CityHost.UA
  • Русский
  • Українська
  • English
  • Polski

  • Kyiv

    (044)3-777-4-88

  • Kyivstar

    (096) 365-38-58

  • Lifecell

    (093) 170-17-68

  • Vodafone

    (066) 922-59-58
Hilfe und Unterstützung

Wie man eine WordPress-Website schützt und nicht Opfer von offenen Code-Schwachstellen wird

 5700
05.06.2023
article

 

 

In der Welt des Internets muss man ständig zwischen Komfort und Sicherheit wählen. Ein einfaches Passwort ist leichter zu merken — aber es ist leicht zu knacken; heruntergeladene Programme aus dem Internet zu installieren ist bequem, aber man kann als Bonus eine unangenehme «Überraschung» erhalten, mit der man nicht gerechnet hat.

So ist es auch mit WordPress — es ist ein unglaublich praktisches Content-Management-System (CMS oder Engine), das das Leben für Webmastern erleichtert. Man muss keinen Code mehr selbst schreiben — es reicht aus, Hosting zu kaufen und eine Domain für die Website zu registrieren, das CMS (das nun in wenigen Klicks installiert werden kann) zu installieren und die Website mit einem Baukastensystem zu erstellen. Aber… Sie wissen nicht, wer die «Teile» herausgebracht hat, wie verantwortungsbewusst er gearbeitet hat und ob die Cyberkriminellen nicht einige interessante Funktionen eingebaut haben, abgesehen von den, die Sie benötigen.

In der fernen Vergangenheit, zu Zeiten der ersten Computer, hatte jeder einen bekannten Typen, der vorbeikam, murmelte «installieren sich alles Mögliche» und reinigte den endlos langsamen Computer von Viren. Tatsächlich können wir alle dieser Typ für unser Wordpress sein. Der Schutz von Wordpress ist keine so schwierige Angelegenheit.

Lesen Sie auch: Was ist robots.txt und wie man robots.txt für WordPress konfiguriert

Was ist Wordpress und warum ist es anfällig

Wordpress — ist ein Content-Management-System mit offenem Quellcode. Es hat eine gewisse Anzahl von Standardfunktionen sowie drei vorgefertigte Themen (Website-Vorlagen). Aber Interessierte können ihre eigenen Plugins (Anwendungen, die auf Websites bestimmte Funktionen ausführen) und Themen (Vorlagen) herausbringen.

Diese Plugins und Themen können aus dem Store heruntergeladen und installiert werden. Sie existieren auch einfach im Internet — man kann zum Beispiel nach Wordpress-Vorlagen googeln und eine Menge Links erhalten. So muss das Engine, obwohl es in PHP geschrieben ist, nicht unbedingt bekannt sein, um eine einfache Seite zu erstellen. Eine Website auf Wordpress sieht professionell und ordentlich aus, selbst wenn sie nicht von einem Designer oder Entwickler erstellt wurde.

Wordpress-Plugins machen alles — sie verbessern SEO, sammeln Statistiken, verbessern die Struktur der Website, binden Zahlungsinstrumente ein, integrieren Videos, soziale Medien-Icons, Foren, Tag-Clouds. Im Grunde kann man all dies tun, ohne den Code-Editor der Website zu öffnen oder ihn nur minimal zu nutzen. Sehr viele Plugins und Themen sind kostenlos oder bedingt kostenlos.

Aber jedes solche Plugin — das sind Dateien mit Code, die auf die Website installiert werden und darauf zugreifen. Niemand kann garantieren, dass unter dem nützlichen Code, der das Aussehen und die Funktionalität der Website verbessert, kein schädlicher Code verborgen ist — dasselbe Virus.

Lesen Sie auch: Viren auf der Website — wie man sie findet und sich vor einer Infektion schützt

Wordpress-Schwachstellen – woher sie kommen und welche Bedrohungen sie für die Website darstellen

Wenn wir ein Theme oder ein Plugin herunterladen und starten, wissen wir nicht, was genau wir gestartet haben. Weit nicht jeder wird den Code prüfen. Und er kann so geschrieben sein, dass Cyberkriminelle Schwachstellen finden und ihre Änderungen einbringen können, Wordpress hacken und die Website für unehrliche Zwecke nutzen. Zum Beispiel entstehen Probleme aufgrund von unsachgemäßer Datenbereinigung — wenn in eine Datenbank, die sensible Informationen enthält, das gelangt, was dort nicht sein sollte. Dann können die Cyberkriminellen eine sogenannte «Injektion» vornehmen, indem sie schädlichen Code einfügen. Es gibt viele Schwachstellen, wegen denen man relativ einfach eine Wordpress-Website hacken kann.

Schadhafter Code kann:

  • Viren und andere schädliche Software enthalten;

  • das Passwort des Administrators zurücksetzen und Zugriff auf Informationen erhalten;

  • zum Phishing beitragen – und das wird direkt zu Geld- und Reputationsverlust führen, wenn es sich um einen Online-Shop handelt;

  • automatische Weiterleitungen auf bestimmte Websites durchführen, die Ansichten manipulieren;

  • die Ressourcen der Website für die Durchführung von DDoS-Angriffen nutzen, indem sie entsprechende Viren einfügen, und vieles mehr.

Zur Verdeutlichung: Allein in einer Woche im April 2023 wurden 70-80 Schwachstellen in Themes und Plugins festgestellt, die Websites auf Wordpress mit mehreren Millionen betrafen.

Kürzlich entdeckte Wordpress-Schwachstellen

Die Schwachstellen von Wordpress werden regelmäßig aufgedeckt. Hier ist eine Nachricht von thehackernews.com vom 6. Mai — ein harmloses Plugin zur Erstellung benutzerdefinierter Felder in Wordpress-Seiten hatte Schwachstellen, die zu reflektiertem Cross-Site-Scripting führten. Dies ist ein Angriffstyp, bei dem schadhafter Code an Benutzer gesendet wird, nach dem ihr Browser unbefugte Aktionen ausführt, zum Beispiel können Cyberkriminelle geheime Informationen stehlen. Ein reflektierter Angriff erfordert, dass der Benutzer auf einen Link klickt, der wie ein vertrauenswürdiger aussieht. Deshalb wird versucht, ihn per E-Mail zu verbreiten oder auf normalen Webseiten einzubetten — einschließlich durch Schwachstellen in Wordpress-Plugins.

Ein beliebtes Plugin, Essential Addons für Elementor, enthält eine Schwachstelle CVE-2023-32243, die es einem Angreifer ermöglicht, das Passwort zurückzusetzen und die Website zu übernehmen.

Die Schwachstelle der Engine wurde von anderen Cyberkriminellen genutzt, die Websites mit ihrem schädlichen Code infizierten und Benutzer auf andere, betrügerische Seiten umleiteten, um die Werbeansichten in Google Ads zu manipulieren. Solche Ansichten bringen Geld, daher ist der Gewinn offensichtlich. Darüber berichtet Itc.ua.

Kurz gesagt, die Sicherheit einer Wordpress-Website ist eine wichtige Frage, also lassen Sie uns zu praktischen Schritten übergehen, die helfen, Ihre Website vor Problemen zu retten.

Lesen Sie auch: Wo wird die Datenbank in WordPress gespeichert

Schwachstellenscanner: Online-Dienste zur Überprüfung der Website nutzen

Da die Website auf Wordpress standardmäßig Schwachstellen aufweisen wird, wäre es seltsam, nicht zu lernen, sie zu erkennen. Dafür gibt es zahlreiche Dienste, sowohl kostenlose als auch mit zusätzlichen Funktionen gegen eine bestimmte Gebühr. 

Wordpress-Schwachstellen werden gesucht:

  • Hacker Target WordPress Security Scan testet die gesamte Website, beginnend mit der Bestimmung des CMS der Website, der Themen, Plugins, der Notwendigkeit von Updates, Problemen mit Benutzerkonten;

Wie man Wordpress-Schwachstellen findet — Hacker Target WordPress Security Scan

  • Scanurl zeigt den Ruf der Website im Netz: Wird sie Google Safe Browsing bestehen, hat sie negative Bewertungen, insbesondere bei WebTrust, wurde sie von jemandem als gefährlich markiert;

  • Sucuri Website Malware und Security Scanner. Über das Unternehmen Sucuri haben wir gerade im Kontext der Schwachstellensuche gesprochen, und hier ist ihr Produkt — sucht alle Skripte auf der Website (nützlich für diejenigen, die sich mit Skripten auskennen und die sehen werden, die sie nicht installiert haben), Firewall-Probleme, ob die Website auf schwarzen Listen steht usw.;

  • UpGuard scannt nicht nur, sondern gibt die Ergebnisse in spielerischer Form aus. Es wird sowohl schädlichen Code als auch Probleme mit dem Virenschutz suchen und vieles mehr.

Der Schutz von Wordpress wird zuverlässiger, wenn Sie den ausgewählten Scanner mindestens einmal im Monat verwenden.

Wie man eine Wordpress-Seite vor Hackern schützt — Schritt-für-Schritt-Anleitung

Wie wir sehen, ist es durchaus realistisch, Wordpress zu hacken. Aber das bedeutet nicht, dass man es nicht nutzen kann. Erstens, wenn Schwachstellen auftreten, machen die Entwickler von Plugins und Themen sogenannte Patches — Code, der das «schwache Glied» schließt. Zweitens können die Risiken erheblich gesenkt werden, wenn Sicherheitsmaßnahmen ergriffen werden.

Sicherheit der Website auf WordPress: Schutz des Admin-Bereichs

Die meisten Schwachstellen, die es ermöglichen, die Kontrolle über die Website zu übernehmen, zielen darauf ab, das Passwort des Administrators zurückzusetzen und ein neues zu setzen. Um dies zu vermeiden:

  • richten Sie die Zwei-Faktor-Authentifizierung ein. Diese Funktion bieten einige Sicherheits-Plugins wie Jetpack, Wordfence. Es gibt auch separate Plugins speziell dafür, insbesondere Google Authenticator. Es bietet an, eine zweite Stufe des Zugangs nach der Eingabe des Passworts einzurichten — die Antwort auf eine geheime Frage, einen Code per SMS usw.;

Schutz von Wordpress mit Google Authenticator

  • beschränken Sie die Anzahl der Passwortversuche. Dies kann ebenfalls mit Plugins gemacht werden — insbesondere mit Loginizer, Limit Login Attempts. Sie müssen eines dieser Plugins installieren und in den Einstellungen die Anzahl der Versuche auswählen;

  • erstellen Sie separate Konten für Redakteure und Content-Manager und beschränken Sie deren Rechte auf das Notwendige, um mit Inhalten zu arbeiten.

Lesen Sie auch: Wie man sein Konto bei Cityhost in Zeiten der Informationsinstabilität schützt

Wählen Sie bewährte Wordpress-Themes und -Plugins

Wordpress-Plugins und -Themes sind sehr benutzerfreundlich. Aber es ist wichtig, diejenigen auszuwählen, die mit geringerer Wahrscheinlichkeit anfällig sind.

Verwenden Sie bewährte Plugins und Themes. Das Unternehmen Wordpress selbst empfiehlt, den Plugins und Themes zu vertrauen, die Sie aus ihrem Store herunterladen. Es ist besser, beliebte Plugins zu wählen, die häufig aktualisiert werden.

Vergessen Sie nicht, Plugins und die Wordpress-Version zu aktualisieren

Verantwortungsvolle Entwickler überprüfen ihre Produkte in der Regel regelmäßig auf Wordpress-Schwachstellen. Wenn eine Schwachstelle gefunden wird, wird sie mit einem Patch behoben. Um Wordpress zu schützen:

  • aktualisieren Sie regelmäßig die Plugins: wenn sie eine Schwachstelle hatten, wird diese in zukünftigen Versionen wahrscheinlich behoben;

  • aktualisieren Sie regelmäßig das System Wordpress selbst: neue Versionen sind ebenfalls sicherer.

Sicherheit von Wordpress: spezielle Sicherheits-Plugins installieren

Jedes Sicherheits-Plugin hat seine eigenen Funktionen, sie sind unterschiedlich, und man muss wählen, wie man Wordpress schützt. Denn zu viele Plugins zu installieren — schädlich für die Geschwindigkeit der Website. Einige Plugins scannen die Website selbst, andere können nur mit bestimmten Folgen eines Hacks umgehen — zum Beispiel verhindern sie, dass das Passwort zurückgesetzt wird oder machen rechtzeitig ein Backup der Website.

Sicherheit der Website auf Wordpress — Plugin Sucuri

Hier sind einige Optionen, die Sie nutzen können:

  • Sucuri in der kostenlosen Version ermöglicht es, die Dateien der Website zu testen, schützt außerdem vor DDoS-Angriffen, scannt auf Viren, unterstützt das Sicherheitszertifikat usw.;

  • All in One WP Security & Firewall — enthält eine Firewall, wie aus dem Namen ersichtlich, bietet aber auch viele nützliche Funktionen, um das Hacken der Website zu erschweren — IP-Adressen blockieren, wenn das Passwort mehrmals falsch eingegeben wurde, Benachrichtigung, wenn einige Dateien der Website geändert werden, Zugriff auf das Admin-Panel nur zu festgelegten Arbeitszeiten, Protokollierung von Besuchen, Captcha zur Erschwerung des Passwortknackens, schwarze Liste von Dateien und vieles mehr;

  • Loginizer blockiert die Benutzeradresse, von der aus das Passwort falsch eingegeben wurde;

  • Jetpack wurde von Wordpress speziell zum Schutz von Websites auf diesem Engine entwickelt. Es scannt auf Viren und Würmer, überwacht den Verkehr und alle Änderungen auf der Website, filtert Spam. Außerdem hat dieses Plugin Funktionen zur Optimierung der Website, sammelt Statistiken und bietet nützliche Funktionen für E-Mail-Newsletter und soziale Medien;

  • Wordfence scannt die Dateien der Website auf Integrität und Sicherheit, überwacht den Verkehr und meldet DDoS-Angriffe, bietet außerdem eine Firewall, die die Versuche zu hacken stoppt, schützt vor Scans durch Hacker, Botnets, schädlichem Verkehr usw. Darüber hinaus ermöglicht das Plugin das Auffinden schädlicher und Phishing-Links auf der Website, falls sie aufgetaucht sind.

Es gibt viele Sicherheits-Plugins, aber es lohnt sich, nach beliebten zu suchen, die regelmäßig aktualisiert werden und gleichzeitig mehr Funktionen bieten.

Schutz der Website: allgemeine Tipps

Die Sicherheit einer Wordpress-Website hängt auch von der Einhaltung allgemeiner Regeln ab, die die Wahrscheinlichkeit einer Virusinfektion verringern. Es sollte von einem überprüften und geschützten Computer aus verwaltet werden, regelmäßig sollten die Computer des gesamten Teams gescannt werden. Außerdem sollte man:

  • rechtzeitig Backups machen;

  • ein gutes, komplexes Passwort festlegen und es regelmäßig ändern;

  • eindeutige Logins für alle, die mit der Website arbeiten, festlegen. Man kann sogar das Admin-Konto löschen, nachdem man ein anderes Konto mit Administratorrechten erstellt hat. Dies kann über das Menü «Benutzer» (Users) erfolgen. Bei jedem Benutzer erscheint diese Option beim Überfahren.

Es ist auch wichtig, ein SSL-Zertifikat auf der Website zu installieren und auf das Protokoll https umzusteigen. Der Grund dafür ist, dass standardmäßig alle Datenübertragungen im Internet offen sind (Protokoll http), was es Cyberkriminellen erlaubt, sich zwischen dem Server und dem Browser des Benutzers einzuschalten und sensible Informationen zu stehlen oder ihn umzuleiten. Ein SSL-Zertifikat ist ein elektronischer Pass, der den Datenaustausch nur erlaubt, nachdem eine verschlüsselte Verbindung hergestellt wurde. Gleichzeitig zeigt es, dass der Benutzer genau dorthin geht, wo er wollte — auf diese Website. Teurere Zertifikate ermöglichen es auch, dass die Webseite einem bestimmten Unternehmen gehört. Besonders wichtig ist ein Sicherheitszertifikat, wenn Sie:

  • persönliche Daten von Benutzern sammeln;

  • Zahlungen entgegennehmen.

Immer mehr Websites im Netz wechseln zu verschlüsselten Protokollen, daher sollte man auch für seine eigene sorgen.

Es gibt wahrscheinlich genauso viele Möglichkeiten, eine Wordpress-Website zu schützen, wie es Möglichkeiten gibt, sie zu hacken. Aber sie entstehen und entwickeln sich allmählich, daher sollte man die Website und alle vorhandenen Plugins regelmäßig aktualisieren und auch ab und zu auf Sicherheitsnachrichten achten. Es ist nicht schwer, erfordert jedoch ein wenig Disziplin und Aufmerksamkeit.


Hat Ihnen der Artikel gefallen? Erzählen Sie Ihren Freunden davon:

Author: Bohdana Haivoronska

Journalist (since 2003), IT copywriter (since 2013), content marketer at Cityhost.ua. Specializes in articles about technology, creation and promotion of sites.

Vorheriger Artikel

ChatGPT-4 ist in Bing verfügbar - wie man künstliche Intelligenz kostenlos für das Geschäft nutzt

Nächster Artikel

Wie man einen VPS-Server für eine Website auswählt: optimale Parameter und Anleitung zur Platzierung von Webressourcen
Ähnliche Artikel
Unsere Dienstleistungen

Virtuelles Hosting

Domainregistrierung

Virtuelle Server

Dedizierte Server

SSL-Zertifikate

Registrierung der Marke

SMS Versand

Kostenloser Rückruf-Service

CityHost

Dienstleistungen

2004 - 2025 "CityHost" – professionelles
kostenpflichtiges Hosting in der Ukraine.