WordPress gegen Schadcode schützen

WordPress gegen Schadcode schützen

In der letzten Zeit wurden viele WordPress-Seiten angegriffen und mit Schadcode infiziert. Dabei können Webseiten-Betreiber schon mit wenigen Optimierungen dafür sorgen, dass ihre WordPress-Installation sicher gegenüber Schadcode bleibt. Wie das gelingt und was ihr im Falle eines Schadcode-Befalls als Mittwald Kunden tun könnt, lest ihr hier.

WordPress aktualisieren und sauber halten – in jeder Hinsicht

Eine der wichtigsten Maßnahmen gegen Schadcode-Befall findet sich im Updaten von WordPress selbst, den Plugins sowie den Themes. Ist ein Update verfügbar, solltet ihr nicht lange damit warten, es einzuspielen. Besonders nach großen WordPress-Sprüngen (wie von 4.2 auf 4.3), können die anschließenden „kleinen“ Aktualisierungen (z. B. auf 4.3.1) kritische Sicherheitslücken schließen.

Um Arbeitsaufwand zu sparen, empfehlen wir, alle nicht verwendeten oder dringend benötigten Plugins zu löschen. Viele WordPress-User neigen dazu, für kleinste Funktionen ein Plugin zu installieren – obwohl sich das gewünschte Ergebnis recht einfach mit WordPress-Bordmitteln lösen ließe. Überlegt gut, ob ihr ein Plugin benötigt und nehmt euch dann und wann Zeit, um die Liste mit Plugins aufzuräumen. Denkt zudem daran: Viele Plugins fordern die Leistung eurer Webseite und lassen weniger Performance zum schnellen Ausliefern für Besucher übrig.

Gleiches gilt übrigens für Themes. In der Regel werdet ihr neben eurem Basis-Theme keine weiteren benötigen. Bei einigen meiner WordPress-Blogs behalte ich jedoch das aktuelle WordPress-Standard-Theme (aktuell Twenty Fifteen). Sollte bei einer Aktualisierung meines eigentlichen Themes etwas schief gehen, habe ich schnell eine Alternative zur Hand.

Ein Hinweis noch zu kostenfreien Themes: Viele von ihnen sind eine wundervolle und kostenfreie Lösung für ein hübsches Design. Einige Themes enthalten jedoch Sicherheitslücken oder sogar Schadcode. Solltet ihr euch bei der Wahl unsicher sein, setzt euch mit einem Entwickler in Verbindung, der das Theme einmal unter die Lupe nimmt. Orientierung gibt euch auch das Plugin „AntiVirus“ von Sergej Müller. Dieses scannt nach potenziellen Sicherheitslücken. Bedenkt jedoch, dass es sich hierbei um ein automatisches Tool handelt und auch eigentlich korrekt arbeitende Funktionen als Warnung identifiziert werden können.

Denkt zuletzt an Benutzer. Jeder Administrator ist eine potenzielle Sicherheitslücke. Denn mit jedem Administrator gibt es einen Weg mehr, um vollen Zugriff auf das Backend zu erhalten. Nutzt daher die Rechteverwaltung unter WordPress und schränkt ein, wo es möglich und sinnvoll ist. Genau wie bei den Plugins solltet ihr auch bei den Benutzern immer wieder überprüfen, welche Accounts noch benötigt werden.

Sicherheit bei WordPress allgemein steigern

Ein recht gutes Plugin für die allgemeine Sicherheit bei WordPress findet sich in iThemes Security. Das kostenfreie Plugin bietet euch eine Reihe an Möglichkeiten, um WordPress zu schützen. Unter anderem ist folgendes möglich:

  • Zwei-Faktor-Authentifizierung z. B. über Google Authenticator
  • Regelmäßige Scans nach Malware und automatische Benachrichtigung bei Fund per Mail
  • Ablaufdatum für Passwort als Erinnerung zum regelmäßigen Wechseln
  • IP-Adressen den Zugang verwehren, wenn sie sich mehrfach falsch einloggen (Hinweis auf eine Brute-Force-Attacke)

Wenn es passiert ist: Wie Schadcode gefunden wird

Habt ihr eure Installation zu spät gesichert und wurde sie mit Schadcode befallen, werdet ihr in der Regel automatisch per Ticket von uns darüber informiert. Da die Seite Besuchern schaden könnte, muss sie kurzfristig gesperrt werden. In dem Ticket erklären wir euch dann, in welchen Dateien der Schadcode gefunden wurde, damit ihr euch an die Bereinigung machen könnt. Beachtet hierbei, dass der automatische Scan selten alle befallenen Dateien findet. Wir ermitteln vielmehr die Strings bzw. Signaturen des Schadcodes, wonach ihr nach anderen befallenen Dateien suchen könnt. Solltet ihr hierzu Fragen haben, könnt ihr euch gern jederzeit an unseren Kundenservice wenden. Alternativ besteht die Möglichkeit, dass wir die Entfernung des Schadcodes für euch übernehmen. Informationen zu den Möglichkeiten und Konditionen erfahrt ihr bei unserem Support (zu den Telefonnummern).

Gebt uns danach einfach per Ticket Bescheid, wenn der Schadcode entfernt wurde. Nach einem Check wird die betroffene Seite entweder umgehend freigeschaltet oder ihr erhaltet Feedback, falls es weiterhin Probleme gibt.

Um das weitere Eindringen von Schadcode zu vermeiden, solltet ihr euch direkt an die oben beschriebenen Schritte machen – damit euer WordPress sicher bleibt. :)

Kommentar hinzufügen