Wie Ihr Sie WordPress-Seiten Hackern zum Fraß vorwerfen

Sie möchten sich jahrelang an einer stabilen und sicheren WordPress-Webseite erfreuen? Dann sollten Sie die verwundbaren Stellen dieses Content-Management-Systems kennen. Am besten versetzen Sie sich dazu einmal in die Perspektive der Hacker. Die bevorzugen nämlich ganz bestimmte Sorten von Webseiten. Aber Achtung: Machen Sie nichts nach, was in diesem Beitrag steht!

Keep it kompliziert

Woran Sie schon bei der Planung Ihrer hackerfreundlichen WordPress-Webseite denken sollten: Sie müssen unbedingt sämtliche Möglichkeiten von WordPress gleichzeitig ausschöpfen. Geben Sie sich nicht mit einem einfachen Blog oder Shop zufrieden, denken Sie groß und größer. Kommen Sie aus der Nische und richten Sie Ihr Projekt auf alle nur erdenklichen Zielgruppen aus.

Je mehr Plugins, desto besser

Zehn Plugins sind für Anfänger, zwanzig für Weicheier und dreißig für Poser. Knacken Sie die Marke von 50 oder besser 100!

Ganz wichtig: Vernetzen Sie Ihre Webseite mit möglichst vielen externen Diensten. Synchronisieren Sie Ihren Blog mit sämtlichen Social-Media-Netzwerken. Integrieren Sie ein Dutzend Glücksspiele! Verknüpfen Sie Ihre WordPress-Installation mit allem, was eine Schnittstelle hat!

Auswahl der Themes

Bei der Auswahl Ihres Themes können Sie die Arbeit der Hacker enorm erleichtern. Absolut tabu sind sämtliche Standard-Themes, denn die werden laufend auf Sicherheitslücken überprüft und aktualisiert. Verwenden Sie keinesfalls das primitive Storefront, falls Sie einen WooCommerce-Shop betreiben.

Nicht eben hackerfreundlich sind auch Themes, die in der WordPress-Community einen guten Ruf genießen. Besuchen Sie auf keinen Fall die Webseite WPmeetups. Sie würden dort nur zur Teilnahme an Veranstaltungen verführt werden, auf denen ein Erfahrungsaustausch stattfindet.

Investieren Sie lieber in ein üppiges Multi-Purpose-Theme, das Sie auf einem neuen Marktplatz erspäht haben. Besonderes Qualitätsmerkmal sollte ein möglichst komplexer Pagebuilder sein. Gutenberg ist nicht genug!

Ein Tipp für den besonderen Moment nach der Theme-Installation: Ihr Theme schlägt die Installation von 28 weiteren passenden Plugins vor? Dann zögern Sie keinesfalls, denn natürlich brauchen Sie die alle. Mit mehr Plugins geben Sie den Hackern auch mehr Ansatzpunkte.

Hackerfreundliche Installation: ohne SSL

Vorsicht bei der Installation. Hacker mögen es überhaupt nicht, wenn Sie Ihrer Domain ein SSL-Zertifikat zuweisen. So überprüfen Sie den Status Ihrer Webseite:

Geben Sie Ihre Adresse in die Browserzeile ein.
Wenn das Schlösschen durchgestrichen ist, haben Sie nichts verschlüsselt und alles richtig gemacht – aus Sicht der Hacker.

Hemmungslos mit PHP coden

Sie haben bereits drei Tage mit PHP experimentiert? Dann sind Sie Experte und dürfen Ihre Kenntnisse ohne Hemmungen in Ihrer WordPress-Seite einsetzen. Klicken Sie auf Plugins/Plugin-Datei-Editor und editieren Sie den Quellcode. Am besten coden Sie sofort live und nicht in einer langweiligen Testumgebung.

Bauen Sie neue Funktionen ein, verzichten Sie aber auf eine Dokumentation oder eine zweite Meinung. Fischen Sie Inhalte aus der Datenbank und platzieren Sie sie irgendwo in oder außerhalb von WordPress. Oder bohren Sie mit einem cleveren Workaround den Anmeldeschirm auf. Die Hacker werden es Ihnen danken.

Veraltetes PHP verwenden

Veraltetes PHP ist auf Webseiten weit verbreitet und Hackers Liebling. Ihre aktuelle PHP-Version können Sie hier einsehen: Werkzeuge/Website-Zustand/Bericht/Server.

Passwort: 1234

Über das Anhängen von /wp-admin/ an Ihre URL gelangt jedermann an den Anmeldeschirm einer unveränderten WordPress-Installation. Ins Backend geht es dann nur mit den Zugangsdaten weiter. Ersparen Sie den Hackern lange Ratespiele und vergeben Sie knackige Benutzernamen und Passwörter. Mit der bekannten und beliebten Kombination aus Admin und 1234 verschaffen Sie den Eindringlingen einen schnellen Zugang. Oder verwenden Sie die etwas rockigere Variante. Die Bad Guys freuen sich auch über Webmaster und ACDC.

Die Benutzerverwaltung ist tabu

Klicken Sie niemals in der schwarzen Menüleiste links auf Benutzer. Damit gelangen Sie nämlich in die Benutzerverwaltung von WordPress und erhalten einen Überblick aller Accounts, die einen Zugang zu Ihrem Backend besitzen. Sie könnten dort kontrollieren, ob sich Unbefugte Zutritt zu Ihrem System verschafft haben.

Tag der offenen Account-Tür

Mit dieser Konfiguration ist es für Angreifer ein Kinderspiel, Ihre Webseite komplett zu übernehmen:

Bei Mitgliedschaft einen Haken in die Box Jeder kann sich registrieren setzen.
Standardrolle eines neuen Benutzers auf Administrator setzen.
Warten, bis jemand die Gelegenheit beim Schopf ergreift und Ihren Account löscht.

Die Webseite in Ruhe reifen lassen

Eine hackerfreundliche Webseite ist wie ein guter Wein. Je älter, desto besser. Lassen Sie Ihr WordPress in Ruhe lagern. Ignorieren Sie das ständige Update-Gemecker in Ihrem Backend, oder noch besser – sehen Sie die Zahl hinter Aktualisierungen als Herausforderung an. Je höher, desto besser.

Jeder Kommentar ist ein guter Kommentar

Sie verwenden die Kommentarfunktion für Ihren Blog? Das ist prima, doch ärgerlicherweise ist in einem frisch installierten WordPress bei Einstellungen/Diskussion folgendes vorgegeben:

Bevor ein Kommentar erscheint, muss der Autor bereits einen freigegebenen Kommentar geschrieben haben.

Entfernen Sie unbedingt den Haken in der Checkbox, wenn Sie Spammern und Hackern das Leben erleichtern möchten.

Zwei-Faktor-Authentifizierung

Das Kürzel 2FA steht für Two Factor Authentication. Mit einem 2FA-Plugin wie Two-Factor können Sie beispielsweise festlegen, dass beim WordPress-Login zusätzlich ein per E-Mail versandter Code eingegeben werden muss. Allerdings legen Sie damit den Hackern Steine in den Weg. Verzichten Sie auf 2FA, wenn Sie sich in diesen Kreisen beliebt machen möchten.

Keine weiteren Fragen stellen

Bleiben Sie gutgläubig und stellen Sie keine weiteren Fragen, schon gar nicht in diesen Fällen:

Ein Gastautor Ihres Blogs benötigt einen Administrator-Zugang.
Aus Ihrer Facebook-Gruppe möchte Ihnen jemand bei einem WordPress-Problem unter die Arme greifen und benötigt dafür Ihre Zugangsdaten.
Mails mit dem Zusatz „dringend“.

WordPress niemals absichern

Die komplette WordPress-Installation, inklusive Dateien und Datenbank, regelmäßig sichern? Wer kommt denn auf sowas? Damit könnten Sie Ihre Webseite nach einem Hackerangriff möglicherweise wiederherstellen. Für die Angreifer wäre das äußerst frustrierend.

WordPress absichern – Zusammenfassung der Schutzmaßnahmen

Die hohe Popularität von WordPress ist Segen und Fluch zugleich. Das Content-Management-System wird nämlich auch gerne von Hackern ins Visier genommen. Deshalb ist es wichtig, die möglichen Angriffspunkte zu kennen und die Schwachstellen abzusichern. Häufige Einfallstore sind Plugins. Die Anti-Hacker-Strategie beginnt deshalb schon bei der Konzeption der Webseite. Es ist empfehlenswert, WordPress nicht mit Funktionen zu überfrachten.

In jedem Fall sollte die WordPress-Seite mit einem SSL-Zertifikat verschlüsselt und die jeweils aktuelle und stabile PHP-Version eingesetzt werden. Die Benutzerverwaltung bietet Admins die Möglichkeit, alle Accounts zu kontrollieren, unberechtigte Accounts zu löschen und Benutzerrollen zu vergeben. Weil die Rolle des Admins zum Löschen sämtlicher Accounts und damit zur Übernahme der kompletten Webseite berechtigt, sollte sie nur mit äußerster Vorsicht und niemals an neue Benutzer vergeben werden.

Zur Abwehr von Spam und Malware ist es empfehlenswert, die Voreinstellungen von WordPress beizubehalten und eine manuelle Freischaltung bei Kommentaren neuer User zu erzwingen.
Auf der relativ sicheren Seite bewegt sich, wer alle Elemente von WordPress (Core, Plugins und Themes) laufend aktualisiert und das Login mit einer Zwei-Faktor-Authentifikation (2FA) absichert. Trotzdem sollte jede WordPress-Installation für den Notfall regelmäßig geschützt werden.

Titelmotiv: Bild von tookapic auf Pixabay