WordPress Sicherheit – wie schütze ich mich vor Hackern? Part 1 - KEMCAST #7
Shownotes
4 von 10 Websites werden heutzutage mit WordPress gebaut. WordPress gilt damit als das am häufigsten genutzte Content Management System. Warum das ein gefundenes Fressen für Hacker sein kann?
KEMCASTer Max Antwerpes und Inhouse Senior Backend Developer Michael Papesch diskutieren über diese Frage und klären, wie ihr euch mit eurer WordPress-Website schützen könnt.
Seien es Blogs, Unternehmenswebsites oder sogar Online-Shops – es gibt unzählige Websites, die mit dem CMS von WordPress erstellt wurden. WordPress bietet eine äußerst benutzerfreundliche Oberfläche, sodass jede:r ohne jegliche Coding-Kenntnisse eine eigene Website mit coolem Design bauen kann. Das Ganze hat allerdings auch seine Schattenseite. Da WordPress so oft genutzt wird, sind Hacker und auch Bots gezielt darauf ausgerichtet, schlecht konfigurierte WordPress-Websites ausfindig zu machen und anschließend zu hacken. Das Perfide dabei: Oftmals merken weder Betreiber:innen noch Besuchende etwas davon. Aber keine Sorge! Michael verrät euch, worauf es bei der WordPress-Sicherheit ankommt! Außerdem in dieser Folge… …warum WordPress in Sachen Sicherheit trotzdem die richtige Wahl ist. …wie eine Website korrekt konfiguriert sein sollte. … weshalb ein Hackerangriff fatale Folgen für die Betreibenden haben kann. …was nach einem Hackerangriff getan werden muss.
Klingt spannend? Dann hört jetzt in den ersten Teil des KEMCASTs zur WordPress-Sicherheit rein und verpasst nicht Teil 2! Ihr habt Themenvorschläge für den KEMCAST? Dann schreibt uns gerne an info@kemweb.de!
Shownotes: www.kemweb.de 06131 – 93 0000
Werbung | Vielen Dank an unseren offiziellen Partner Zencastr- dem Tool für Podcaster:innen. 🎙 Mithilfe des Remote Tools wird jede Besuchsperson lokal von seinem/ihren eigenen Computer in studioähnlicher Audio- und Videoqualität aufgezeichnet. Schluss mit Aussetzern aufgrund schlechter Verbindung - der/die Gastgeber:in erhält für jede:n Besuchenden hochwertige Tracks, nichts als klares Audio und Video. ✅ Mit dem Code "kemweb" bekommt ihr nach der 14-tägigen Testphase für eine Laufzeit von drei Monaten insgesamt 40%-Rabatt auf das Professional-Paket von Zencastr!
Wenn euch diese Folge gefallen hat, gebt uns euer Gefällt mir, Daumen hoch oder die 5 Sterne auf Apple Podcasts, Spotify & Co. – teilt und liked uns auf Instagram, Facebook, LinkedIn und Twitter!
Transkript anzeigen
Intro Jingle
Herzlich willkommen zum KEMCAST, digitale Tipps und Tricks in unter 15 Minuten.
Max
Herzlich willkommen, liebe Zuhörerinnen zum KEMCAST, ich bin euer KEMCASTER Max Antwerpes und begrüße euch wieder zu einer neuen Folge zum KEMCAST. Ich vermittle wieder digitales Wissen in unter 15 Minuten und freue mich heute dabei zu haben unseren Senior Background Developer Michael Papesch. Hallo, also Michael und ich reden heute über WordPress oder Webseiten Sicherheit, WordPress-Sicherheit. Weltweit gibt es Millionen von WordPress Installationen. Der Marktanteil der Webseiten liegt sogar bei 40 Prozent. Das 4 aus 10 Webseiten, die weltweit gebaut werden, werden mit WordPress gebaut, ist also damit bei weitem das am häufigsten benutzte CMS System und ist damit natürlich auch gefundenes Fressen für die Hacker draußen.
Also würde ich direkt damit mal anfangen. Michael sagt doch mal was zu WordPress Sicherheit. Was gibt es dort zu beachten?
Michael
Na gut, wie du schon gesagt hast, WordPress ist extrem häufig benutzt. Dadurch, dass es halt meistens immer die gleiche Installation ist, die der gleiche Code den WordPress benutzt, sondern die gleichen Installation, gibt es natürlich viele Sachen, die auf ihrer Website gleich sind. Wenn man da jetzt bei der Konfiguration ein paar Sachen irgendwie falsch macht, vergisst oder so, dann passiert das nicht nur bei seiner eigenen Seite, sondern natürlich auch bei tausenden von anderen Seiten.
Dadurch kann man das natürlich als Hacker ausnutzen, kann nach diesen Seiten suchen, die schlecht konfiguriert sind, die diese Probleme haben. Es lohnt sich also für die Hacker. Deswegen muss man da aufpassen, dass man nicht selbst in dieses Schema fällt und diese Fehler versucht so gut wie möglich zu vermeiden. Viele WordPress Seiten sind ja zum Beispiel Shops, die mit hoch Kommerz betrieben werden. Da ist es dann noch mal extrem wichtiger, dass man darauf aufpasst.
Da gibt es dann Kundendaten, Payment Information und normalerweise auch rechtliche Sachen, die man beachten muss. Zum Beispiel wäre es halt jetzt nicht gut, wenn man irgendwelche Rechnungen oder sowas nicht mehr hätte vom letzten halben Jahr, die man eventuell versteuern muss oder irgendwelche Aufträge, die man nicht mehr ausliefern kann. Deshalb ist es so extrem wichtig, dass man bei solchen Seiten aufpasst, sodass man nicht gehackt werden kann und den Hackern als so schwer wie möglich macht.
Außerdem wenn die Seite mal gehackt wurde, dann können noch ganz andere Probleme daraus entstehen. Google wird das irgendwann merken, wenn die Website gehackt wurde und zum Beispiel Malware oder irgendwelche Viren ausgeliefert werden und wird die Seite sperren. Das heißt, wenn Kunden dann bei Google nach irgendwas suchen, im besten Fall taucht die Seite nicht mehr auf. Im schlechtesten hat man dann so einen schönen kleinen Warnhinweis. Diese Webseite liefert Malware aus oder ist unsicher. Wollen Sie wirklich zu dieser Webseite?
Niemand, der das sieht, wird jemals auf diese Webseite gehen. Das heißt, man sollte das so weit wie möglich vermeiden.
Max
Da springe ich vielleicht mal ganz kurz rein als Webseiten. Ja, wenn ich meine eigene Website habe, woran erkenne ich denn, dass die hier vielleicht gehackt wurde? Was passiert denn da am Frontend sage ich jetzt so was sehe ich da vor meinem Computer? Woran ich erkenne? Oh, meine Website wurde vielleicht gehackt.
Michael
Das ist teilweise gar nicht so einfach zu merken. Also ich hatte schon mal den Fall, wo wirklich die Webseite eine Woche lang gehackt wurde oder teilweise auch schon Monate davor gehackt wurde. Man merkt es erst mal gar nicht. Es kann tatsächlich sein, dass ein Login oder wie auch immer von dieser Webseite abhanden kommt oder weiterverbreitet wird. Das passiert dann halt oft, dass die Hacker dieses Login erst mal ruhen lassen. Teilweise werden diese Logins durch Botnetz Netzwerke die Webseiten hacken erst mal alle gespeichert und 1 oder 2 Monate später kommt dann erst der eigentliche Angriff.
Das passiert dann teilweise so, dass HTML oder auch PHP Code irgendwo in Jagdzeit wird, in Webseiten, die dann einfach nur teilweise Klicks auf Werbung im Hintergrund ausführen. Teilweise versuchen durch irgendwelche veralteten Browser Fehler oder Exploits irgendwelcher Software bei den Besuchern zu installieren. Und man merkt das gar nicht, wenn man auf die Webseite geht, dass da im Hintergrund was passiert. Man geht auf eine Webseite, im Hintergrund werden unsichtbar teilweise auf Werbung geklickt oder die Webseite hatte einen alten Browser.
Ist der Anfälle kann ich da irgendwas installieren und man kann ganz normal auf der Seite surfen. Also wenn man sich jetzt nicht wirklich den Source Code anguckt, dann ist es teilweise nicht zu bemerken. Das ist halt das gefährliche dran. Also man bemerkt das echt oft erst, wenn Google diese Seite sperrt oder wenn die von Firefox oder Chrome gesperrt wird. Das ist das Problem und dann ist es halt auch oft schon so. Ich sag mal, wenn die Seite seit Monaten schon in diesem Zustand ist, dann braucht man erst mal irgendwie ein Backup, das alt genug ist, dass man dann wieder einspielen kann, das sauber ist.
Und wenn man dann ein Backup einspielt von vor zwei Monaten, dann bedeutet das im Prinzip, dass die letzten zwei Monate Arbeit an der Website weg sind. Also dann sind alle Artikel weg, die man geschrieben hat. Man muss sie dann entweder neu schreiben oder extrem arbeitsintensiv wiederherstellen. Und wenn es dann Shopware zum Beispiel, dann ist das Problem ja noch viel größer. Dann kann man sich einfach ein Backup einspielen von vor zwei Monaten. Dann sind alle Bestellungen weg, alle Rechnungen weg, alle neuen Kunden.
Also das kann sehr, sehr problematisch werden. Auf jeden Fall.
Max
Okay, und dann reden wir doch mal weiter. Ich weiß nämlich gar nicht, ob du. Ja, ich glaube, WordPress Sicherheit gibt es, da gibt es mehr zu. Also springe mal wieder zurück direkt zum Thema WordPress. Wir haben gesagt, 40 Prozent aller Webseiten Installation weltweit werden durch WordPress durchgeführt oder über WordPress gemacht. Warum? Was macht WordPress besser? Sag ich jetzt mal in Anführungszeichen. Gibt es in der Hinsicht bei der Sicherheit auch Unterschiede zwischen WordPress und den anderen?
Oder warum sollte man ja vielleicht WordPress nutzen? Warum TYPO3? Warum WordPress? Vielleicht in Sachen Sicherheit die richtige Wahl?
Michael
Ja, also. Normalerweise kann man jedes CMS von diesen benutzen, also WordPress, es gibt ja auch noch andere, es gibt Joomla oder Drupal oder andere CMS genannte TYPO3 auch. Man kann alle davon normalerweise so konfigurieren, dass sie sicher sind. WordPress wird halt häufig benutzt, weil es relativ einfach ist, da drin neue Seiten zu erstellen. Die Seiten zu Design ist sehr kundenfreundlich und für, ich sage mal, selbst installierte Webseiten. Man kann WordPress auch sehr gut ohne technisches Wissen bedienen und auch das Design gut ändern.
Es gibt viele Teams, viele Plugins, womit man sich das so zusammenbauen kann wie man braucht, es ist also sehr benutzerfreundlich und deswegen wird es derzeit häufig benutzt.
Max
Ja, das sehe ich, das sehe ich selber, ich kann ja selbst einfach auf WordPress.com gehen oder soll mir selbst meine Seite anlegen und das dauert ein Viertelstündchen. Es geht ja wirklich schnell. Also springen wir wieder auf, ob die Sicherheit dann da dabei gab es denn was, was du vorhin noch nicht genannt hast, worauf ich daran achten müsste? Ich baue mir jetzt meine Webseite und ja, ich will natürlich, dass es sicher ist. Was dachte ich da?
Michael
Gut, wenn man eine Webseite haben will oder eine Website aufbaut, dann fängt das im Prinzip beim Webspace an. Also man braucht einen Webspace für eine Webseite, das ist bekannt. Es gibt mehrere Möglichkeiten, wie man diesen Webspace kriegt. Es gibt Anbieter, wo man kostenlos Webspace sich registrieren kann. Das ist normalerweise nicht unbedingt die beste Alternative, weil es passiert halt öfter, dass diese Angebote, sage ich mal, gekickt werden. Einfach, dass es die dann plötzlich nicht mehr gibt.
Oder dass der Webspace so konfiguriert ist, dass man damit nicht viel anfangen kann. Also entweder man mietet sich irgendwo Webspace bei einem großen Provider, das ist normalerweise das Beste. Oder man hat einen eigenen Server, das sind so die beiden Möglichkeiten, weil man jetzt technisch nicht so einsteigen will, dass man einen eigenen Server konfiguriert mit Hilfspakets und Domänen und sowas, sondern einfach nur eine Website will mit Webspace.
Dann ist es wahrscheinlich besser, man mietet sich nur den Webspace bei eins und eins oder wo auch immer eine Domäne dazu. Und dann hat man auch direkt einen FTP login und so was, womit man Sachen hochladen kann, sich einloggen kann und dort eine schöne Verwaltung, wo man Passwörter ändern kann und irgendwelche Sicherheitseinstellungen vornehmen kann.
Max
Ja okay. Und ein anderes Beispiel vielleicht. Jetzt höre ich mir diesen Podcast an und ich denke mir, ich habe ja meine Webseite. Meine Webseite basiert komplett auf WordPress und glaube eigentlich auch, dass sie sicher ist. Aber ich weiß natürlich nicht. Das haben wir ja auch gerade besprochen, ob sie denn gehackt wurde. Manchmal weiß ich, manchmal sieht man das ja nicht. Wo weiß ich denn? Oder wie kann ich denn rausfinden, ob meine Webseite dann wirklich sicher ist?
Wenn ich dich jetzt einfach fragen würde Hey, hier ist meine Webseite, kannst du mir mal sagen, ob die sicher ist oder nicht? Was würdest du da antworten?
Michael
Na gut, so einfach ist das jetzt nicht rauszufinden. Es gibt ziemlich viele Faktoren, die man da beachten muss. Sei es mal, wenn man die, wenn man WordPress installiert. Es gibt einmal natürlich wir reden jetzt erst darüber, ob die Website sicher ist, ob die Webseite gehackt worden ist. Das herauszufinden, ist ein ganz anderes Thema. Das ist nicht einfach. Also das kann ich direkt sagen, man weiß nicht, ob zum Beispiel ein Passwort jetzt irgendwo bei einem Hacker schon gelandet ist.
Von einem Blocken von WordPress kann man nicht wissen. Erst wenn irgendwelche Malware installiert worden ist, kann man das wissen. Da könnte man zum Beispiel jetzt die Dateien runterladen. Kannst die mit einem Virenscanner durchsuchen. Das hilft aber auch nicht immer, weil es kann auch in der Datenbank kann. Es kann schlimmer Code versteckt worden sein. Das heißt, im Prinzip müsste man auch die Datenbank durchsuchen. Also es nicht ganz einfach. Das rauszufinden ist auf jeden Fall besser.
Man verhindert erstmal, dass es so weit kommt. WordPress kann man eigentlich ganz gut absichern. Eigentlich sollte man auf jeden Fall darauf achten, dass es WordPress aktuell ist, das schon mal das erste WordPress Installation, besteht er aus der eigentlichen WordPress Installation und normalerweise noch Plugins nach Gusto. Die Plugins, die man halt braucht. Es gibt unglaublich viele Plugins auf dem Markt. Jeder der WordPress hat, wird sich viele davon installieren, damit er zusätzliche Features bekommt. Das ist normal.
Man sollte halt bei den Plugins darauf achten, dass die von professionellen Herstellern programmiert worden sind, dass sie im Shop ganz gute Bewertungen haben und dass die auch aktualisiert werden. Regelmäßig. Also es gibt Plugins in dem Store von WordPress, die werden seit 3 Jahren nicht mehr aktualisiert oder haben Fehler drin oder so. Also man sollte schon so ein bisschen drüber lesen, bevor man Plugins installiert. Dann spart man sich am Ende sehr viel Arbeit. Der nächste Punkt, den man angehen sollte, wenn man WordPress installiert hat, ist also man kann sich normalerweise WordPress ist so aufgebaut, dass man sich unter einer bestimmten URL einloggen kann.
Das ist dann erst Login von PHP oder slash, WP, admin oder Slash. WP loggen immer diese URLs. Das kann man eigentlich ziemlich einfach ändern, wenn der Hacker nicht weiß, wo er sich einloggen kann. Diese Hacks, die passieren normalerweise von Netzwerken, die durchsuchen Webseiten automatisch, die durchsuchen ganze Internet Bereiche automatischer WordPress Installation, die da vorhanden sind und versuchen sich dann mit Passwort Listen einzuloggen im Backend. Teilweise weil man jetzt das Login auf eine andere URL legt.
Wenn das nicht mal diese STANDARD Plugins sind, dann kann man diese ganzen Netzwerke im Prinzip schon blocken. Also dann ist ein großer Teil von diesen Hackversuchen funktioniert dann nicht mehr bei der eigenen Website und es gibt ziemlich, da installiert man Plugins im Prinzip Webs login zum Beispiel so ein Plugin wird schnell installiert, gibt man eine eigene URL ein und dann kann man sich nicht mehr unter dieser Slash WP Admin einloggen, sondern unter einer eigenen URL, die man aussucht.
Zum Beispiel Slash log mich ein oder Slash irgendwas und schon kann diese ganzen Bots Netzwerke im Prinzip nicht mehr versuchen die eigene Seite zu hacken. Das sage ich mal ein STANDARD Ding was sollte man eigentlich machen? Das andere. Es ist im Prinzip, dass man das WordPress so konfiguriert, dass man nur die Features benutzt, die man noch braucht. Also wenn man einen Blog hat und Artikel schreibt zum Beispiel, muss man sich überlegen: Brauche ich Kommentare dazu? Wenn man Kommentare nicht braucht von Webseiten, Besuchern, dann sollte man die auch nicht freischalten.
Zum Beispiel Slash log mich ein oder Slash irgendwas und schon kann diese ganzen Bots Netzwerke im Prinzip nicht mehr versuchen die eigene Seite zu hacken. Das sage ich mal ein STANDARD Ding was sollte man eigentlich machen? Das andere. Es ist im Prinzip, dass man das WordPress so konfiguriert, dass man nur die Features benutzt, die man noch braucht. Also wenn man einen Blog hat und Artikel schreibt zum Beispiel, muss man sich überlegen: Kommentare bestehen zu 90 prozent aus Spam. Normalerweise braucht man den nicht unbedingt, aber wenn man Kommentare freischalten, sollte man es auf jeden Fall so machen, dass man Captcha drin hat, dass man eventuell auch nur angemeldete Benutzer Kommentare schreiben lässt oder die noch irgendwie checkt.
Zum Beispiel Slash log mich ein oder Slash irgendwas und schon kann diese ganzen Bots Netzwerke im Prinzip nicht mehr versuchen die eigene Seite zu hacken. Das sage ich mal ein STANDARD Ding was sollte man eigentlich machen? Das andere. Es ist im Prinzip, dass man das WordPress so konfiguriert, dass man nur die Features benutzt, die man noch braucht. Also wenn man einen Blog hat und Artikel schreibt zum Beispiel, muss man sich überlegen: Max
Zum Beispiel Slash log mich ein oder Slash irgendwas und schon kann diese ganzen Bots Netzwerke im Prinzip nicht mehr versuchen die eigene Seite zu hacken. Das sage ich mal ein STANDARD Ding was sollte man eigentlich machen? Das andere. Es ist im Prinzip, dass man das WordPress so konfiguriert, dass man nur die Features benutzt, die man noch braucht. Also wenn man einen Blog hat und Artikel schreibt zum Beispiel, muss man sich überlegen: Okay, Capture kennen wir natürlich alle Captcha. Klicken Sie auf jedes Bild, das eine Ampel hat, oder sogar geben Sie geben Sie den Code ein, den, den es hier zu sehen gibt. Heißt da werden dann halt eben Bots umgangen. Somit. Liebe Zuhörerinnen, liebe Zuhörer, an dieser Stelle des Themas WordPress Sicherheit kamen wir dann schon ungefähr an die 15 Minuten ran. Haben uns also dazu entschieden, dass wir zwei Folgen aus diesem Thema machen. Also sehen wir uns nächstes Mal wieder mit Teil 2 von WordPress Sicherheit.
Zum Beispiel Slash log mich ein oder Slash irgendwas und schon kann diese ganzen Bots Netzwerke im Prinzip nicht mehr versuchen die eigene Seite zu hacken. Das sage ich mal ein STANDARD Ding was sollte man eigentlich machen? Das andere. Es ist im Prinzip, dass man das WordPress so konfiguriert, dass man nur die Features benutzt, die man noch braucht. Also wenn man einen Blog hat und Artikel schreibt zum Beispiel, muss man sich überlegen: Und ich bedanke mich bei euch recht herzlich fürs Zuhören. Bis zum nächsten Mal.
Neuer Kommentar