Wordpress-Editor vs. Elementor
Wordpress-Editor vs. Elementor

Die Top 5 Legenden über WordPress Sicherheit aufgedeckt

Im Internet begegnen Ihnen zahlreiche WordPress-Sicherheitshinweise von gut meinenden Menschen, die wirklich helfen wollen. Leider basieren einige dieser Ratschläge auf WordPress-Sicherheitslegenden und fügen Ihrer WordPress-Webseite eigentlich keine wirkliche Sicherheit hinzu. Tatsächlich können einige dieser WordPress Sicherheitstipps die Gefahr sogar erhöhen, dass Sie auf Probleme und Konflikte stoßen.

In diesem Beitrag und in dieser Infografik werden wir einige der gängigsten WordPress-Sicherheitsmythen zerschlagen, damit Sie einen sachkundigeren Einstieg in Ihre Website-Sicherheitsstrategie finden.

Die Top 5 Legenden über WordPress Sicherheit aus Tausenden von Support-Tickets

Wir haben viele WordPress-Sicherheitsmythen zur Auswahl auf iThemes-Security! Jedoch werden wir uns hier nur auf die Top 5 konzentrieren, die wir in über 20.000 Supporttickets gesehen haben. Diese Gespräche dienten als Grundlage für die folgenden Kriterien zur Auswahl der wichtigsten Legenden:

  1. Die Häufigkeit, mit der die Legende erwähnt wurde.
  2. Die Anzahl der Probleme, die diese Legende verursacht hat.
  3. Das falsche Sicherheitsgefühl, das diese Legende vermittelt.

 

Legende 1: Du solltest deine /wp-admin oder /wp-login URL verstecken (auch bekannt als Hide Backend).

Die Idee hinter dem Verstecken des wp-admin ist, dass Hacker nicht hacken können, was sie nicht finden können. Wenn Ihre Anmelde-URL nicht die Standard-URL von WordPress /wp-admin/ ist, sind Sie dann nicht vor Brute-Force-Angriffen geschützt?Die Wahrheit ist, dass die meisten Hide Backend-Funktionen einfach Sicherheit durch Verstecken sind, was jedoch überhaupt keine absolut verlässliche Sicherheitsstrategie ist. Wenn gleich das Verstecken Ihrer Backend wp-admin-URL dazu beitragen kann, einige der Angriffe auf Ihre Anmelde-Seite zu mildern, wird dieser Ansatz die Meisten nicht davon abhalten.Wir erhalten häufig Supporttickets von Personen, die ratlos sind, wie iThemes Security Pro ungültige Anmeldeversuche doch meldet, auch wenn sie ihre Anmeldung versteckt haben. Das liegt daran, dass es neben der Verwendung eines Browsers, wie z.B. XML-RPC oder die REST-API, noch andere Möglichkeiten gibt, sich in Ihre WordPress-Seiten einzuloggen. Nachdem Sie die Anmelde-URL geändert haben, kann ein anderes Plugin oder Design noch auf die neue URL verweisen.Tatsächlich ändert die Funktion das Backend auszublenden, nicht wirklich etwas. Ja, es verhindert, dass die meisten Benutzer direkt auf die standardmäßige Anmelde-URL zugreifen können. Aber nachdem jemand die benutzerdefinierte Anmelde-URL eingegeben hat, wird er wieder auf die standardmäßige WordPress-Login-URL umgeleitet.Die Wahrheit ist, dass Sie die Backend-Login-Seite Ihrer WordPress-Website nicht vollständig ausblenden können. Wenn Sie die URL von wp-admin ändern würden, würden Sie Ihre Website unterbrechen. Alles, was Sie auf Ihrer Website installieren, einschließlich WordPress, geht davon aus, dass /wp-admin in der URL enthalten ist. Wenn Sie etwas so Grundlegendes wie das Erstellen eines Beitrags machen, müssen Sie den wp-Admin durchgehen, bevor Sie zu /wp-admin/post.php kommen.Es ist ebenfalls bekannt, dass das Anpassen der Anmelde-URL Konflikte verursacht. Es gibt einige Plugins, Themes oder Anwendungen von Drittanbietern, die den harten Code wp-login.php in ihre Codebasis aufnehmen. Wenn also eine fest programmierte Software nach ihresite.com/wp-login.php sucht, findet sie stattdessen einen Fehler.

Was Sie hingegen tun sollten:

Letztendlich gibt der Hide Backend-Ansatz den allermeisten Menschen ein falsches Sicherheitsgefühl,  verwenden Sie daher besser solidere Sicherheitsmaßnahmen wie z.B. die WordPress Zwei-Faktor-Authentifizierung und verzichten auf potentiell bekannte gefährdete Passwörter.

Legende 2: Sie sollten besser Ihren Theme-Namen und Ihre WordPress-Versionsnummer verstecken.

Wenn Sie die Entwicklerwerkzeuge Ihres Browsers verwenden, können Sie ziemlich schnell den Theme-Namen und die WordPress-Versionsnummer auf einer WordPress-Seite sehen. Die Theorie hinter dem Verstecken Ihres Theme-Namens und der WP-Version ist, dass, wenn Angreifer diese Informationen haben, sie die Blaupause haben, um in Ihre Webseite einzudringen.

Wenn Sie sich zum Beispiel den Screenshot oben ansehen, können Sie sehen, dass diese Seite das Theme Twenty Seventeen verwendet und die WordPress-Version ist die 5.0.3.

Das Problem mit dieser Legende ist, dass es keinen wirklichen Typen hinter einer Tastatur gibt, der nach der perfekten Kombination aus Thema und WordPress-Versionsnummer sucht, um diese Webseite anzugreifen. Es gibt jedoch stumpfsinnige Bots (Computer Programme), die das Internet nach bekannten Schwachstellen im eigentlichen Code durchsuchen, der auf Ihrer Webseite läuft, so dass das Verstecken Ihres Theme-Namens und der WP-Versionsnummer Sie nicht schützt.

Was Sie hingegen tun sollten:

Anstatt sich Gedanken darüber zu machen, das Thema oder die Versionsnummer ihrer WordPress-Seite zu verstecken, ist es besser Sie halten Ihre WordPress-Software auf dem neuesten Stand, um sicherzustellen, dass Sie über die neuesten Sicherheitspatches verfügen. Müssen Sie mehrere WordPress-Seiten verwalten? Sparen Sie Zeit bei der Verwaltung der Updates mit einem Tool wie iThemes Sync.

Legende 3: Sie sollten Ihr wp-content Verzeichnis umbenennen.

Das Verzeichnis wp-content enthält Ihre Plugins, Themen und Medien-Uploads. Das massenhaft guter Inhalt  und ausführbarer Code in einem Verzeichnis, so dass es verständlich ist, dass die Leute proaktiv sein wollen und alles tun, um zu diesen Ordner ab zu sichern. Leider ist es ein Mythos, dass die Änderung des Namens des Ordners wp-content eine zusätzliche Sicherheitsebene auf der Webseite schafft. Das wird es sicherlich nicht! Wir und insbesondere die Bots und Hacker können den Namen Ihres geänderten wp-content Ordners mit Hilfe der Browser-Entwicklungswerkzeuge leicht finden. Im folgenden Screenshot sehen wir, dass ich das Inhaltsverzeichnis dieser Seite in /test/ umbenannt habe.
Das Ändern des Namens des Verzeichnisses wird Ihrer Website keine Sicherheit hinzufügen, aber es kann zu Konflikten bei Plugins führen, die einen fest programmierten /wp-content/Verzeichnispfad haben.

Was Sie jetzt unbedingt tun können:

Der einzige Grund, sich Sorgen um das wp-content Verzeichnis zu machen, ist, wenn es ein Plugin oder ein Thema mit einer Schwachstelle enthält. Auch hier ist es am besten, wenn Sie Ihre Designs und Plugins auf dem neuesten Stand halten, um so zu wissen, dass Sie sichere Software verwenden.

Legende 4: Meine Webseite ist gar nicht so groß, um Aufmerksamkeit von Hackern zu gewinnen.

Dieser WordPress-Sicherheitsmythos macht sehr viele kleine Webseiten anfällig für Angriffe. Selbst wenn Sie der Eigentümer einer winzigen Webseite mit wenig Traffic sind, ist es immer noch entscheidend, dass Sie bei der Sicherung Ihrer Website selbst immer aktiv sind. Die Wahrheit ist, dass Ihre Webseite oder Ihr Unternehmen nicht groß sein muss, um die Aufmerksamkeit eines potenziellen Angreifers zu erlangen. Hacker sehen immer noch die Möglichkeit, Ihre Website als eine Verbindung zu nutzen, um einige Ihrer Besucher auf bösartige Websites umzuleiten, Spam von Ihrem Mailserver auszusenden, Viren zu verbreiten oder sogar Bitcoin zu schürfen. Sie werden immer alles nutzen, was sie ohne Anstrengung bekommen können.

Was Sie jetzt unbedingt tun sollten:

Ergreifen Sie aktive Sicherheitsmaßnahmen, um Ihre Website zu schützen. Halten Sie beispielsweise Ihre Designs, Plugins und WordPress auf dem neuesten Stand, installieren Sie ein vertrauenswürdiges WordPress-Sicherheitsplugin, verwenden Sie hochwertiges WordPress-Hosting und aktive WordPress Zwei-Faktor-Authentifizierung.

Legende 5: WordPress ist eine unsichere Plattform.

Die gefährlichste WordPress-Sicherheitslegende ist, dass WordPress selbst unsicher ist. Das ist einfach nicht wahr. WordPress ist das beliebteste Content Management System der Welt, und das ist es nicht , weil es die Sicherheit nicht ernst nimmt.

Die Wahrheit ist, die größte WordPress-Sicherheitsschwachstelle sind die Benutzer. Die meisten WordPress Hacks auf der Plattform können mit wenig Aufwand von den WordPress-Seitenbesitzern vermieden werden.

Denken Sie daran, dass der Hauptgrund für erfolgreiche WordPress Hacks ganz einfach ist, nämlich veraltete Software. Um einen Patch für eine Sicherheitsschwachstelle zu erhalten, müssen Sie die Dateien auf dem neuesten Stand halten. WordPress ermöglicht es Ihnen sogar, automatische Updates zu aktivieren, so dass Sie keine Updates manuell ausführen müssen. Aber einige Leute machen es immer noch nicht zu Ihrer Priorität, ihre Seiten regelmäßig zu aktualisieren. Diese Seiten sind also mit veralteter Software übersät, die sie total angreifbar macht. Wenn ein Hacker eine Sicherheitslücke verwendet, ist es kein Fehler von  WordPress, es ist ein leichtfertiger Benutzerfehler, um es gemäßigt auszudrücken.  

Fazit:

Meine jahrelange Erfahrung zeigt das anschaulich immer wieder. Da ich selbst zahlreiche eigene WordPress-Webseiten betreibe, kann ich das alles nur unterstreichen. Gerade an den Wochenenden versuche sehr viele Bots, Hacker und auch verirrte Jugendliche in WordPress-Webseiten einzudringen. 

Hier und in diesem Blogartikel habe ich darüber mehrfach berichtet!

Dieser Artikel wurde von mir übersetzt mit Hilfe des Übersetzerprogrammes von Deepl