Sicherheit von CMS und Blogs

  • admin-Berechtigungen nur an versierte Benutzer/Administratoren vergeben
  • Sichere Passwörter für Benutzer mit admin-Berechtigungen vergeben.
  • Joomla/WordPress am aktuellen Stand halten
  • Nur Erweiterungen aus seriöser Quelle installieren
  • Nach Möglichkeit nur Erweiterungen installieren, die in der Vergangenheit regelmäßig gepflegt wurden
  • Plugins/Erweiterungen der Joomla/WordPress-Installation am aktuellen Stand halten
  • Nicht benötigte Plugins/Erweiterungen/Funktionen deinstallieren
  • Löschen Sie nicht mehr benötigte Benutzer.
  1. Ein nicht betroffenes Daten- und Datenbankbackup einspielen
  2. Installation auf den aktuellsten Stand bringen und Sicherheitsregeln beachten/prüfen - siehe Punkt 1.
  3. Logaufzeichnungen des Webservers (verfügbar im logs-Verzeichnis) auf verdächtige Zugriffe prüfen

Am einfachsten sichern Sie Ihr WordPress-Blog mit folgender bedingten RewriteRule gegen unerwünschte Loginversuche von Bot-Skripten ab:

<IfModule mod_rewrite.c>
RewriteEngine On
RewriteCond %{REQUEST_METHOD} POST
RewriteCond %{REQUEST_URI} .(wp-comments-post|wp-login)\.php*
RewriteCond %{HTTP_COOKIE} !^.*wordpress_test_cookie.*$ [OR]
RewriteCond %{HTTP_USER_AGENT} ^-?$
RewriteRule ^/?(.*) %{SERVER_NAME}/$1 [R,L]
</ifModule>

Diesen Code fügen Sie in die .htaccess-Datei Ihrer WordPress-Installation ein. Bitte beachten Sie, dass dieser außerhalb des von WordPress automatisiert bearbeiteten Bereichs der Datei (mit Kommentaren gekennzeichnet) platziert werden sollte.

 

  • Als Erstes sollten Sie Ihre Seite offline nehmen. Dies können Sie mittels Zugangssperre z.B. über das Control Panel -> Geschützte Verzeichnisse erledigen. Sie können auch die Zugriffsrechte einzelner Dateien über das Control Panel -> Dateimanager entziehen. Eine weitere Möglichkeit, Zugriffsrechte zu entziehen, bietet Ihr FTP-Client.
  • Falls ihr Passwort ausgespäht wurde, müssen Sie dieses sofort ändern. Sicherheitshalber sollten Sie auch die Passwörter für Email und Datenbankzugang ändern.
  • Checken Sie alle PCs, mit denen Sie Ihre Seite administrieren, regelmäßig auf Virenbefall und spielen Sie Sicherheitsupdates und Patches sofort nach deren Publikation ein.
  • Falls vorhanden, spielen Sie ein sauberes Backup ein.
  • Wenn kein Backup vorhanden ist müssen Sie manuell alle Dateien Ihrer Seite überprüfen und gefundenen Schadcode entfernen. Wenn Sie sich unsicher sind nehmen Sie professionelle Hilfe in Anspruch. Wenden Sie sich an uns, wir unterbreiten Ihnen gerne ein Angebot.

Aktuelle Content Management Systeme und Blogs können über die Administrationsoberfläche/Backend aktualisiert werden. Üblicherweise wird eine Warnmeldung auf der Startseite der Administrationsoberfläche angezeigt, welche einem über ein verfügbares Update informiert.

Erweiterungen (Plugins, Module etc.) sollten ebenfalls auf Aktualität überprüft werden. Die Aktualität kann ebenfalls in der Administrationsoberfläche überprüft werden.

Bei zu alter Software gibt es oft keine Updates für den Versionszweig mehr (z.B.: Joomla 1.5). Ein Update auf einen aktuellen Versionszweig ist dringend zu empfehlen, da alte Versionen bekannte Sicherheitslücken enthalten, welche durch Dritte ausgenutzt werden.

Wordpress

  • 1.0, 1.2, 1.5
  • 2.0, 2.1, 2.2, 2.3, 2.4, 2.5, 2.6, 2.7, 2.8, 2.9
  • 3.0, 3.1, 3.2, 3.3, 3.4, 3.5, 3.6, 3.7, 3.8, 3.9

Joomla

  • 1.x und 2.x werden nicht mehr weiterentwickelt
  • 3.0 bis 3.4.5

Typo3

  • 3.0, 3.2, 3.3, 3.5, 3.6, 3.7, 3.8, 3.8.1
  • 4.0, 4.1, 4.2, 4.3, 4.4, 4.6

Drupal

  • 1.0
  • 2.0
  • 3.0
  • 4.0, 4.1, 4.2, 4.3, 4.4, 4.5, 4.6, 4.7
  • 5.0, 5.1, 5.2
  • 6.0, 6.22, 6.24, 6.25, 6.27, 6.28, 6.29, 6.30, 6.31
  • 7.0, 7.2, 7.4, 7.5, 7.7, 7.8, 7.9, 7.10, 7.12, 7.14, 7.15, 7.16, 7.17, 7.18, 7.19, 7.20, 7.21, 7.22, 7.23, 7.24, 7.25, 7.26, 7.27, 7.28, 7.29, 7.30

Nach oben

Tipps zum Thema Sicherheit

Verwenden Sie starke Passwörter. Im Allgemeinen gilt je länger, desto besser. Die Mindestlänge sollte 8 Zeichen betragen. Das Passwort soll aus einer zufälligen Kombination aus Klein-/Großbuchstaben, Zahlen und Sonderzeichen bestehen. Da solche Passwörter schwer zu merken sind, können Sie einen sogenannten Passwortsafe verwenden. Dabei werden alle Ihre Passwörter in einem Programm gespeichert, Sie müssen sich nur ein einziges Masterpasswort merken.
Verwenden Sie ein Passwort nie mehrmals. Wenn Sie ein Default Passwort bekommen, z.B. nach einer Neuinstallation, ändern Sie es sofort. Auch ein Passwort, dass Ihnen per Email zugeschickt wird sollten Sie ändern, da Emails mit etwas Aufwand mitgelesen werden können.

Schadprogramme auf Ihrem eigenen PC können Ihre Passwörter und Verbindungsdaten ausspähen. Deshalb ist es besonders wichtig, das alle PCs, mit denen Sie sich auf den Server verbinden, frei von Malware sind. Verwenden Sie daher aktuelle Virenscanner und nutzen Sie die Updatefunktion Ihres Betriebssystems und Ihrer installierten Software. Wenn Sie den Verdacht haben, dass Ihr PC mit Schadsoftware infiziert ist, Ihr Virenscanner jedoch keine Bedrohung ausmachen kann, ist ein Scan mit einem weiteren (Offline-)Scanner empfehlenswert. Entsprechende Scan- und Bootmedien (CD/DVD-ROMs, USB-Sticks, etc.) werden von den Antivirensoftwareherstellern in der Regel kostenfrei angeboten.

Setzen Sie vernünftige Zugriffsrechte. Im Normalfall reicht 750 (rwxr-x---) oder 755 (rwxr-xr-x) für Verzeichnisse und 640(-rw-r-----) oder 644 (-rw-r--r--) für Dateien. Auf keinen Fall sollten Sie Verzeichnisse oder Dateien für alle beschreibbar (777 - rwxrwxrwx Verzeichnisse / 666 - rw-rw-rw- Dateien) setzen.

Sensitive Daten, z.B. Datenbanklogininformationen können Sie auch außerhalb ihres Webroots (im Normalfall das Verzeichnis www) ablegen und mittels php einbinden. Als Dateiendung wählen Sie am Besten .php und nicht .txt oder Ähnliches, damit der Inhalt nicht im Browser ausgegeben werden kann.

Wenn Sie Fremdprojekte (Joomla, Wordpress, Oscommerce etc.) verwenden, halten Sie diese auf dem neuesten Stand. Informationen über verfügbare Updates erhalten Sie u.a. in unserem Newsletter bzw. auf den Herstellerseiten. Beachten Sie dabei die Vom Hersteller angegebenen Sicherheitseinstellungen. Oft sind Standardinstallationen so eingerichtet, dass sie dem Nutzer maximalen Komfort bieten, aber Sicherheitslücken aufweisen. Gehen Sie nach den Anweisungen des Herstellers vor, um Ihre Installation abzusichern. Dazu gehört das setzen der richtigen Dateirechte und das Schützen einzelner Verzeichnisse mittels .htaccess.

Führen Sie regelmäßige Backups ihrer Webseite und Datenbanken durch. Serverseitig führen wir täglich Backups durch und halten diese eine Woche vorrätig. Darüber hinaus können Sie über das Control Panel Modul "Backups" selbstständig Backups erstellen und auf Ihrem PC sichern. Eine Anleitung dazu finden sie auf der Backups Seite

  • Sie sollten nur Installationspakete aus offizieller Quelle verwenden. In inoffiziellen Quellen könnten sich Viren und andere ungewollte Programme befinden.
  • Bevor Sie Passwörter im FTP-Programm abspeichern, sollten Sie sicherstellen, dass diese verschlüsselt abgespeichert werden. Filezilla etwa speichert die Passwörter in klar Text. Viren können diese Passwörter einfach lesen und an Angreifer weiterschicken.

Sie sollten so schnell wie möglich Malware, Viren und Trojaner vom Computer entfernen. Wenn der PC wieder sicher ist, sollten Sie die Passwörter für alle E-Mail Konten und Control Panel Benutzer unbedingt neu vergeben, da die alten Passwörter möglicherweise an Angreifer durch die Malware weitergegeben wurden. Sicherheitshalber sollten Sie auch Passwörter anderer Zugänge (z.B.: Online Banking, online Shops, soziale Netzwerke, etc.) neu vergeben.

Wenn möglich, sollten Sie unverschlüsselte WLAN Netze unbedingt meiden. Daten wie z.B. Benutzernamen und Passwörter die über unverschlüsselte Netze versendet werden, können von Dritten abgefangen werden. Emails sollten nur über Webmail oder SSL/TLS-Verschlüsselung (siehe Anleitungen) abgerufen werden.

Nach oben