WordPress-Blogs werden regelmäßig zum Angriffsziel von Hackern aus der ganzen Welt. Lesen Sie, welche Ziele die Hacker verfolgen und wie Sie Ihr Blog vor Angriffen schützen können.
Im Juli 2013 gingen erstmals Meldungen von großangelegten Hacker-Angriffen auf WordPress-Blogs durch die Medien. Innerhalb eines Tages wurden über 100.000 unautorisierte Zugriffsversuche auf WordPress-Benutzerkonten verzeichnet. Wie viele Blogs bei dieser ersten Angriffswelle gekapert wurden, ist nicht bekannt. Fest steht nur, dass seitdem regelmäßig groß angelegte Hacker-Angriffe auf WordPress stattfinden.
Wie gehen die Hacker vor?
WordPress ist eine sogenannte Web-CMS-Lösung. Das bedeutet: Über den Browser kann online nach Eingabe eines Benutzernamens und des passenden Passworts direkt auf die mit WordPress erstellte Website zugegriffen werden. Die maximalen Benutzerrechte bietet der von WordPress automatisch eingerichtete „admin“. Das bedeutet in der Praxis: Sobald ein Hacker Ihr WordPress-Passwort für den „admin“ geknackt hat, bekommt er vollen Zugriff auf Ihre Seite.
Hacker-Angriffe auf WordPress müssen Sie sich jedoch nicht in der Form vorstellen, dass in einem Internet-Café eine Gruppe von Nerds manuell Hunderte Passwörter ausprobieren. Stattdessen nutzen sie Brute-Force-Attacken. Hierbei greift eine große Gruppe gekaperter PCs eine WordPress-Seite an. Dabei wird automatisiert eine riesige Passwort-Liste abgearbeitet und ausprobiert, ob damit ein Zugriff gelingt.
Was haben Hacker mit gekaperten Blogs vor?
Welche Ziele Hacker mit solchen Angriffen verfolgen, ist von Fall zu Fall verschieden. Häufig soll so Malware im Internet verbreitet werden. Dabei wird auf dem Server heimlich Schadsoftware installiert, die anschließend versucht, jeden künftigen Besucher der Website zu infizieren. In anderen Fällen wird der komplette Inhalt eines Blogs gelöscht und die Website als Weiterleitung zu einer Erotik-Seite oder ähnlichem genutzt. In wieder anderen Fällen wird versucht, mit platzierten Affiliate-Links Geld zu verdienen oder Backlinks zu dubiosen Websites aufzubauen.
Wie kann man sich vor Hacker-Angriffen schützen?
Wer sein WordPress-Blog vor Hacker-Angriffen schützen will, kann die Sicherheit seiner Website durch einige Maßnahmen gezielt erhöhen. Gleichzeitig sollten Sie dafür sorgen, dass der Schaden im Fall der Fälle nicht allzu schlimm ausfällt. Die folgenden Tipps sollten Sie hierfür befolgen:
-
Sicheres Passwort verwenden
Bei Brute-Force-Attacken werden automatisch die weltweit beliebtesten Passwörter zum Einloggen ausprobiert. Deshalb sollten Sie bei der Passwort-Vergabe auf keinen Fall auf Klassiker wie „password“, „12345“ oder „test“. Die höchst mögliche Sicherheit versprechen Passwörter, die aus Groß- und Kleinbuchstaben sowie Zahlen und Sonderzeichen bestehen.
Viele Anwender wissen das, befolgen den Tipp aber trotzdem nicht, weil sie glauben, sich solch ein Passwort nicht merken zu können.
Nehmen wir als Beispiel das Passwort:
IwidE64u&mP
Kaum zu knacken, aber scheinbar auch kaum zu merken! Folgende Eselsbrücke würde das Merken aber zum Kinderspiel werden lassen: „Ich wohne in der Emmastraße 64 unten und mag Pizza.“
Kreieren Sie sich mit der Hilfe einer solchen Eselsbrücke ein sicheres Passwort!
-
Individuelle Passwörter nutzen
Hat man einmalig auf diesem Weg ein sicheres Passwort erstellt, ist es verlockend, dies überall im Web einzusetzen. Also zum Beispiel bei Online-Shops, Free-Mail-Anbietern und in allen Foren, in denen man sich anmeldet. Das ist jedoch sehr gefährlich, denn sobald auch nur einer dieser Server mit Nutzerdaten geknackt wurde, bekommen die Hacker somit einen Universalschlüssel zu all Ihren Web-Profilen. So könnten Sie beispielsweise mühelos sofort über Ihr Amazon-Konto bestellen, die hinterlegte E-Mail-Adresse für Bestellbestätigungen ändern und sich die Lieferungen an eine neue Adresse schicken lassen. Um das zu verhindern, brauchen Sie also für jeden Anbieter ein individuelles, sicheres Passwort. Gleichzeitig soll es sich aber leicht merken lassen!
Ein Beispiel für ein Amazon-Konto könnte in diesem Fall sein:
50-49IwidE64u&mP
Auch hier mach die Eselsbrücke ganz simpel. Das Passwort besteht aus Ihrem „Standard-Passwort“ und einem vorgeschobenen „50-49“.
Sie starten einfach jedes Passwort mit der Zahl 50 und ziehen davon die Zahl ab, mit der Sie zu der Zahl kommen, die der Position des Buchstabens im Alphabet entspricht, mit der die Internet-Adresse beginnt. 50-49 steht also für das „A“ in Amazon. Ihr eBay-Passwort würde also folglich mit „50-45“ starten.
Wichtig: „50-x“ ist nur ein Beispiel. Übernehmen Sie das nicht, sondern bauen Sie sich eine eigene Eselsbrücke.
Möchten Sie mit Ihrem WordPress-Blog Geld verdienen? Dann empfehle ich Ihnen mein kostenloses E-Book „Geld verdienen mit meiner eigenen Website“. Hier geht es zum Download!
-
WordPress und Plugins regelmäßig aktualisieren
Auch das sicherste Passwort der Welt ist keine Garantie, dass Hacker nicht doch irgendwie Zugriff auf Ihren Blog bekommen. Häufige Schwachstellen sind Sicherheitslücken in der Software, die von den Hackern als Einfallstore genutzt werden. Hier hilft nur eines. Aktualisieren Sie Ihr WordPress und alle installierten Plugins regelmäßig. Besonders gefährdet sind nämlich Blogs mit veralteten WordPress-Versionen, die bekannte Sicherheitslücken aufweisen.
-
Plugins sorgfältig prüfen
Viele WordPress-Blogger rüsten ihr System mit zahlreichen kostenlosen Plugins aus. Diese Plugins sind nützlich und erweitern die Funktionalität der Website. Doch jedes installierte Plugin stellt auch ein potenzielles Sicherheitsrisiko dar. Installieren Sie deshalb nur Plugins, die regelmäßig aktualisiert werden und von deren Seriosität Sie sich durch Erfahrungsberichte überzeugen können.
-
Regelmäßig Backups erstellen
Trotz aller Vorsichtsmaßnahmen lässt es sich nie völlig ausschließen, dass Ihre Website nicht doch gekapert wird. Um in einem solchen Fall den Schaden zu minimieren, sollten Sie regelmäßig Backups Ihres Blogs anlegen. Möglich ist dies beispielsweise durch das kostenlose WordPress-Plugin BackWPUp. Das Tool erstellt ein Komplett-Backup und sichert dies auf Wunsch extern in Ihrem Dropbox-Konto oder verschickt die Sicherungsdatei per Mail an Sie. Der Vorteil: Über Ihren WordPress-Hoster löschen Sie nach einem Hackerangriff den kompletten aktuellen Inhalt auf dem Webserver und spielen anschließend die Sicherungskopie wieder auf – und ändern sofort Ihr Passwort. So stellen Sie sicher, dass Sie nicht unbemerkt zur Virenschleuder oder zum Affiliate-Goldesel für die Hacker werden!