Am 05.07.2022 durfte ich bei den Soforthelfern im Rahmen von Lunch & Learn einen Vortrag zum Thema Website-Sicherheit halten. In diesem Blogartikel findest du alle Tipps aus diesem Vortrag zum Nachlesen und bestenfalls umsetzen.
Hier findest du die Aufzeichnung meines Vortrags:
Einleitung
Die Sicherheit deiner Website ist ein sehr wichtiges und leider oft unterschätztes Thema. Es gehört sicherlich nicht zu den spannendsten Themen und wirkt auf dich vermutlich auch kompliziert und einschüchternd. Wie immer versuche ich jedoch das Thema für dich so einfach wie möglich rüberzubringen. Melde dich gerne bei mir, wenn du den Sinn dahinter zwar siehst, dich aber nicht selbst damit beschäftigen möchtest.
Was hab ich mit Hacking am Hut?
Meine erste Berührung mit dem Thema Hacking hatte ich vor ca. 10 Jahren, als ein Kunde von mir panisch meinte, dass er eine E-Mail von seinem Webhoster erhalten hatte mit dem Hinweis, dass sich illegale Dateien auf seinem Webspace befinden würden. Natürlich war mein Kunde voller Panik, denn auch die Website wurde vom Webhoster aus Sicherheitsgründen vorübergehend deaktiviert. Auch ich war sehr nervös, weil ich damals noch nichts davon wusste. Was es schließlich mit den illegalen Dateien auf sich hatte, wirst du in diesem Artikel noch erfahren …
Seit diesem Vorfall durfte ich immer wieder gehackte Websites reparieren. Dadurch habe ich schon vieles gesehen und viele Erfahrungen gesammelt. Mir ist es sehr wichtig, über dieses Thema aufzuklären, weil es leider immer wieder komplett unterschätzt wird. Es kostet dich unnötig Zeit, Geld und Nerven und kann im schlimmsten Fall sogar den Leuten schaden, die deine Website besuchen. Außerdem macht es mir gar keinen Spaß, gehackte Websites zu reparieren. 😛
Keine Website ist 100 % sicher!
Wer behauptet, er könne deine Website 100 % sicher machen, ist ganz einfach unseriös. Wir sehen ja auch regelmäßig, dass selbst große Unternehmen und Konzerne gehackt werden. Und das, obwohl diese ganze Abteilungen voller IT-Experten haben, die den ganzen Tag nichts anderes tun. Die meisten Menschen glauben, dass nur große Unternehmen von Hacking betroffen sind, weil uns natürlich nur solche Fälle in der Presse begegnen:
Vor einigen Jahren erhielt ich eine E-Mail, in der meine E-Mail-Adresse und mein Passwort im Klarnamen stand. Normalerweise erkennt man Spam-Mails recht schnell und zuerst dachte ich auch, dass es nur eine Spam-Mail ist. Wenn du jedoch plötzlich dein Passwort in einer Mail siehst, bist du schockiert und weißt nicht, wie dir geschieht und was du nun tun sollst. Heute weiß ich, dass meine damalige E-Mail-Adresse durch den Hacker-Angriff bei Adobe (im Bild links oben) in einer Datenliste gelandet und veröffentlicht wurde.
Damals hatte ich nur ein Passwort, das ich für alles verwendet hatte. Und genau das stand jetzt in dieser E-Mail bzw. war irgendwo vermutlich verkauft und dann veröffentlicht worden. Dreimal darfst du raten, wer seitdem für jede Website, App, Dienst usw. ein anderes Passwort verwendet. 😉 Nimm dir daran gerne ein Beispiel und mach’s genauso. Natürlich willst und kannst du dir nicht 3927 Passwörter merken. Verwende deshalb am besten einen Passwort-Manager (Mein Favorit: Bitwarden). Wichtig: Das Master-Passwort sollte natürlich superduper sicher sein! Oder versteckst du deinen Haustürschlüssel unter der Fußmatte? 😉
Tooltipps:
Auf der Website https://haveibeenpwned.com kannst du schnell herausfinden, ob deine E-Mail-Adresse oder Telefonnummer von einem Datenleck betroffen ist. Sollte das der Fall sein, ändere schnellstmöglich dein Passwort bei der jeweiligen Website. So sah das z. B. bei meiner alten E-Mail-Adresse aus:
Ebenfalls empfehlenswert (und in deutscher Sprache) ist der neue Leak Checker der Universität Bonn, bei dem dir das Ergebnis per Mail zugesendet wird. Beim Firefox Monitor hast du sogar die Möglichkeit, dich zu registrieren, um bei zukünftigen Lecks automatisch benachrichtigt zu werden. Egal welches Tool du verwendest, es ist in jedem Fall empfehlenswert, das hin und wieder zu checken.
Warum auch deine Website oder dein Onlineshop gehackt werden kann
Weil wir nur immer die Hacking-Angriffe der großen Unternehmen in der Presse sehen, wähnen wir uns in Sicherheit. Ich habe ja schließlich keine Kundendatenbank, auf die es Hacker absehen könnten. Was sollten schon Hacker von mir wollen? Ich bin doch ein viel zu kleiner Fisch, den sie auch erstmal finden müssten … So denken die meisten und beschäftigen sich deshalb nicht mit diesem Thema.
Doch ist es (wie so oft) anders als gedacht. Denn die meisten Hacking-Angriffe betreffen „kleine” Websites bzw. Onlineshops. Dabei gibt es jedoch meist nicht den einzelnen Hacker, der es gezielt auf dich abgesehen hat. Das kommt sicherlich auch mal vor, ist jedoch eher die Ausnahme. Hacking-Angriffe finden automatisiert über Programme und Scripte statt. Und zwar die ganze Zeit. Content-Management-Systeme wie WordPress sind ein sehr beliebtes Ziel bei Hackern, weil sie weltweit sehr beliebt und verbreitet sind (siehe Studie von Sucuri von 2017).
Was wollen Hacker eigentlich?
Von den „Großen” wollen Hacker (Kunden-)daten, die sie anschließend weiterverkaufen können oder die sie als Druckmittel zur Erpressung nutzen. Von den „Kleinen” wollen Hacker hauptsächlich den Webspace kapern, um darüber ihre Schadsoftware verbreiten zu können. Genau das war übrigens meinem Kunden passiert, den ich zu Beginn dieses Artikels erwähnt hatte („illegale Dateien auf dem Webspace”).
Das sind jedoch nur Beispiele und es gibt weitere Motivationen wie z. B. Frustration, Rache, politische Aufmerksamkeit oder ganz einfach Langeweile.
Was kann bei einem Hackingangriff passieren?
Nicht jeder Hackingangriff ist immer gleich. Manchmal wird nur der Titel der Website geändert („hacked by XYZ”). Das ist jedoch relativ harmlos. Manchmal wird in sehr viele PHP-Dateien Schadcode geschrieben, der dann mehrfach zu anderen Websites weiterleitet. Auf diesen Websites werden Captchas, Anzeigen oder ähnliches imitiert, die dich zum Anklicken anregen sollen. Meist startet dann ein Download einer schädlichen Datei:
Du kannst vorbeugend vieles machen (lassen)
Es gibt nicht die eine Maßnahme und dann ist alles sicherer. Je mehr du machst, desto sicherer wird deine Website oder dein Onlineshop. Für viele der folgenden Maßnahmen gibt es Plugins, die es dir leichter machen.
Wartung: Backups und Updates
Bei den meisten Websites, die ich nach einem Hackingangriff reparieren „durfte”, waren veraltete WordPress- und/oder Plugin-Versionen der Grund. Dieser Punkt ist so wichtig und wird leider immer wieder komplett unterschätzt! Hier kommen die absoluten Basics:
- Richte automatische Backups ein (siehe Backups erstellen mit UpdraftPlus).
- Mache vor jeder größeren Änderung und vor Updates immer ein vollständiges Backup (Dateien und Datenbank).
- Führe anstehende Updates von WordPress, Plugins und Themes zeitnah und regelmäßig durch (z. B. wöchentlich). Und zwar bei ALLEN Websites, die du auf deinem Server liegen hast – egal ob die Website schon für die Öffentlichkeit sichtbar ist oder sich noch in der Entwicklung befindet.
Angst vor Updates?
Hast du Angst vor Updates, weil du befürchtest, dass dadurch etwas kaputt gehen kann (was in seltenen Fällen passieren kann)? Du solltest mehr Angst davor haben, KEINE Updates zu machen. 😉 Mach dann vor den Updates einfach ein Backup. Dieses kannst du dann zur Not wiederherstellen. Oder lagere die WordPress-Wartung an jemanden aus, der sich gut mit Website-Sicherheit auskennt.
Admin-Login schützen
Der Login-Bereich deiner Website ist wie die Haustür von deinem Haus. Hier finden die meisten Angriffe statt. Um ihn zu schützen, sollte es mind. 2 Admins geben und alle Admins sollten neben einem sehr guten Passwort eine 2-Faktor-Authentifizierung (2FA) nutzen. Dabei kommt neben dem Passwort ein zusätzlicher Faktor hinzu, z. B. ein temporärer Code, der automatisch von einer App generiert wird (z. B. „Google Authenticator”).
- Vermeide Benutzer, die „admin”, „Administrator” oder „root” heißen. Der Name des Benutzers muss allerdings nicht kryptisch sein. Viel wichtiger ist ein sehr gutes Passwort in Kombination mit 2FA.
- Verwende unbedingt eine Firewall (mit Hilfe eines Plugins), da diese Angriffe erkennen und abwehren kann.
- Begrenze Login-Versuche und lass verdächtige IP-Adressen automatisch sperren.
- Für alles genannte kannst du z. B. das Sicherheitsplugin Wordfence nutzen, von dem ich ein riesen Fan bin.
Exkurs: Was ist ein sehr gutes Passwort?
Auf der Website https://wiesicheristmeinpasswort.de kannst du überprüfen, wie sicher dein Passwort ist. Beim Passwort „jenny2022” dauert es z. B. nur 4 Minuten, um es zu knacken. Dagegen dauert es beim Passwort „AleiPm4Z+eK!” Jahrhunderte! Das Bundesamt für Sicherheit in der Informationstechnik (BSI) empfiehlt, das Passwort aus einem Satz aufzubauen (siehe Bild unten).
Anschließend kannst du es mit der o. g. Seite prüfen. In den meisten Passwort-Managern kannst du dir sichere Passwörter mit einem Mausklick generieren lassen. Dennoch brauchst du zum Entsperren deines Passwort-Managers ein sehr sehr gutes Passwort. Und dafür eignet sich der „Pizza-Tipp” ganz gut:
Für noch mehr Sicherheit …
Folgende Punkte kannst du angehen, wenn du deine WordPress-Website noch sicherer machen (lassen) möchtest. Manche davon sind aber eher etwas für Profis.
- Alte, nicht mehr verwendete Websites vom Webspace löschen (oder auch da Updates machen)
- PHP-Version aktuell halten
- Website/Onlineshop mit SSL verschlüsseln (https statt http)
- Admin-URL ändern (bei WordPress standardmäßig wp-admin)
- Regelmäßige Sicherheitschecks: am besten automatisiert durch ein Plugin wie Wordfence oder manuell z. B. via https://sitecheck.sucuri.net
- Version des CMS nach außen ausblenden
- Nicht benötigte Plugins löschen
- Plugins und Themes, die schon seit Jahren keine Updates mehr zur Verfügung stellen ersetzen oder löschen
- Bei WordPress: Schnittstelle (XML RPC) deaktivieren
Was wirst du als erstes angehen?
Ich hoffe, meine Tipps haben dir geholfen, deine WordPress-Website sicherer zu machen.