Die drei Todsünden im Bezug auf die WordPress Sicherheit
Heute möchte ich etwas über die drei Todsünden im Bezug auf die Sicherheit eures Blogs schreiben und euch hoffentlich ein paar nützliche Tipps geben, wie ihr euren Blog sicherer machen könnt. Viele Sicherheitsprobleme entstehen erst durch diese drei Punkte, die leider zu oft auf Blogger zutreffen.
Viele Sicherheitsprobleme werden vom Blogger selbst verursacht und das geschieht durch eine oder mehrere der drei Todsünden im Bezug auf die Sicherheit:
Unwissenheit – Leichtsinnigkeit – Nachlässigkeit
Todsünde Nummer 1
Unwissenheit
Blogger werden ist einfach und das kann viele Probleme mit sich bringen. Heute kann man sich ein Blog innerhalb weniger Minuten selbst erstellen. WordPress und unzähligen Bloganbieter machen es einem da sehr einfach. Es gibt so viele Blogger, die sich ein Blog aufsetzen, aber so gar keinen Gedanken an Sicherheitsaspekte verschwenden. Da stellt sich mir doch gleich die Frage:
Lasst Ihr tagsüber und nachts auch eure Haustür offen stehen?
Ich bin doch immer wieder überrascht, was man da so alles mitbekommt, wenn man als Webentwickler tätig ist und Unwissenheit taucht bei Privatbloggern, Unternehmen und manchmal sogar bei Profis auf. Dabei könnten viele Sicherheitprobleme relativ einfach behoben werden: Vorraussetzung dafür ist aber, dass man sich selbst schlau macht. Es scheint aber viele Blogger zu geben, die einfach “so gute” Menschen sind, dass sie die Gefahr nicht erkennen oder vielleicht auch nicht wahrhaben wollen. Warum sollte auch ausgerechnet mir etwas passieren?
Einige Informationen wie man sicherer bloggt habe ich bereits in meinem Beitrag “Tipps für mehr WordPress Sicherheit” vorgestellt, der zwar nur einige von vielen Tipps behandelt, aber wenigstens schon mal ein Anfang ist. Zahlreiche Tipps dazu findet man auf unzähligen Blogs. Einige davon stelle ich euch am Artikelende vor.
Wer keine Mindest-Vorkehrungen gegen Angreifer trifft, ist leicht Beute!
Du befasst dich als Blogger nur wenig oder gar nicht mit dem Thema Sicherheit?
Dann hängst du vielleicht schon bald am Haken!
Foto: © LKpix – Fotolia.com
Mein Tipp an euch: Investiert wenigstens nur ein paar Minuten oder besser ein paar Stunden in das Thema WordPress Sicherheit und ihr könnt euer Blog sehr viel sicherer machen. Falls Ihr das nicht tut, fallt Ihr leider auch gleich in die Kategorie der zweiten Todsünde im Bezug auf WordPress Sicherheit:
Todsünde Nummer 2
Leichtsinnigkeit
Wie ich bereits bei der Todsünde Nummer 1 “Unwissenheit ” geschrieben hatte, ist es sehr leichtsinnig, sich als Blogger nicht mit dem Thema Blog-Sicherheit zu befassen. Da du hier aber so eifrig mitliest, befasst du dich ja damit und scheinst zum Glück nicht in diese Kategorie zu fallen. Glückwunsch, du bist schon mindestens einen Schritt weiter als viele andere!
Eigentlich kann man die drei Todsünden auch auf andere Bereiche im Internet übertragen. Wenn man sich mal überlegt, was manche Leute für leichtsinnige Fehler machen und dadurch Angreifern die Türen öffnen. Das fängt schon bei der Wahl des Passwortes für einen Kundenzugang auf einer Webseite oder einem Shop oder eben für den Blog-Adminzugang an. Ein schlechtes Passwort ist schnell gefunden und ich mache es mir besonders einfach: ich nehme einfach das gleiche Passwort wie bei meinem E-Mail Postfach, das ich auch gleich noch bei zehn anderen Webseiten verwende.
Und was macht man dadurch auch gleich? Man schließt seine Haustür zwar ab, legt den Schlüssel aber unter die Fußmatte.
Das ist zwar nur ein Beispiel für Leichtsinnigkeit im Bezug auf die Sicherheit, aber eben ein oft gemachter Fehler. Also bitte verwende keine schlechten Passwörter für deinen WordPress Adminzugang! Wer als Blogbetreiber so leichtsinnig ist, macht es Angreifern einfach sich Zugang zum System zu verschaffen. Und man ist schnell leichtsinnig. Das zeigt auch die Tatsache, dass sich viele Blogger schnell mal ein kostenfreies Theme installieren, ohne zu wissen, was da alles für Code drinnen steckt. Kostenfreie Themes sind eine gern genutzte Tür für Angreifer, denn kostenfreie Themes enthalten oft Schadcode. Sei einfach ein bisschen “wacher” im Bezug auf Sicherheit und gehe damit nicht leichtfertig um. Dann hast du auch sicherlich länger Freude am bloggen!
Todsünde Nummer 3
Nachlässigkeit
Einige Sicherheitsprobleme werden auch durch WordPress selbst verursacht. WordPress ist auf so vielen Blogs im Einsatz, das kann man sich gar nicht vorstellen. Die WordPress 3.4 Version wurde aktuell bisher 9.385.632 mal runtergeladen (die aktuelle Zahl erfahrt ihr vom WordPress Download Counter). Damit ist das Sytem natürlich auch im Visier der Angreifer. Zwar gibt sich das WordPress-Team alle Mühe und behebt bekannte Sicherheitslücken durch Updates, die nützen aber nur was, wenn Ihr diese auch installiert. Also werdet im Bezug auf die Sicherheit eures Blogs – und der in vielen Stunden mühseliger Arbeit geschriebenen Posts – nicht nachlässig. WordPress macht es euch sehr einfach ein Update durchzuführen. Aber auch dabei nicht in die Mühle der Todsünde 2 geraten und leichtsinnig werden! Vorher schnell noch ein Backup von allen Daten und der Datenbank machen. Der Rest funktioniert ganz einfach per Klick im Adminbereich.
Böswillige Angreifer arbeiten immer weiter an neuen Techniken, wie Sie ihr Ziel erreichen können und die sind wirklich spitzfindig! So werden immer wieder neue Gefahrenquellen bekannt. Werdet nicht nachlässig und informiert euch immer mal wieder hier aoder auf anderen Blogs, ob es etwas Neues zum Thema Sicherheit zu wissen gibt.
Und wie ich euch oben versprochen hatte, habe ich noch einige weiterführende Informationen zum Thema “WordPress Sicherheit” auf anderen Blogs rausgesucht:
- WordPress sicherer machen auf wpde.org
- Tipps zur Sicherheit von WordPress auf elmastudio.de
- WordPress-Blog gegen Hacker absichern
- 10 Sicherheits-Tipps für WordPress-Seiten
- 10 Tipps zur Verbesserung der Sicherheit von WordPress Websites
- 16 Tipps zur Erhöhung der Sicherheit von WordPress
- WordPress Security-Tipps: So machst Du das CMS sicher
Der Blogmal WordPress-Newsletter
Interessante Artikel, Tipps und Tricks aus der WordPress-Szene: Abonniere den Newsletter und erhalte zukünftig aktuelle Informationen rund um WordPress und die Bloggerwelt direkt per E-Mail:
Vielleicht interessieren dich auch diese Themen:
- Tipps für mehr WordPress Sicherheit
- WordPress Sicherheit: Viren, Würmer und Malware in Themes mit dem AntiVirus-Plugin für WordPress finden
Du brauchst professionelle Hilfe bei deinem WordPress-Projekt oder suchst einen erfahrenen Blogger, der dich unterstützt?
Du suchst einen erfahrenen WordPress-Entwickler und Blogger für deine Kundenprojekte oder dein Unternehmen? Gerne arbeite ich mit dir als Freelancer zusammen.
Mehr Sicherheit für deinen Blog: Nicht ins Visier von Angreifern geraten! Lasse die Sicherheit deines Blogs durch meinen Check prüfen und optimieren 
Mein Name ist Tobias Karnetzke, ich bin Blogger aus Leidenschaft und seit 2004 selbständiger Programmierer und Webentwickler.
Hallo Tobias, vielen Dank für diesen tollen Beitrag und den Link auf meinen Blogartikel zum Thema “Sicherheit von WordPress”. Die zitierten Stolperfallen sind in der Tat durch ein bisschen Vorsicht und gesunden Menschenverstand zu vermeiden. Das Bloggen wurde technisch derart vereinfacht um die breite Masse zu erreichen, dass man in der Tat für den reinen Erstbetrieb quasi keine technischen Vorkenntnisse benötigt. Die Folge ist allerdings wie in Deinem Beitrag erläutert, dass die Sicherheit oftmals auf der Strecke bleibt. Eine WordPress-Installation in der unveränderten Standard-Fassung ist trotz des sicherheitstechnisch gut programmierten Unterbaus eine Einladung sondergleichen für halbwegs ehrgeizige Hacker. Es reicht oftmals im Quellcode die genau installierte Version ausfindig zu machen um die Lücken umgehend für sich nutzen zu können.
Daher mein Ratschlag an Blogger ohne technische Vorkenntisse: Wer seinen eigenen Blog hostet und betreut, sollte auf fachliche versierte Berater zurück greifen, um Krokodilstränen zu vermeiden…
Viele Grüße aus Belgien,
Gino Cremer
Pixelbar
Hallo Gino,
gern geschehen! Es ist leider wirklich so, dass sich viele einfach zu wenig Gedanken um das Theme Sicherheit im Internet machen. Das trifft man ja überall immer wieder. Sicherlich kann es trotzdem sein, dass man Opfer eines Angriffs wird und man Schaden nimmt, auch wenn man einige Vorkehrungen getroffen hat. Jedoch kann man mit ganz wenig Aufwand die Chance, dass so etwas passiert enorm minimieren. Wer denkt “mir passiert sowas doch nicht. Warum gerade mir?”, der wird sicherlich auch irgendwann Pech haben. Und wie du sagtest, ist es nie schlecht jemanden zu haben, der sich mit dem Thema Sicherheit richtig gut auskennt.
Gruß
Tobias
Hallo Tobias, es ist schlussendlich wie in der Schule: Selbst wenn man gelernt hat, kann man ein Schuljahr in den Sand setzen. Doch dann hat man zumindest alles getan, um es zu verhindern
Das stimmt, wie in der Schule, Es wäre nur schade, wenn man mit dem Blog wieder von vorne anfangen müsste. Gleiches trifft natürlich auf das Schuljahr zu
Hallo Tobias,
toller Beitrag den du da geschrieben hast und für viele unerfahrene (WordPress-)Blogger hoffentlich ein Denkanstoß auch mal die Sicherheit des eigenen Blogs sicherzustellen.
Gerade bei WordPress ist doch so: Man hat es in nicht mal 5 Minuten installiert und will nach der Installation sofort los bloggen und denkt gar nicht daran, den Blog abzusichern, weil man denkt, dass die Entwickler eh schon an alles gedacht haben bzw. sich sagt warum soll ein Hacker gerade meinen kleinen unbekannten Blog angreifen?. Dabei kann Blogger ja schon mit wenigen Handgriffen die Sicherheit des eigenes Blogs erhöhen!
Grüße Stephan
Hallo Stephan, vielen Dank für dein Lob und es freut mich natürlich, dass dir der Artikel gefällt.
Leider ist es wie du sagst und es ist nach der Installation eines Blogs noch lange nicht alles (so gut wie möglich) abgesichert.