Meldung der WP-Sicherheitslücken vom 23.03.2019

Die aktuellen Meldungen vom 23.3.2019 vom WP-Scan-Team

10 Tipps die Ihr WordPress sicherer machen – Teil 1

Teil 1: 10 Tipps die Ihnen helfen und Ihr WordPress sicherer machen – Tipps 1 – 3

Wie sicher ist Ihre WordPress Webseite tatsächlich? Ist Ihre Webseite ein leichtes Angriffsziel für internationale Hacker? Mit nur geringem Einsatz und der Übernahme einigen bewährten WordPress Sicherheitsmaßnahmen können Sie die vorhandenen Schwachstellen bei Angriffen deutlich reduzieren. In diesem Beitrag werden wir ein paar Tipps zur Absicherung Ihrer WordPress-Webseite aufzeigen, wie Ihr WordPress sicherer machen.

1. Halten Sie den Kern (Core, Version) Ihrer WordPress Seite, die Plugins und Themen auf dem neuesten Stand.

Wussten Sie, dass etliche der allermeisten WordPress-Sicherheitsprobleme mit dem Ausführen veralteter Versionen von WordPress Core, Themes und Plugins zusammenhängen? Deshalb ist es so eminent wichtig, Ihr gesamtes WordPress-System auf dem neuesten Stand zu halten.

Wenn Sie sich in diesem Moment auf Ihrer WordPress-Website anmelden, um zu überprüfen, wie viele Update-Benachrichtigungen sehen Sie in Ihrem WordPress Admin-Dashboard? Sie finden diese Nummern an unterschiedlichenen Stellen, unter anderem in der oberen Adminleiste, im Menü der Seitenleiste und auch als Hinweis (wenn Sie eine veraltete Version von WordPress verwenden). Siehe Bild unten.

WP-Admin-Dashboard- WordPress sicherer machen
WordPress Update-Benachrichtigungen erscheinen an diversen Stellen in Ihrem WordPress Dashboard.

Wenn Ihre WordPress Webseite mehrere veraltete Versionen von Plugins, Themes und WordPress ausführt, setzen Sie sich der Gefahr aus, oft unbewusst, bekannte Schwachstellen auf Ihrer Webseite zu zeigen.

Ständige Update-Benachrichtigungen mögen Ihnen eventuell lästig erscheinen und es ist oft Unwissenheit und Bequemlichkeit einfach, laufende Updates zu hinaus zu schieben, aber BITTE, versuchen Sie, Updates so schnell wie möglich anzugehen, da diese in unmittelbarem Zusammenhang mit der Sicherheit und dem Zustand Ihrer Webseite stehen.

Aktualisierungen von WordPress-Kern, Themen und Plugins enthalten oft Patches für Sicherheitsprobleme sowie Fehlerbehebungen und neue Funktionen. Deshalb sind diese Updates eine wichtige und notwendige Investition für Sie, aber auch für Andere.

WordPress Update Checkliste

Hier ist eine 5 Punkte Checkliste für die Durchführung von WordPress-Aktualisierungen, damit alles wie geschmiert läuft:

    1. Bevor Sie die Updates machen, führen Sie ein aktuelles Backup Ihrer Webseite durch. Sie haben keine Lösung für Ihr Backup? Verwenden Sie ein WordPress Backup-Plugin wie BackupBuddy oder Updraft plus, um Ihre gesamte WordPress-Installation, einschließlich der Medienbibliothek, sowie alle Themen- und Plugin-Dateien zu sichern. Ich kann Ihnen beide ans Herz legen, denn ich habe beide im Einsatz.
    2. Überprüfen Sie die Änderungsmeldungen für das Versions-Update vor dem Update. Entwickler verwenden Änderungsmeldungen, damit Benutzer, die in einem Versions-Update vorgenommenen Änderungen in Erfahrung bringen können. Sie können Änderungsmeldungen auf der Seite Updates in Ihrem WordPress Dashboard finden, indem Sie auf den Link “View version x.x.x.x” Details anklicken.
    3. Navigieren Sie anschließend zur Seite Aktualisierungen in Ihrem WordPress Admin Dashboard. Klicken Sie auf den Link Aktualisierungen in der Seitenleiste Ihres WordPress-Dashboards oder das Symbol in der oberen Navigationsleiste, um zur Seite Aktualisierungen zu gelangen.
    4. Klicken Sie auf die Schaltflächen Aktualisieren, um die Updates auszuführen. Sie sehen einzelne Update-Buttons für Plugins, Themes und WordPress Core (wenn Sie ein anstehendes WordPress Core Update haben), zusammen mit einer Liste der Plugins und Themes, die Sie gerade aktualisieren möchten.
    5. Bestätigen Sie, dass auf Ihrer Website alles noch wie erwartet funktioniert. Obwohl es normalerweise nicht notwendig ist, ist es eine gute Idee, eine Runde durch Ihre Webseite zu machen, um sicherzustellen, dass nach dem Update nichts kaputt ist oder seltsam aussieht.

Hilfreiche Werkzeuge zur Zeitersparnis bei der Verwaltung von Versions-Updates

Wenn Sie oft mehr als eine WordPress-Website verwalten, so wie ich beispielsweise, kann der Update-Prozess ziemlich zeitaufwändig werden, da Sie sich bei jeder einzelnen Webseite anmelden müssen, um die Updates anzustossen. Glücklicherweise gibt es Tools wie z.B. iThemes Sync, die Sie dabei unterstützen können, mehrere WordPress-Seiten über ein Dashboard zu verwalten.

Programm iThemes Sync

Ein weiteres hilfreiches Plugin ist das iThemes Security Plugin. Dieses bietet auch ein WordPress Versionsmanagement zum Schutz Ihrer Website, wenn veraltete Software nicht schnell genug aktualisiert wird. Da aber auf der einen Seite, jedes Plugin zusätzlich ein weiteres Risiko bedeuten kann, jedoch auch auf der anderen Seite hilfreich wirken kann, muss man immer wieder diese Punkte, ob Ihr ein zusätzliches Plugin braucht, abwägen. Meine persönliche Meinung dazu ist eigentlich klar, JA man braucht solche Sicherheits-Plugins und ich nutze teilweise sogar mehrer gleichzeitig.

Nachricht über einen Versuch sich in eine Seite einzuloggen
Wie WordPress sichere machen

Als notwendigen Beweis, hier mal ein Bildschirmfoto von heute Morgen. Hier haben Hacker versucht in eine von mir betreute Webseite einzudringen, 6 Versuche innerhalb von 9 Stunden.

Aber Dank der guten Sicherheitsmaßnahmen, die hier beschrieben werden, ist diese Seite sehr sicher. Aber es gibt keinen 100%igen Schutz.

Die iThemes Security WordPress Versionsverwaltung, aber auch andere Maßnahmen, können automatisch auf neue Versionen von WordPress, Themen und Plugins aktualisieren. Zusammen mit zusätzlichen Sicherheitsmaßnahmen, erkennen diese, wenn die Software einer Webseite veraltet ist. Darüber hinaus können sie nach anderen veralteten WordPress-Seiten suchen, die auf Ihrem Hosting-Account installiert sein können.

So können Benutzer eine Benachrichtigungs-E-Mail mit Details zu WordPress-Aktualisierungen erhalten, die automatisch installiert wurden. iThemes Security warnt Sie auch, wenn es Probleme bei der Server- oder Webseiten-Konfiguration erkennt, die die automatische Funktion von WordPress-Aktualisierungen verhindern könnten.

2. Installieren Sie nie Plugins oder Designs aus Ihnen unbekannten oder nicht vertrauenswürdigen Quellen.

Installieren Sie nur WordPress-Plugins und -Themen aus vertrauenswürdigen Quellen. Sie sollten nur Software installieren, die Sie von der deutschen WordPress.org-Webseite, bekannten kommerziellen Quellen oder namhaften Entwicklern und deren Websites herunterladen. So können Sie relativ sicher sein. Ansonsten Fragen Sie mich oder Facebook-Gruppen. Ich weiß zwar nicht alles, aber vielfach kenne ich viel menschen und kann andere fragen.

Wenn Sie eine andere Version eines WordPress-Plugins oder -Themas finden, die nicht direkt von der Website des Entwicklers verbreitet wird, führen Sie eine sehr sorgfältige Prüfung durch, bevor Sie es herunterladen und auf Ihrer Website installieren. Kontaktieren Sie die Entwickler, um zu sehen, ob sie mit der Website verbunden sind, die ihr Produkt zu einem kostenlosen oder reduzierten Preis anbietet.

Vermeiden Sie “null”  oder “nicht weiterentwickelte” und “an andere verkaufte” Versionen von kommerziellen Plugins, da diese oft bösartigen Code enthalten. Es spielt dabei keine Rolle, wie Sie Ihre WordPress-Webseite absichern, wenn Sie diejenige sind, der ein Malware-Programm installiert.

3. Überprüfen Sie die Sicherheit Ihres WordPress-Passwortes.

Dieser Tipp umfasst einige bewährte Praxis-Tipps, die das Passwort betreffen. Eine erfolgreiche WordPress-Sicherheitsstrategie sollte die folgenden Elemente beinhalten, um Ihr WordPress-Login zu abzusichern – dies hängt in letzter Konsequenz mit den Passwörtern zusammen, die für die Anmeldung an Ihrer Website verwendet werden.

Warum? Ihre WordPress-Login-Seite ist die am häufigsten angegriffene WordPress-Sicherheitsschwachstelle, da sie den einfachsten Zugriff auf das Admin-Dashboard Ihrer Webseite bietet.

Brute-Force-Angriffe sind die meistgenutzte Methode, um Ihr WordPress-Login zu missbrauchen. Die Brute-Force-Angriffe nutzen die einfachste Form des Zugangs zu einer Website aus: indem sie permanent versuchen,  immer wieder Benutzernamen und Passwörter zu erraten, bis eine erfolgreiche Anmeldung erfolgt.

Verwenden Sie sichere, eindeutige und komplexe Passworte.

Wie gut ist dein WordPress-Passwort? Hier sind 7 wichtige Fragen zur WordPress Passwort Stärke:

  1. Haben Sie das Passwort bereits woanders schon einmal verwendet, z.B für ein separates Konto?
  2. Benutzen Sie “admin” als WordPress-Benutzernamen?
  3. Besteht Ihr Passwort aus einem Wort aus einem Lexikon?
  4. Haben Sie Ihr Passwort eventuell  jemand anderem mitgeteilt?
  5. Hat Ihr Passwort weniger als 12 Zeichen?
  6. Enthält Ihr Passwort Zahlen, Symbole und sowohl Groß- als auch Kleinbuchstaben?
  7. Verwenden Sie eine Zwei-Faktor-Authentifizierung für Ihr WordPress-Login?

Klingt schwierig oder fast unmöglich, stimmt’s? Mit ein Grund weshalb Sie einen Passwortmanager verwenden sollten, der zufällige, sichere Passwörter generiert und diese für alle Ihre Konto-Logins sicher speichert. Noch besser einen der Ihnen dies Passwörter bei Bedarf immer zur Verfügung stellt!

Hier habe ich einen Vorschlag für Sie, um WordPress sicherer machen. Nutzen Sie einen dieser Passwort Manager: Diese hier empfiehlt die Stiftung Warentest: Dashlane Premium, Intel Security True Key Premium, Keeper Security und Lastpass Premium.

Ihr WordPress-Passwort sollte die folgenden Anforderungen erfüllen:

  • Beinhaltet Zahlen, Großbuchstaben, Sonderzeichen (@, #, *, etc.).
  • Länge (12 Zeichen – Minimum; 50 Zeichen – ideal)
  • Kann Leerzeichen enthalten und eine Passphrase sein (Verwenden Sie nur nicht das gleiche Passwort an mehreren Stellen).
  • Und sollte unbedingt alle 120 Tage oder 4 Monate geändert werden.

Erzwingen Sie die Anforderungen von Passwörtern + Eliminieren Sie unsichere Kennwörter.

WordPress sicherer machen: Eine weitere wichtiger Punkt für die Online-Sicherheit ist die Verwendung von spezifischen Passwörtern für jedes Konto und jede Webseiten-Anmeldung, die Sie besitzen. Warum ist die Verwendung eines Passworts so wichtig? Wenn Sie für alle Ihre Konten das gleiche Passwort verwenden und eventuell eine dieser Webseiten gefährdet ist, verwenden Sie jetzt ein möglicherweise gefährdetes Passwort für alle Ihre Konten. Hacker können Datenspeicher mit kompromittierten Passwörtern in Verbindung mit Ihrer E-Mail-Adresse oder Ihrem Benutzernamen verwenden, um dadurch Zugriff auf alle Ihre Konten zu erhalten. Deshalb ist es am besten, nicht einmal das Risiko einzugehen.

Je mehr Benutzer auf Ihrer Website einfache oder unsichere Passwörter verwenden, desto schwächer ist Ihre WordPress Login-Sicherheit. In einer aktuellen Liste, die von einem Sicherheitsunternehmen zusammengestellt wurde, war das gebräuchlichste Passwort, das in allen Datenspeichern enthalten ist, 123456. Die WordPress Login-Sicherheit Ihrer Website ist nur so stark wie das schwächste Glied, also seien Sie proaktiv mit einer starken Anforderung an Ihr Passwort.

Doch auch da gibt es Unterstützung, das WordPress sicher machen kann:

Sie können WordPress mit einem Plugin wie iThemes Security Pro vor unsicheren Passwörtern schützen. iThemes Security ermöglicht es Ihnen, Kennwortanforderungen wie starke Passwörter, Ablaufzeiten von Passwörtern und die Möglichkeit, kompromittierte Passwörter abzulehnen, festzulegen.

Weitere Hilfe bei WordPress sicherer machen: Für die Einstellung ‘Zurückweisung gefährdeter Passwörter’ (Refuse Compromised Passwords) nutzt iThemes Security die HaveIBeenPwned-API, um zu erkennen, ob bei einem Datenverstoß ein Passwort aufgetreten ist oder nicht.

Begrenzung fehlgeschlagener Anmeldeversuche
Standardmäßig ist in WordPress nichts vorgesehen, um die Anzahl der fehlgeschlagenen Anmeldeversuche zu begrenzen, die jemand durchführen kann. Ohne Einschränkung bei fehlgeschlagenen Anmeldeversuchen kann ein Hacker eine unendliche Anzahl von Benutzernamen und Passwörtern ausprobieren, bis er erfolgreich ist.

Des weiteren können Sie Ihre WordPress-Login-Sicherheit erhöhen, indem Sie ein WordPress-Sicherheitsplugin wie iThemes Security Pro installieren, um die Anzahl der fehlgeschlagenen Anmeldeversuche auf Ihrer Website zu begrenzen.

Die in iThemes Security Pro integrierte WordPress Brute Force Protection-Funktion gibt Ihnen die Möglichkeit, die Anzahl der zulässigen fehlgeschlagenen Anmeldeversuche einzustellen, bevor ein Benutzername oder eine IP-Adresse gesperrt wird. Eine Sperre deaktiviert vorübergehend die Möglichkeit des Angreifers, Anmeldeversuche durchzuführen. Sobald die Angreifer dreimal ausgesperrt wurden, ist es ihnen verboten, die Website überhaupt zu besuchen.

Nachricht über einen Versuch sich in eine Seite einzuloggen

Sie sehen ja schon in diesem Bildschirmfoto oben, wie so etwas wirkt.

Sind sie an weiteren Informationen zu WordPress sicherer machen interessiert, dann empfehle ich Ihnen diese Seite.

Da der Text doch sehr umfangreich ist, werde ich mehrer Teile daraus machen. Ob 2 oder 3 Teile werde ich noch sehen.

Seien Sie also gespannt auf den nächsten Teil.