweile als Schutz vor Bruteforce-Attacken oder Passwort-Errätern die so genannte 2-Faktor-Authentifizierung (kurz 2FA) an. Unsere Bitte: Nutze dieses großartige Feature – besonders bei den Seiten, auf denen Du private Daten oder gar Finanzen oder Kreditkarten hinterlegt hast. Es kommt immer wieder vor, dass Benutzerdaten missbraucht und Passwörter erraten werden. Wenn Du ein sehr sicheres, zufallsgeneriertes Passwort hast und gleichzeitig Zwei-Faktor-Authentifizierung nutzt, ist es fast unmöglich Deinen Zugang zu knacken. Eins der gängigsten, von allen Webseiten und Plattformen akzeptierten und sehr einfach zu benutzenden Tools für die Zwei-Faktor-Authentifizierung ist der Google Authenticator – ein Tool, dass mit der jeweiligen zu sichernden Webseite (beispielsweise Dein Facebook- Gmail- oder OnlineBanking-Konto) verbunden wird und dann alle paar Sekunden eine neue, sechsstellige Pin generiert, die in Zusammenhang mit Deinem festen Passwort übermittelt werden muss. Der Authenticator ist für iOS, Android und Blackberry OS erhältlich. Auch LastPass bietet ein vergleichbares Tool an, ebenso wie viele andere Anbieter.

Auch bei der Einrichtung einer Zwei-Faktor-Authentifizierung helfen wir Dir gerne. Melde Dich einfach über das Kontaktformular oder ruf uns an!