Ich gehe jetzt mal davon aus, dass du mit WordPress bloggst. Gibt es überhaupt noch die anderen? Und dann kann es dir immer wieder mal passieren, dass irgend ein Bösewicht deinen Blog hacken oder zu einer anderen Schandtat missbrauchen will. Dann ist es gut, wenn du ein wenig vorgesorgt hast. Denn es ist wie im realen Leben… Du kannst nicht verhindern, dass dein Auto geklaut wird, aber es zumindest verdammt schwer machen.
Vergiss die ganzen PlugIns
Sie bringen dir nichts. So ganz stimmt das jetzt auch nicht. Du weißt zumindest das irgendwas auf deinem Blog passiert, aber schlau wirst du wahrscheinlich nicht daraus. Und außerdem wiegen sie dich in Sicherheit. In einer falschen, aber zumindest machst du dir keine Sorgen mehr.
Warum ich diese Meinung vertrete? Ein PlugIn ist ein Stück Software und damit fehlerhaft. Das ist einfach so, fehlerfreie Software ist so etwas wie ein Einhorn. Jeder redet davon, aber wirklich gesehen hat es noch keiner. Also hast du irgendwo da ein Problem, dass auch wieder eine Lücke in dein System reißen kann. Außerdem können die auch nur ein paar standardisierte Sachen einführen oder einbauen. Die Grundlagen können sie für dich auch nicht erledigen, dass musst du schon selber machen. Und wenn du ein paar Dinge gut erledigst, dann wird es eh schon schwierig, deinem Blog böses anzutun.
Und da die meisten Angriffe eh durch Software erfolgen (der Nerd im dunklen Zimmer mit Chips und Cola versorgt, existiert nur in Filmen), sucht sich diese nach ein paar erfolglosen Versuchen ein leichteres Opfer. Denn da gibt es genug in der freien Wildbahn, welche ihre Hausaufgaben bei WordPress nicht machen. Ich hatte die Woche auch so einen Fall und schlage mich noch immer mit den Auswirkungen herum.
Aktualität siegt immer!
Wie bei den Nachrichten ist es auch bei deinem Blog. Schaue zumindest einmal pro Woche in dein Dashboard, wenn du bloggst, bist du eh jeden Tag einmal eingeloggt. Und wenn du irgendwo eine Zahl in einem roten Kreis siehst, dann werde nervös. Nein keine Panik! Aber du klickst dich durch die PlugIn-Liste und aktualisierst jedes PlugIn, das ein Update will. Du machst auch brav die Updates für WordPress und die Themes. Denn nur aktuelle Software (und dein Blog ist nichts anderes als ein Programm) hat die bekannten Lücken geschlossen und ausgebessert.
Wenn du mit veralteten WordPress und PlugIns und Themes arbeitest wird es kritisch. Denn die Sicherheitslücken sind weltweit bekannt und werden gnadenlos ausgenutzt. Und wenn du schon dabei bist… Lösche alle Themes und PlugIns, welche du nicht brauchst und verwendest. Das ist doch nur Müll auf deinem Blog und macht die Gefahr nicht kleiner. Und wenn du schon dabei bist, überlege dir genau ob du wirklich jedes installierte PlugIn brauchst. Denn hier darfst du ruhig MinimalistIn sein und alles nicht notwendige über Bord werfen.
Der Admin ist nun mal der Admin!
Aber musst du dein Benutzerkonto wirklich so offensichtlich admin nennen und vielleicht vergibst du auch noch das Passwort Glückskecks. Ja dann kann dir auch niemand mehr helfen. Also vergibt einen anderen Benutzernamen für dein Administratorkonto und verwendest auch ein sicheres Passwort. Außerdem legst du dir gleich mal ein zweites Benutzerkonto an. Ja wirklich, es kostet doch nichts! Mit dem zweiten Konto verfasst du deine Beiträge und bist der/die BloggerIn und mit dem anderen machst du deine Administrationsarbeiten am Blog. Das ist so üblich und hat sich über die Jahre bewährt, dass ein Administrator nicht mit seinem eigenen Benutzerkonten diese Arbeiten durchführt. Aber denke daran: Beide Konten bekommen ein sicheres Passwort.
Ein BackUp ist einfach ein gutes Sicherheitsnetz!
Mach dir regelmäßige Kopien von deinem Blog. Aber nicht nur von den offensichtlichen Daten am Server, wie das /uploads-Verzeichnis. Nein denke auch an deine Datenbank und da drin stehen die wirklichen wichtigen Dinge wie deine Beiträge und die Konfiguration (die wp-config.php enthält ja nur die Basiskonfiguration). Da du jetzt sicher nicht der IT-Profi bist, wirst du es nicht mit Hand machen können (oder wollen). Daher empfehle ich dir ein PlugIn, wie eben BackWPup). Damit kannst du deinen gesamten (wirklich alles) automatisch in bestimmten Intervallen sichern. Und so ein Tipp am Rande, nutze die Möglichkeit die Sicherung in deine DropBox zu speichern. Denn wenn dein WebSpace gehackt wird, kann auch die Sicherung flöten gehen.
Und die beste Sicherung nutzt nichts ohne Überprüfung. Schau dir regelmäßig die Dateien deines BackUps an. Ob alles da ist und auch alles theoretisch funktionieren könnte. Am besten wäre es, wenn du die ganze Sicherung mal wieder einspielen kannst. Dann siehst du ob es im Notfall auch klappt. Denn wenn dein Blog gehackt wurde, kannst du zumindest eine Datensicherung einspielen und hast nicht alles verloren.
Wer hat den hier die Rechte?
Auch die richtigen Dateirechte sind für ein wenig Sicherheit ausschlaggebend. Diese Rechte sagen dem Betriebssystem wer, welche Dateien lesen, ändern, schreiben oder löschen darf. Wir können sicher davon ausgehen, dass du ein FTP-Programm besitzt, sowas wie FileZilla. Und damit kannst du die Berechtigungen pro markierter Datei und/oder Ordner auf deinem WebSpace anpassen. Einfach mit einem Rechtsklick klicken und Dateiberechtigungen auswählen. Dann aktivierst du die entsprechenden Rechte oder gibst besser gleich die Zahl aus der folgenden Liste ein. Dadurch kann WordPress noch sauber arbeiten, aber nicht mehr jeder alles ändern.
- Dateien bekommen 644
- Ordner im WebSpace bekommen 755
- Die Datei
wp-config.phpbekommt 660 oder besser 400
Das geht dich jetzt aber gar nichts an!
Daher sperren wir den Zugriff auf die Konfigurationsdatei wp-config.php von WordPress. Dazu brauchst du die Datei .htaccess, welche im Hauptverzeichnis deines WebSpace liegt. Auch diese kannst du mit einem einfache Texteditor wie Notepad++ oder Sublime Text bearbeiten. Am Ende fügst die die folgenden Zeilen ein und verhinderst damit den Zugriff von außerhalb deines Speicherplatzes.
<files wp-config.php> order allow,deny deny from all </files>
Nur wer den Schlüssel hat, kommt hier rein!
Klar hast du jetzt deine Benutzerkonten bereits super mit einem schwierigen Passwort gesichert. Aber du kannst mit der Datei .htaccess noch eine weitere Sicherheitsebene einbauen. Dazu brauchst du zwei Dateien und ein FTP-Programm. Ich werde dir jetzt einmal Schritt-für-Schritt erklären wie du einen Passwortschutz für dein Login erzeugst.
Als erstes brauchst du die Datei .htpasswd, um ein Passwort zu speichern. Du kannst sie direkt mit FileZilla auf deinem WebSpace anlegen und dann zum Bearbeiten öffnen. Um den Inhalt zu erzeugen verwende ich gerne den .htpasswd Generator. Gib in dem Formular einen Benutzernamen und ein Password ein (nicht das von WordPress, sondern etwas neues) und aktiviere md5. Am Ende des Formulars klickst du jetzt auf .htpasswd generieren. Jetzt siehst du eine Zeile wie etwa die folgende
dersuperuser:$1$za|E\{ou$4dhnH.HA7nCZvYNDTb93b0Diese Zeile kopierst du und fügst sie in deine .htpasswd ein, noch auf den WebSpace übertragen/speichern und schon hast du den 1. Schritt geschafft.
Jetzt muss du im 2. Schritt die Datei .htaccessanpassen. Du öffnest sie mit FileZilla und fügst am Ende den folgenden Code ein.
<Files wp-login.php> AuthName "Admin-Bereich" AuthType Basic AuthUserFile /.htpasswd require valid-user </Files> <FilesMatch "(\.htaccess|\.htpasswd|liesmich\.html|readme\.html|install\.php|wp-config\.php)"> order deny,allow deny from all </FilesMatch> <Files "wp-admin\/admin-ajax\.php"> Allow from all Satisfy any </Files>
Nun noch einmal in Browser beim Blog anmelden um zu sehen ob alles passt. Und schon hast du zumindest einen grundlegenden Schutz für deinen Blog aufgebaut.
<div class="entry-content"> <h2>Und sicher ist sicher!</h2> <p>Vergiss nicht SSL, also das https-Protokoll, für deinen Blog zu aktivieren. Aber das sollte jetzt eh schon ein alter Hut sein und bei allen Webseiten aktiviert sein.</p> </div>
