In jüngster Zeit sehen wir vermehrt, wie Angriffe und sogenannte DDOS-Attacken („Distributed Denial of Service”, etwa: verteilte Attacken) auf unserer Kunden zunehmen, die zum Beispiel WordPress oder Joomla installiert haben. Unsere Serverüberwachung ist in der Lage, solche Angriffe häufig schon zu erkennen, bevor der Kunde dies bemerkt, sodass wir hier Gegenmaßnahmen ergreifen können, wie zum Beispiel das Aussperren dieser Angreifer. Dennoch kann nicht immer jede Attacke verhindert werden und nicht jeder Angriff wird erkannt, zumal wenn dieser mit hoher krimineller Energie abläuft.
Software aktuell halten
Deswegen möchten wir hier einige Tipps geben, wie eine Installation bestmöglich abgesichert werden kann. WordPress und Joomla aktuell halten Wer seine Webseite mit Systemen wie WordPress oder Joomla betreibt, kennt die enormen Vorteile gegenüber einfachen, statischen HTML-Seiten: Es kann schnell etwas geändert werden, das Design wird nur einmal festgelegt und vor allem kann hiermit jeder auch ohne tiefe Kenntnisse von HTML, CSS oder
Javascript Webseiten erstellen und diese pflegen. Der Nachteil hierbei ist aber erst auf den zweiten Blick erkennbar, wenn man sich diese Systeme einmal im Detail anschaut. Im Gegensatz zu einfachen Webseiten, die nur aus HTML bestehen, handelt es sich hierbei nämlich um sehr komplexe Programme, die auf einem Server installiert und ausgeführt werden. Und genau wie man es vom heimischen Computer kennt, gibt es in dieser Software mitunter Fehler, die durch Updates behoben werden müssen. Das Wichtigste ist also auch bei WordPress und Co., dass Aktualisierungen regelmäßig eingespielt werden. Viele gehackte und in der Folge missbrauchte Kundeninstallationen wurden alleine durch Sicherheitslücken kompromittiert, die zum Teil schon seit Jahren behoben waren.
Installationstipps von WordPress für WordPress
Neben dem regelmäßigen Aktualisieren gibt es aber noch weitere Möglichkeiten, wie man zumindest WordPress ein Stück weit absichern kann. Eine ganz ausführliche Anleitung dazu findet man auch von WordPress selber, allerdings nur in englischer Sprache: https://faq.wpde.org/wordpress-sicherer-machen/ – Dazu gehören ganz einfache und grundlegende Sachen, wie etwa ein sicheres Passwort zu finden und den “admin”-Account durch einen anderen zu ersetzen. Die meisten Angriffe dürften sich nämlich darauf richten, diesen “admin” in Kombination mit einem zufälligen Passwort auszuprobieren. Und schließlich gehört zu einem Sicherheitskonzept auch ein Backup, das wir Ihnen übrigens als Standard zu jedem unserer Webhostingtarife anbieten.
Des Weiteren gibt es für WordPress noch diverse Plugins, die zum Beispiel erkennen können, wenn es besonders viele Loginversuche von einer IP-Adresse gibt und daraufhin diese IP aussperren. Die WordPress Community führt hier einige Beispiele auf: https://codex.wordpress.org/Hardening_WordPress#Plugins – wir können hier seitens Artfiles leider keine Tipps geben oder Unterstützung leisten, da auch bei den Sicherheits-Plugins das Angebot zu groß ist, um hier abschließende Empfehlen geben zu können. Hier müssen Sie selber einmal schauen, was Ihren Bedürfnissen am ehesten entspricht. Letztlich ist es aber so, dass Sie ein WordPress auch ohne diese Plugins sicher betreiben können; diese sind nicht zwingend erforderlich.
Wie Artfiles Sie unterstützen kann
Um unsere Kunden bei der Sicherung Ihrer Systeme zu unterstützen, entwickeln wir ein sogenanntes „Intrusion Detection System” (IDS), das – vereinfacht ausgedrückt – Einbrüche in das System und Veränderungen an Ihrem Webspace erkennen und melden kann. Hiermit kann sofort erkannt werden, wenn beispielsweise ein Hacker eine Datei manipuliert, um Schadcode über Ihre Webseite auszuliefern oder wenn in einem Verzeichnis plötzlich eine unbekannte Datei liegt. Zum jetzigen Zeitpunkt befinden wir uns in der letzten Betaphase der Entwicklung und schalten dieses Werkzeug schon jetzt gerne auf Wunsch für Sie frei.
Darüber hinaus bieten wir Ihnen übrigens auch SSL-Zertifikate an, mit deren Hilfe Sie die Administration Ihres CMS gegen das Belauschen durch Dritte, etwa wenn Sie Ihre Administration in offenen WLANs aufrufen, absichern können: https://www.artfiles.de/webhosting/ssl/
Wenn Sie Ihr WordPress – und alle Plugins – aktuell halten, ein vernünftiges Passwort wählen und die kleinen Tipps der WordPress Community berücksichtigen, sind Sicherheitsprobleme auch sehr unwahrscheinlich.