Die häufigsten Ursachen für Hacks
– und wie du dich absicherst

Die Sicherheit von Webseiten wird oft eher stiefmütterlich behandelt – bis man das erste Mal gehackt wurde. Die Grundlagen für eine sichere Seite wollen wir euch in einer Reihe von Artikeln näher bringen. Heute geht es mit den häufigsten Ursachen für Hacks los:

1. Backups

Zwar keine Ursache für Hacks aber ganz wichtig! Egal was du sonst noch für Maßnahmen ergreifst ein aktuelles Backup ist extrem wichtig. Solltest du doch einmal gehackt werden, kannst du so ganz sauber ein altes Backup einspielen (nachdem du deine Seite platt gemacht bzw. gesäubert hast) und musst keinen Datenverlust erleiden. Wenn du dir bei der Wiederherstellung unsicher bist, frag am Besten einen Profi!

Wie du ein Backup erstellst, kannst du in dem Tutorial sehen:

Hier klicken, um den Inhalt von YouTube anzuzeigen.
Erfahre mehr in der Datenschutzerklärung von YouTube.

2. Schwache Passwörter

Man redet sich den Mund fusselig und trotzdem ist es noch immer weit verbreitet: Unsichere Passwörter. Schwache Passwörter – wie z.B. lesbare Wörter, im schlimmsten Fall auch noch kurze – können durch sogenannte Brute Force Attacks recht einfach geknackt werden: Dabei gibt ein „Bot“ (vereinfacht gesagt: ein Computer) nacheinander immer wieder andere Kombinationen als Passwort ein bis das richtige Passwort gefunden ist.
Um das zu verhindern sollten Passwörter aus zufälligen Kombinationen von Buchstaben, Zahlen und Sonderzeichen bestehen. In unserem Artikel zu sicheren Passwörtern könnt ihr mehr erfahren, wie ihr sicherer Passwörter erstellt, die ihr euch merken könnt.
Um sich vor den Brute Force Attacken zu schützen, können auch Plugins helfen, die nach einer bestimmten Anzahl von nicht erfolgreichen Login-Versuchen den Zugang vorübergehend sperren und euch eine E-Mail senden.

Ein solches Plugin ist z.B. Limit Login Attempts. Auch mit dem großen Sicherheitsplugin „iThemes Security“ könnt ihr die Anzahl an Login-Versuchen begrenzen.

3. Fehlende Updates

Bei Updates von Software werden in der Regel immer auch Sicherheitslücken geschlossen, die nach dem Update dann natürlich bekannt geworden sind. Daher ist es sehr wichtig, immer die neuste Version von WordPress, Themes und Plugins zu benutzen. Vorsicht dabei: Vor dem Update solltest du immer ein Backup anlegen, um bei Inkompatibilitäten auf dein Backup wieder drauf spielen zu können.

4. SFTP statt FTP

FTP (File Transfer Protocol) bezeichnet ein Netzwerkprotokoll zur Übersendung von Dateien. Dieses Protokoll wird genutzt, um Dateien auf den Server zu legen bzw. diese wieder herunterzuladen. Die Daten werden mit FTP unverschlüsselt gesendet, was sicherheitstechnisch natürlich nicht optimal ist. Daher sollte SFTP (Secure File Transfer Protocol) immer bevorzugt werden, da hierbei eine Verschlüsselung möglich ist. Das kann man z.B. bei FileZilla eingestellen, sofern der Server SFTP für dich freigeschalten hat. Ist dies nicht der Fall, oder solltest du dir unsicher sein, wie du es einstellst, kontaktiere deinen Server und frag einfach nach.

5. Falsche Dateirechte

Setzt man in FileZilla die Schreibrechte falsch ein, kann dies Unbefugten den Zugriff auf die eigenen Daten ermöglichen. Mit der Einstellung „777“ können deine Dateien zum Beispiel leicht geändert werden, da es auch die Ausführung von hochgeladenen Daten ermöglicht.
Um einen solchen Zugriff zu verhindern, solltest du die korrekten Schreibrechte einsetzen.

Das kann dann z.B. so aussehen:

  • Ordner: 755
  • 
Dateien: 644
  • wp-content/uploads/: 775
  • wp-content/cache/: 755  (falls dieser Ordner bei dir vorhanden ist)

Wer sich noch weitergehend mit dem Thema auseinandersetzen möchte, kann das in diesem serh ausführlichen Artikel über  Dateirechte tun: „Dateirechte: Warum eigentlich

Extra-Tipp: Falls ihr einen Server von All-inkl nutzt, könnt ihr den Ordner „wp-content/uploads/“ auf 777 setzen, weil All-inkl ein Script benutzt, um php in diesem Ordner zu deaktivieren.

6. XML-RPC

Bei XML-RPC handelt es sich um eine Schnittstelle zu anderen Tools – wie z.B. der WordPress App oder Pingback. Über diese Schnittstelle können leider auch Angreifer einen Ansatz finden, deine Seite zu hacken; es kann daher nicht schaden, diese zu schließen. Allerdings musst du dir bewusst sein, dass dann auch die App und andere Tools, die XML RPC nutzen, nicht mehr funktionieren.

Für die Deaktivierung kannst du das Plugin „Disable XML-RPC“ nutzen oder auch „iThemes Security“.

iThemes Security hat zudem noch deutlich mehr Möglichkeiten deine Seite zu schützen: Oben hatten wir ja schon von der begrenzten Anzahl an Logins gesprochen, aber auch Dateiberechtigungen und allerlei mehr. Wenn du das erste Mal Einstellungen vornimmst, solltest du vorher ein Backup anfertigen und dich ein wenig in die Auswirkungen der verschiedenen Funktionen einlesen, damit du nichts kaputt machst. Die Adevanced Einstellungen solltest nur dann ändern, wenn du genau weißt was du tust, da man mit diesen Einstellung einiges kaputt machen kann. Sollte dir das zu heikel sein, nutze die kleineren Sicherheitsplugins.

Hier noch einmal eine Auflistung der Plugins:

Es gibt natürlich noch viel mehr um eine Seite sicher zu machen. Daher ist dies der erste Artikel einer ganzen Blogserie zum Thema Sicherheit und WordPress. Doch jetzt hast du vielleicht schon das eine oder andere zu tun, um deine Webseite ein Stückchen sicherer zu gestalten. Wir wünschen viel Spaß dabei! :)

2 Antworten
  1. Elias says:

    Hallo Maja
    Vielen Dank für dein Backup-Plugin: Updraft Video. Bei mir ist das Plugin nach der Installation in Englisch. Wo kann man das umstellen?

    Antworten
    • Maja says:

      Hey Elias,

      Plugins werden immer auf der jeweiligen Sprache angezeigt, die man im Backend eingestellt hat (Einstellungen – Allgemein. Ganz unten kann man die Sprache einstellen.) Wenn man nun eine Sprache eingestellt hat, über die das Plugin nicht verfügt, wird es auf englisch angezeigt.

      Ich vermute, dass du deine Seite entweder nicht auf deutsch eingestellt hast, oder aber auf deutsch in der formalen Form.

      Dann ist nämlich der Fallback leider nicht deutsch in der informalen Form, sondern englisch.

      Du kannst dies in drei Wegen beheben.

      1. Dein Backend auf deutsch (gegebenenfalls informal) einstellen.
      2. Das Plugin für deine Wenseite übersetzen mit Poedit.
      3. Das Plugin unter https://translate.wordpress.org/locale/de für alle übersetzen. Sobald das Plugin auf wordpress.org übersetzt (und die Übersetzung überprüft wurde) steht die Übersetzung allen zur Verfügung.

      Hoffe ich konnte dir damit weiterhelfen.

      Liebe Grüße,
      Maja

      Antworten

Schreib einen Kommentar

Willst du an der Diskussion teilnehmen?
Dann schreib mir

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert