WordPress gehackt? Tipps für mehr Sicherheit!

WordPress ist eines der beliebtesten Systeme für Blogger und Webseitenbetreiber, denn WordPress lässt sich dank der vielen kostenlosen aber auch kostenpflichtigen Themes optisch sehr gut anpassen. Funktionell sieht das Standardgerüst von WordPress etwas Mau aus, aber dass hat den Grund, dass es im Grunde genommen nur ein Blogsystem ist. Wer mehr Funktionen benötigt, weil Beispielsweiße ein größeres Projekt mit WordPress realisiert werden soll, kann sich an den unzähligen Plugins bedienen, die WordPress nicht nur Funktionell erweitern, sondern auch in Sachen Sicherheit, Schnelligkeit und Suchmaschinenoptimierung Wirkung zeigen können. Aber nicht nur bei Webseitenbetreibern und Bloggern ist das System sehr beliebt, sondern auch bei Hackern, denn dank der vielen Plugins uns Themes, die es kostenlos im Internet gibt, lassen sich auf den WordPress-Seiten Schadcode einfügen und Malware verteilen, oder sogar die komplette Webseite übernehmen.

WordPress selber absichern

Natürlich gibt es viele Plugins, die WordPress sicherer machen sollen und bestimmt auch werden. Aber wer von euch versichert mir denn, dass im Plugin selber keine Sicherheitslücke besteht, die unabsichtlich oder sogar absichtlich vom Plugin-Entwickler im Plugin geschrieben wurde? Nun, da ich mir selber das größte Vetrauen schenke, habe ich mich nachdem eine meiner Webseiten gehackt worden ist, für eine Lösung entschieden, die im Endeffekt sehr einfach, aber doch sehr sicher ist.

CHMOD 555Damit niemand neue Dateien unter WordPress anlegen und somit eine Hintertür öffnen kann, wenn eine Sicherheitslücke im System besteht, habe ich zunächst alle CHMODs der gesamten Ordnerstruktur auf die Rechte “555” (Lesen und Ausführen: Alle / Schreiben: Niemand) gesetzt (siehe Screenshot links). Um weiter die Uploads von Mediendateien (sprich Bilder) vornehmen zu können, ohne mich in ein FTP-Programm begeben zu müssen, hat der Ordner und Unterverzeichnisse im “WP-Content”-Ordner eine andere CHMOD (755) erhalten. Damit kann der Besitzer, also ich, in dem Ordner auch schreiben bzw. neue Dateien anlegen, was für den Upload von Bilder unumgänglich ist.

Damit – falls jemand Zugang zu meinem WordPress-Backend hat – niemand auf die Idee kommen kann, .php-Dateien in den Upload-Ordner via WordPress-Upload hochzuladen, lege ich in dem Upload-Ordner eine .htacces an, die folgenden Code enthält:

<FilesMatch “.(php|php3|php4|phtml)$”>
Deny from all
</FilesMatch>

Damit verbietet die .htacces das Ausführen der genannten Dateiendungen. Natürlich können weitere Dateitypen noch hinzugefügt werden.

Versteckte Hintertüren in WordPress Plugins und Themes

WordPress ist sehr beliebt und wird mittlerweile auf mehreren Millionen Webseiten im Internet eingesetzt. Leider hat WordPress in der Vergangenheit viele Probleme mit Sicherheitslücken gehabt, die zwar immer wieder behoben wurden, für manchen diese Hilfe aber deutlich zu spät kan. Aber es muss nicht immer WordPress selber dran schuld sein, dass ein Blog gehackt wurde. Manchmal sind es auch einfach nur die Themes und Plugins, die der Blogger bzw. Webseitenbetreiber heruntergeladen und installiert hat.

Themes und Plugins kommen von Entwicklern, die auch nur Menschen sind. Menschen können Fehler machen und unabsichtlich eine Sicherheitslücke vergessen zu schließen oder gar nicht wissen, dass hier eine potenzielle Gefahrenquelle sitzt. Aber es gibt auch Entwickler, die mit voller absicht ein paar Hintertürchen im Plugin oder im WordPress-Theme geöffnet halten, um einen späteren Zugang zum Blog zu gewähren. Dabei wird häufig einfach nur ein Verweis im Quelltext hinterlegt, nach dem der Entwickler sucht. Hat er ihn gefunden, weiß er: “Ok, zu diesen Blog habe ich Zugang”. Um möglichst viele Zugänge zu erhalten, werden die Plugins nicht nur auf der eigenen Webseite vorgestellt, sondern auch auf anderen Plattformen: Foren, Plugin-Verzeichnisse, anderen Blogs von befreundeten Bloggern und auf vielen Plattformen mehr.

Viele werden sich Fragen, was ein Mensch davon hat, wenn er tausende fremde Blogs manipulieren und verändern kann. Nun, er hat tausende von Linkquellen, die überhaupt nicht bemerken, dass sich ein alter Artikel um einen Link erweitert hat. Mit den Links stärkt er seine eigene Webseite, die wiederum Geld für den Hacker verdient. Oder er schaut sich die stärksten Webseiten und Blogs an mit starken Rankings und verdient mit diesen Geld, indem er die Affiliate-Links, Banner, AdSense-Codes, etc. einfach gegen seine eigenen austauscht.


» Affiliate-Marketing Grundkurs: Teil 1 - Die Grundlagen
» Moqups: Webbasierte intuitive für Mock-Ups