Einen WordPress-Blog zu starten ist nicht schwer.
Allerdings vernachlässigen viele Blogger das Thema Sicherheit und das kann später dann zu einem Problem werden.
Deshalb gebe ich im Folgenden ein paar grundlegende Tipps zur Blog-Sicherheit.
Dieser Artikel ist Teil der Serie:
52 Profi-Tipps um deinen Blog zu verbessern
Sicherheit
Leider ist die kriminelle Energie im Internet in den letzten Jahren weiter gestiegen. Immer mehr dunkle Gestalten versuchen unter anderem WordPress-Blog zu hacken, um ihre Spam-Links oder sogar Malware zu verteilen.
Im schlimmsten Falle verliert man gänzlich die Kontrolle über den eigenen Blog und kann diesen nur noch löschen.
Deshalb sollte man von Anfang an auf ein paar Sicherheits-Tipps achten.
Den Blog sicherer machen
Zum einen kann man auf technischer Ebene den Blog sicherer machen.
Es gibt eine Reihe von Plugins, die für eine höhere Sicherheit im eignen Blog sorgen. In meinem Artikel Meine 15 Lieblingsplugins für WordPress habe ich z.B. die Plugins Hotfix und Limit Login Attempts vorgestellt.
Weitere interessante Sicherheits-Plugins werden z.B. auf mittwald.de vorgestellt.
Und ich habe ebenfalls bereits gute Plugins zur Absicherung von WordPress-Blogs vorgestellt.



Zudem setze ich den Service Sucuri* ein. Dieser überwacht permanent den eigenen Blog, schlägt Alarm wenn dieser gehackt wurde und hilft bei der Bereinigung. Dafür gibt es zudem ein Plugin.
Wer mal schnell testen möchte, ob der eigene Blog evtl. gehackt wurde oder sonstige Sicherheits-Probleme aufweist, kann dies auf sitecheck.sucuri.net kostenlos tun.
Bei der Auswahl des eigenen Themes greifen viele auf kostenlose Themes zurück. Leider sind diese teilweise mit Spamlinks oder schlimmerem verseucht. Ich setze nur noch auf die Standard-Themes von WordPress oder auf Premium-Themes.
Das eigene Verhalten
Fast noch wichtiger ist allerdings das eigene Verhalten. Sehr oft ist nämlich nicht die Technik in erster Linie für Probleme verantwortlich, sondern der Blogger selbst.
So sollte man schon bei der Auswahl des Passworts bei der WordPress-Installation sorgfältig sein und was kryptisches wählen, statt ‚12345‘. Das gilt aber auch für den Nutzernamen, den man dann später auch nicht im Blog ausgeben sollte.
Die installierten Plugins sollte man stets auf dem aktuellen Stand halten und auch den Blog selbst zeitnah updaten, wenn eine neue Version erschienen ist. Zudem sollte man nur die Plugins nutzen, die man wirklich braucht.
Regelmäßige Backups der Dateien und der Datenbank sorgen im Krisenfall dafür, dass man den Blog ohne große Verluste neu installieren kann.
Und man sollte sehr darauf achten, dass man die Zugangsdaten nicht an irgendwen herausgibt und auch nicht in unsicheren WLANs damit auf den Blog zugreift.
Fazit
Bisher wurde ich zwar von einem Hack meiner Blogs verschont, aber das liegt wohl auch daran, dass ich von Anfang an darauf geachtet habe (und auch ein wenig Glück hatte).
Es gibt zwar keine hundertprozentige Sicherheit, aber die meisten Hacker greifen bekannte Sicherheitslücken an. Damit sind Blogs im Fokus die z.B. nicht geupdated werden, problematische Plugins verwenden etc..
Eher selten macht sich jemand die Mühe einen bestimmten Blog anzugreifen. Wer also die Grundregeln zu Sicherheit befolgt, der ist größtenteils aus der Schutzlinie. Dafür muss man aber auf dem Laufenden bleiben und sich regelmäßig um Updates kümmern und die aktuellen News zur WordPress-Sicherheit verfolgen.

Ist vielleicht nicht unbedingt etwas für die Blogsicherheit aber man kann die Verbindung zum Server via sFTP noch etwas sicherer machen.
Ansonsten sind die angesprochenen PlugIns echt super, besonders Limit Login Attempts ist ein Favorit von mir.
Schöne Grüße
Stefan
Hi,
ich nutze auch das SUCURI PlugIn, aber seit einigen Wochen bekomme ich beim Scan immer die Meldung „Sucuri: The API returned data that can not be processed.“
Selbst das Löschen des Plugnin-Ornders via FTP und die Neuinstallation haben irgendwie nicht dazu geführt, dass ich eine neue API generieren konnte.
Hat vielleicht jemand eine Idee?
Danke & viele Grüße
Heike
Ja, das zeitnahe Updaten des Blogs und vor allem der Plugins ist die halbe Miete. Aber auch der Server selber sollte auf dem neuesten Stand sein. Die Sicherheitslücken müssen nicht immer vom WordPress herr rühren.
Bei ordenlichen Shared-Hosting Paketen oder Managed Servern übernimmt diese Aufgabe zuverlässig der Provider.
Aber man sollte auch bei seinem eigenen Verhalten und seinen eigenen Passwörtern stehen bleiben. Die grösste Sicherheitslücke sitzt vor dem Computer. Am besten cryptische Passwörter nehmen, die keinerlei Bezug habe und vor allem kein Passwort doppelt verwenden. Es besteht auch die Möglichkeit, das andere Systeme, bei dem man mit dem gleichen Passwort registriert war gehackt wurden. Das liegt ausserhalb der eigenen Macht und kann nur damit umgangen werden.
oje, ich bin ja am überlegen, ob ich mir einen richtigen Blog einrichten soll. Also bei Allink oder so. Das Einrichten macht mir ja weniger Sorgen, aber nachdem ich hier jetzt schon soviel auf deinem Blog gelesen habe, wird das ja richtig Verwaltungsaufwand, gerade beim Thema Sicherheit.
Das mit den Paßwörtern im Kommentar vor mir finde ich einen guten Hinweis, das werde ich, ebenso wie die Suche nach einem guten Plugin, auf meine Todoliste VOR Blogstart ganz nach oben setzen.
Danke,
Jorge
Nutze mehrere Sicherheitsplugins, allerdings schlagen viele davon deftig auf die Performance der Seite, weshalb ich viele auch wieder deaktiviert habe.
Meiner Ansicht nach ist das wichtigste das Limit Login Attempts, um Brute-Force-Attacken vorzubeugen – alles andere ist eh seeeehr unwahrscheinlich.
LG
Kostenlose Themes lassen sich auch ganz einfach mit einem Malware-Scanner nach Schadcode durchsuchen, so kann man das Risiko, seinen Blog mit Malware oder ähnlichem zu infizieren, drastisch reduzieren. Bei Themes von WordPress.org sollte man doch eigentlich auf der sicheren Seite (im wahrsten Sinne des Wortes^^) sein, oder? Diese werden ja alle vor dem Veröffentlichen geprüft, und Schadcode sollte somit zumindest in den meisten Fällen auffliegen. Ist dir denn ein Fall bekannt, bei dem auch Themes mit Schadcode bei der Kontrolle von WordPress.org duchgegangen sind? Vielleicht ist dir da ja mehr bekannt als mir.
Bis jetzt hatte ich jedenfalls noch keine Scheu davor, ein WordPress.org-Theme auch mal ohne vorherigen Scann einzusetzen. Bei Themes die ich mir von anderen kostenlosen Quellen herunterladen, führe ich allerdings grundsätzlich immer einen Schadcode-Scan durch. Da gab es ja schon einige Fälle, bei denen Themes mit Malware verseucht waren.
Neben dem Sucuri-Scanner gibt es übrigens noch viele weitere Scanner, die meisten davon durchsuchen direkt die Dateien der zu scannenden Themes, anstatt einen externen Dienst wie Sucuri zu verwenden, was ich persönlich wesentlich besser finde. In meinem Artikel Malware-Scanner: 5 WordPress-Plugins zum Schutz vor Schadcode habe ich 5 verschiedene Schadcode-Scanner vorgestellt und gleichzeitig noch die Funktionsweise der Scanner erklärt, daher habe ich mich auch umfassend mit der Thematik auseinander gesetzt. Das wichtigste an einem wirklich sicheren Scanner ist, dass man das jeweilige Theme schon scannen kann, bevor man es aktiviert. Denn theoretisch könnte ein Angreifer schon bereits bei der Aktivierung des Themes ein Script ausführen, was dann andere PHP-Dateien, wie z.B. die vom WordPress-Core selbst, mit der Malware infizieren. Dann wäre man selbst dann noch infiziert, wenn man das Theme nachträglich deaktivieren würde. Das infizierte Theme könnte über die Hook-API von WordPress sogar dafür sorgen, dass die ausgegebene Seite des Malware-Scanners manipuliert wird, und es somit über den Scanner nicht mehr ersichtlich ist, dass das Theme mit Schadcode infiziert ist. Andere Manipulationen des Admin-Bereiches wären übrigens auch denkbar, sodass man beispielsweise den Button zum Wechseln eines Themes entfernen könnte.
Ich hoffe dass ich hiermit jemanden weiterhelfen konnte. Grüße, WordPlus.de
Limit Login Attempts nutze ich auch. Es ist erschreckend, wie viele Login-Versuche unternommen werden. Nicht nur unter admin, sondern auch unter dem eigenen Namen.
Sucuri werde ich mir mal näher ansehen.
Gruß
Ulrich