Mit WordPress kannst du moderne Internetauftritte, Präsenzen, Blogs und Online-Shops umsetzen. Nun gibt es Meldungen darüber, dass eine Sicherheitslücke Unbefugten erlaubt, Inhalte einer WordPress.org-Seite zu verändern. Wie schützt du dich also vor möglichen Hacker-Angriffen?
WordPress: Was ist das überhaupt?
WordPress ist ein Content-Management-System, also eine Software, mit der sich eine Website erstellen und deren Inhalte verwalten lassen. Die Basis dazu schafft Michel Valdrighi, der im Jahr 2002 ein in PHP geschriebenes Weblogsystem mit dem Namen b2/cafelo entwickelte. Im Jahr 2003 verkündet Matthew Charles Mullenweg, das Monate zuvor eingestellte Weblogsystem weiterzuentwickeln und auf der Basis des b2-Codes eine neue Weblog-Software zu schreiben, die flexibel und gut anzupassen sei. Schnell meldete sich Mike Little bei ihm und zusammen starteten sie WordPress mit der b2-Codebasis.
Auch der Erfinder der Software, Michel Valdrighi, schloss sich dem Projekt an. Im Dezember 2005 stellte Mullenweg Automattic vor, die Firma hinter WordPress.com und Akismet. Automattic stellte Leute an, die zum WordPress-Projekt beigetragen hatten, einschließlich Hauptentwickler Ryan Boren und WordPress MU-Entwickler Donncha O Caoimh. Ein Akismet-Lizenz-Geschäft und ein WordPress-Bundling mit Yahoo! Small Business webhosting wurden zur gleichen Zeit bekanntgegeben.
Im Januar 2006 stellte Mullenweg den früheren Oddpost-CEO und Yahoo!-Topmanager Toni Schneider als CEO bei Automattic an. Schneider war somit der fünfte Angestellte bei Automattic. Bei einem Regulation D-Filing wurde im April 2006 enthüllt, dass Automattic etwa 1,1 Millionen US-Dollar Investitionen erhalten hatte, was Mullenweg in seinem Blog kommentierte. Die Investoren waren Polaris Ventures, True Ventures, Radar Partners und CNET.
WordPress.com
Es gibt zwei verschiedene Möglichkeiten, eine Webseite auf Basis des Content-Management-System von WordPress zu realisieren: mit WordPress.com und WordPress.org.
Bei WordPress.com handelt es sich um einen Dienst, der Aufgaben rund um den Betrieb einer Internetseite (Hosting, Domain, etc.) übernimmt. Bei dieser Basisversion sind für das Design viele kostenlose Themes verfügbar, ein Upload eigener Themes ist aber nicht möglich. Genauso verhält es sich bei der Anpassung: Wer kein (kostenpflichtiges) Pro- und/oder Business-Bundle-Upgrade macht, hat wenig Handlungsspielraum bei der Anpassung der Website. Selbst bei der kostenpflichtigen Version ist der breite gestalterische und technische Rahmen mit WordPress.com nicht bzw. nur durch eine hohe Investition möglich. Erst mit dem VIP-Programm kann man sich Individualität mit dem gewohnten Service erkaufen. Das kostet aber entsprechend und lohnt sich nur, wenn man viel Traffic hat und weitestgehend bekannt ist.
WordPress.com ist ein perfekter Einstieg für Menschen, die einen eigenen Internet-Auftritt starten wollen. Viele Designs sind bei der Grundversion kostenlos und ein direkter Start ohne technische Vorkenntnisse ist möglich. Wer es aber individuell will, was ja meist mit einer eigenen Domain beginnt, muss einen kostenpflichtigen Dienst in Anspruch nehmen.
WordPress.org
Das Open-Source-Programm WordPress.org basiert auf PHP und muss vorher auf einem Server hochgeladen werden. Die Einrichtung einer Webseite mit der kostenlosen, freien WordPress-Version, die du bei WordPress.org herunterladen kannst, ist damit etwas aufwändiger. Auf der anderen Seite ist eine selbstgehostete WordPress-Instanz aber auch deutlich flexibler. Durch die Open-Source-Lizenz gibt es keinerlei Einschränkungen in der Verwendung.
Sobald du also dich um den Kauf einer Domain mit Webspace und Datenbank gekümmert hast, kann es losgehen. Dafür gibt es recht günstige Pakete bei den großen Hostinganbietern. Viele davon sind bereits auf WordPress-Nutzer vorbereitet und bieten eine einfache Ein-Klick-Installation von WordPress an. So musst du WordPress nicht mehr selbst über ein FTP-Upload Programm auf deinem Webspace hochladen. Wie viel Speicherplatz du auf deinem Webspace zur Verfügung hast, kommt auf das von dir gewählte Hostingpaket an.
Sobald du WordPress installiert hast, kannst du mit der Installation von WordPress-Plugins loslegen und dir ein WordPress-Theme aussuchen. Es gibt jede Menge kostenlose Themes und Plugins bei WordPress.org, die du direkt über deinen WordPress-Adminbereich installieren kannst (Liste nützlicher Plugins für den Blog-Start).
Plugins, Themes und Sicherheit
Die deutlichsten Unterschiede zwischen WordPress.com und WordPress.org liegen bei den Plugins und Themes. Während die selbstgehostete WordPress.org-Webseite gänzlich ohne Einschränkungen in diesen Belangen daherkommt, gibt es bei WordPress.com keinerlei Möglichkeiten, Plugins zu installieren und den Funktionsumfang der Webseite damit zu erweitern. Individuelle Anpassungen sind somit nur sehr begrenzt möglich. Gleiches gilt für Themes: Zwar hat man bei WordPress.com Zugriff auf einen Theme-Pool mit einer großen Auswahl (derzeit rund 370 Themes), jedoch stehen auch hier nicht alle Themes des Theme-Pools von WordPress.org zur Verfügung. Individuelle, eigenentwickelte Designs können ebenfalls nicht verwendet werden.
Auch das Thema Sicherheit spielt eine Rolle. Bei WordPress.com ist die Wartung komplett abgedeckt, da diese zum Service-Paket gehört. Zudem ist das Risiko eines Angriffs durch die vielen Einschränkungen und die nicht vorhandene Möglichkeit, Plugins zu installieren, deutlich minimiert. Anders sieht es hingegen bei einer selbstgehosteten Webseite aus. Eigener Server, eigene Installation, eigene Modifikationen und Anpassungen — eigene Verantwortung.
Manko Sicherheitslücken
WordPress ist das meistverwendete CMS überhaupt. Laut der Statistiken von W3Techs laufen mehr als die Hälfte – nämlich 61% – aller Websites, die ein CMS verwenden, mit WordPress.org. Nach den Statistiken von BuiltWith hat WordPress.org einen Marktanteil von 45,78%, womit WordPress jedoch immer noch das meistgenutzte CMS ist. Allerdings gibt es immer wieder Sicherheitslücken, die Unbefugten erlaubt, Inhalte einer WordPress.org-Seite verändern zu können. Momentan klaffen sechs Sicherheitslücken in den gefährdeten Versionen. Die Entwickler empfehlen deswegen, schnellstmöglich die neueste Version 4.7.3. herunterzuladen und zu installieren.
Um von vorneherein Betrügern kein Einfallstor zu geben, solltest du bereits bei der Installation einen Sicherheitsschlüssel auf der dafür eingerichteten Webseite generieren. Es lohnt sich die Mühe zu machen, sichere Schlüssel (Secret Keys) zu erzeugen und in die wp-config.php einzutragen – sie spielen später eine wichtige Rolle bei der Verschlüsselung der Login-Daten in den Cookies.
Sicher ist sicher!
Auch während des Installationsprozesses lässt sich das Präfix für die Datenbanktabellen ändern. Standardmäßig steht hier “wp_”. Daraus wird in der Datenbank beispielsweise “wp_posts” oder “wp_comments”. Wer das “wp_” individuell verändert bzw. anpasst, etwa “projektname_” oder “ihr_name_”, macht seine WordPress-Anwendung zu einem schwerer zu fassenden Ziel für Angreifer. Auch für den Benutzernamen und das Passwort, das man beim Installationsvorgang für den Admin-Account eingeben muss, sollten sich WordPress-Installation etwas Individuelles überlegen, etwa den Vor- oder Spitzname. Vermeide, dass du „admin“, „demo“, „test“, „wordpress“, „webmaster“ oder Ähnliches verwendest. Denn Brute-Force-Attacken sind unter anderem auf genau solche Nutzernamen spezialisiert. Bei der Wahl eines sicheren Passworts unterstützt dich WordPress. Das von Ihnen angegebene Passwort wird in vier Sicherheitsstufen eingeteilt: sehr schwach, schwach, mittel und stark.
Auch mit Hilfe von Erweiterungen, die die Anzahl ungültiger Anmeldeversuche innerhalb eines festgelegten Zeitraums verhindern, lässt sich die Sicherheit einer WordPress-Installation erhöhen. Ein Beispiel eines solchen Plugins ist “Limit Login Attempts“. Brute-Force-Angriffe probieren mit Hilfe purer Rechnerkraft so lange alle möglichen Kombinationen aus, bis sie die richtigen Nutzernamen und Passworte erraten haben. Eine Beschränkung der möglichen Login-Versuche pro Zeiteinheit in Verbindung mit einer Zwangspause für Anmeldungen macht es diesen Angreifern wesentlich schwerer.
Mag ich.Der Beitrag WordPress – nicht immer sicher! erschien zuerst auf MATERNA newmedia BLOG.