Teil I: Safety first – Schütz deinen Blog, aber richtig

Am Mittwoch war es bei mir soweit. Mein Sicherheitssystem meldete mir, dass jemand versucht hat sich bei bloggerabc einzuloggen. Nach dem ersten Schreck stellte ich fest, dass mein Sicherheitssystem wunderbar funktionierte und der Eindringlich keinen Erfolg hatte. An dieser Stelle einen schönen Gruß nach China.  Für mich war der Vorfall Anlass genug,  das Thema „Blogsicherheit“ nicht nur anzusprechen, sondern eine ganze Blogreihe mit Handlungshilfen für dich vorzubereiten.  Darum findest ab heute und in den nächsten Wochen jeden Freitag einen Gastbeitag von Florian Enkrott zum Thema „Blogsicherheit“.  Florian ist Webentwickler und wird dir neben seinem Artikel auch immer ein Videotutorial  bereitstellen. Ich hoffe, dir gefallen die Posts und Videos. Hinterlasse uns einfach einen Kommentar mit deiner Meinung. Florian und ich freuen uns über dein Feedback.


 

WordPress ist ein hervorragendes Publishing-System. Und dazu auch noch kostenlos! Schon längst wird dieses Content-Management-System nicht mehr nur für klassische Blogs eingesetzt, sondern erfreut sich auch bei anderen Online-Formen wie einfachen Webseiten oder Portfolios immer größerer Beliebtheit.  Vielfach genutzt bietet WordPress eine Menge Möglichkeiten, sich im Internet zu präsentieren. Dabei unterschätzen viele Anwender allerdings, wie wichtig es ist, seine eigene Seite richtig zu schützen. Mit nur wenigen Schritten können geeignete Schutzmaßnahmen getroffen werden. Dieser Artikel soll euch helfen, eure Internetseite oder euer Blog ein Stück sicherer zu machen.

WordPress ist beliebt – auch bei Hackern

WordPress gehört zu den beliebtesten Content-Management-Systemen. Rund 71,5 Millionen Blogs sind derzeit registriert. Damit steigt auch die Zahl der Angriffe auf das System. Aber es gibt Möglichkeiten sich vor Hackern und Spam zu schützen. Deshalb geht es in den nächsten Wochen ab jetzt auf bloggerabc immer freitags um das Thema Blogsicherheit. Ich erkläre euch in meinen Gastbeiträgen, mit welchen einfachen, aber wirkungsvollen Mitteln ihr euer Blog schützen könnt. Heute beginnen wir mit der Installation von WordPress. Wie das funktioniert und worauf ihr achten solltet, erkläre ich euch in dem folgenden Video-Tutorial.

Mit der erfolgreichen Installation sind bereits drei ganz entscheidende Dinge passiert:

1.  Der Standard-Benutzername „admin“ist geändert;

2.  ein cleveres Passwort ist gewählt;

3.  das Tabellenpräfix ist verändert worden.

 Verzichte auf „admin“

Der Standard-Benutzer „admin“erleichtert es Hackerangriffen wie beispielsweise Brutforce-Attacken nutzungsrelevante Daten auszulesen. Dabei setzen Hacker oft darauf, dass eben dieser Standard-Benutzer tausendfach genutzt wird. Deshalb ist es sinnvoll, einen eher untypischen Benutzernamen zu wählen, um es Hackern wesentlich schwerer zu machen.

Mal ganz nebenbei: Hacken muss nicht immer etwas Schlechtes sein. Viele sogenannte „Hacks“erleichtern uns den Alltag. Dabei gilt eben auch, dass nicht alle Hacker Schlechtes tun. Im Gegenteil: Sie sind oft bemüht, unsere digitale Welt ein Stück sicherer und besser zu machen. 🙂

 Nutze intelligente Passwörter

Bei der Installation ist es notwendig, ein eigenes Passwort zu erstellen. Viele User nutzen den Namen ihres Partners, Worte aus dem Wörterbuch oder beschränken sich auf reine buchstaben- oder zahlenbasierte Passwörter. Das macht es Hackern um ein Vielfaches einfacher, diese Passwörter auszulesen. In dem ersten Tutorial werden Empfehlungen genannt, die ein sicheres Passwort ausmachen. Zur Sicherheit gibt es die wichtigsten Punkte hier noch einmal in der Übersicht:

  • Ein Passwort sollte mindestens zwölf Zeichen lang sein; es sollte aus Groß- und Kleinbuchstaben sowie aus Sonderzeichen und Ziffern bestehen;
  • Namen von Familienmitgliedern, des Haustieres, des besten Freundes, des Lieblingsstars oder deren Geburtsdaten und so weiter sind tabu;
  • wenn möglich sollte das Passwort nicht in Wörterbüchern vorkommen;
  • es sollte nicht aus gängigen Varianten und Wiederholungs- oder Tastaturmustern bestehen, also nicht asdfgh oder 1234abcd und so weiter;
  • und last but not least: Einfache Ziffern am Ende des Passwortes anzuhängen oder eines der üblichen Sonderzeichen $ ! ? # am Anfang oder Ende eines ansonsten simplen Passwortes zu ergänzen, ist auch nicht empfehlenswert.

Dabei gilt: Nach Möglichkeit nicht ein Passwort für verschiedene Dienste benutzten, sondern für jeden Dienst ein eigenes erstellen. Das minimiert die Chance eines erfolgreichen Hackerangriffs. Zum Erstellen eines solchen Passwortes könnt ihr beispielsweise einen Passwort-Generator benutzen, die es kostenlos online gibt.

Tabellenpräfix, das unbekannte Wesen

Während der Installation ist es möglich, das Tabellenpräfix für die eigene Installation zu verändern. Doch was heißt das eigentlich? WordPress benötigt eine eigene Datenbank. In dieser werden wichtige Informationen wie Benutzername, Passwort und andere relevante Daten gespeichert. Sie sorgen für eine reibungslose Benutzung von WordPress. Damit WordPress und die Datenbank fehlerfrei miteinander kommunizieren können, bedarf es eines Präfixes, also praktisch einer Vorsilbe. So können bei der mehrfachen Verwendung von einer Datenbank beispielsweise die verschieden Datensätze besser identifiziert und zugeordnet werden.

Einfach gesagt: Es braucht das Präfix, damit keine Daten durcheinander geschmissen werden.

Der Teufel steck im Detail!
Benutzeroberfläche für PHP MyAdmin – Hier lässt sich das Präfix ändern.

Ihr könnt euren Benutzernamen auch nachträglich noch ändern. Dazu müsst ihr nichts weiter tun als in der Benutzerverwaltung einen neuen Benutzer anzulegen, ihm Administratorenrechte geben, ein Passwort festlegen und den vorhandenen „admin“-Benutzer löschen. Für das nachträgliche Ändern des Tabellenpräfixes gibt es eine schnelle und einfache Erklärung von Webworker Frank Bueltge.

Hier könnt ihr einen neuen Benutzer anlegen oder löschen.
Hier könnt ihr einen neuen Benutzer anlegen oder löschen.

Fazit

Mit den richtigen Einstellungen lassen sich schon während der Installation das eigene Blog oder die eigene Internetseite erfolgreich schützen. Dazu gehört ein individueller Benutzername, ein sicheres Passwort und die Veränderung des Tabellenpräfixes. Diese drei Dinge sind eine erste entscheidende Hürde, um es Hackern schwer zu machen, eure Arbeit mutwillig zu zerstören oder schädliche Software zu  installieren.

 

In der nächsten Woche: Was steckt hinter dem Begriff Zwei-Wege-Authentifizierung? Und warum solltet ihr sie anwenden?

Bild: Viktor Hanacek picjumbo.com

Diesen Zusatz führe ich aus rechtlichen Gründen an: Apple, the Apple logo and iPhone are trademarks of Apple Inc., registered in the U.S. and other countries.

Kommentare
(15)

  1. Pingback: VII - Safety first - Sicherheit im Überblick - bloggerabc

  2. Pingback: Backups- Sicher dein WordPress - bloggerabc

  3. Bella

    Hallo, schon mal gute Tipps, ich bin auf die Fortsetzung gespannt.
    Beim Installieren nehme ich immer admin und ein ziemlich einfaches Paßwort. Warum? Weil ich nach dem ersten Einloggen in WordPress einen richtigen Admin anlege (der natürlich nicht Admin heißt) und dessen ID auch noch verändere (entweder indem ich erst mal jede Menge sinnlose Accounts anlege und dann den richtigen Admin oder indem ich über PHPMyAdmin die ID hochsetze). Dann in den richtigen Admin einloggen, Rest gelöscht und wieder ein kleines Kieselsteinchen mehr Sicherheit. Den der Admin hat nicht die ID 1.
    Aber auf die Reihe bin ich dennoch sehr gespannt, in letzter Zeit habe ich viel mehr nicht für die Sicherheit getan, ich muss mal die letzten Blogs wieder nachrüsten.
    Winke, bis Freitag,
    Bella

    antworten
    1. Daniela

      Hallo Bella,
      danke für dein Feedback! Und ich freue mich, dass dir die Reihe gefällt 🙂 Genau wie du bin auch ich den ersten Schritt mit dem admin gegangen und habe nach dem ersten einloggen alles geändert. Da war bloggerabc auch noch nicht online und ich habe sämtliche Suchmaschinen erst einmal ausgeschlossen. Deine Idee, verschiedene Accounts anzulegen ist nicht unflott : ) Aber auch mit etwas Arbeit verbunden, richtig? Wie viele Blogs hast du?

      Viele Grüße
      Daniela

      antworten
  4. Thomas B.

    Hallo Daniela, Hallo Florian,

    auch von meiner Seite aus ein Kompliment für diesen guten Beitrag.

    Da ich selber nicht WordPress im Einsatz habe, sondern die Blogsoftware Dotclear, würden mich natürlich auch allgemeine weitere Tipps interessieren, wie ich auch meinen bzw. meine Blogs vielleicht noch sicherer machen kann.

    Die hier bereits genannten, habe ich zum Teil schon mal umgesetzt gehabt, außer die Sache mit dem Präfix.

    Was mich immer wieder wundert, wie schnell doch gerade Spammer kommen, wenn ich einen neuen Dotclear Blog aufgesetzt habe.

    antworten
    1. Daniela

      Hallo Thomas,
      danke für dein Kompliment. Das freut uns sehr! Ab Freitag geht es weiter mit den nächsten Schritten zum Thema „Blogsicherheit“. Da sollte der eine oder andere Tipp für dich dabei sein, den du auch für deine Blogsoftware verwenden kannst. Ich muss für meinen Teil sagen, dass ich mit Spam noch Glück habe. Es hält sich doch sehr in Grenzen. Lediglich drei Versuche auf meinen Blog zuzugreifen und das in den letzten Tagen finde ich bedenklich. Aber vielleicht ist das auch normal und man muss mit dieser Versuchen einfach leben. Darum ist es einfach so wichtig, schon im Vorfeld solchen Leuten einen Riegel vorzuschieben – soweit es geht.
      Viele Grüße
      Daniela

      antworten
    2. Florian Enk

      Hallo Thomas,
      vielen Dank für dein Feedback. Zwar liegt der Schwerpunkt dieser Reihe bei WordPress, aber ich will natürlich gerne ein paar Dinge mit einbringen die sich auf alle Blogsysteme anwenden lassen. Das kann man dann auch nutzen für Open Source Lösungen wie Serendipity zum Beispiel. Das Spamproblem wird tatsächlich immer größer. Das gilt insbesondere für WordPress. Ich stelle auf den Seiten die ich angelegt habe seit einem Jahr vermehrt Angriffe fest. Aber auch da gibt es den ein oder anderen Handgriff, um sich dagegen zu schützen. Was mich interessiert: Was macht Dotclear interessant für dich?

      antworten
      1. Thomas B.

        Hallo Florian,

        ich liebe an der Blogsoftware Dotclear irgendwie über alles Zusammengefasst die Einfachheit, um es mal ganz einfach platt auszudrücken 🙂

        Vor fast vier Jahren habe ich mich nach Blogsoftware Systemen umgeschaut und diese aus meiner damaligen Sichtweise betrachtet und bin dabei durch Zufall auf Dotclear gestoßen.

        Irgendwie kam ich mit dieser Software am besten zurecht und der Reiz eine Software einzusetzen, die in Deutschland nicht so bekannt ist kam noch dazu.

        Ich habe diese Blogsoftware einfach lieben und schätzen gelernt, denn sie hat mir viele Fehler verziehen und blieb mir einfach treu 🙂
        Denn ich bin kein IT-Profi, kein CSS und kein php Spezialist 🙂

        antworten
        1. Florian Enk

          Hi Thomas,
          deine Begeisterung für Dotclear finde ich wirklich klasse. Das ist nicht unbedingt selbstverständlich. Solche Systeme können einen gerne mal zur Verzweiflung bringen. Umso besser, dass du damit so gut klar kommst und Dotclear deinen Ansprüchen genügt. Ich habe mich vor längerer Zeit schon einmal mit dem System auseinandergesetzt und bin sehr zufrieden. Solche Systeme brauchen sich garantiert nicht hinter kostenpflichtigen Varianten verstecken. 😉

          antworten
  5. Katharina von Bloggen für schlaue Frauen

    Hi Daniela, hi Florian, schöner Beitrag! Ich bin schon gespannt auf die Dinge, die man NACH der Installation tun kann 🙂 Den Standard-Benutzernamen „admin“ habe ich nirgends in Verwendung, aber das Tabellen-Präfix nachträglich zu ändern ist mir definitiv zu heikel. Meine Passwörter werde ich wohl noch mal ein Stück sicherer machen, wobei ich die oben genannten Punkte einhalte, glaube ich. Schreib‘ doch in der Reihe bitte auch was über Sicherheit bzgl. FTP. Liebe Grüße, Katharina

    antworten
    1. Daniela

      Hi Katharina,
      danke für dein Feedback und es freut mich das dir der Beitrag gefällt! Ich denke, wenn du mit einem Generator arbeitest, um deine Passwörter zu generieren bist du auf jeden Fall auf der sicheren Seite. Deinen Wunsch nehmen wir auf jeden Fall mit auf und schauen, ob wir dazu einen Beitrag machen können. 🙂

      Viele Grüße
      Daniela

      antworten
    2. Florian Enk

      Hallo Katharina,

      vielen Dank für dein Feedback. Es gibt so einiges was du deinem Blog noch gutes tun kannst nach der Installation. Was das ist, wirst du in den nächsten Wochen auf jeden Fall erfahren. Deine Bedenken mit dem Tabellenpräfix kann ich gut verstehen. Das Präfix auf nachträglichem Wege zu ändern ist nicht ganz ohne. Ich werde aber bei Gelegenheit noch einmal ganz in Ruhe darauf eingehen. Dann auch gerne mit einem Videotutorial. Solltest du gar nicht weiterkommen, können wir das auch per Online Meeting zusammen erledigen. Deine Anregung zu FTP nehme ich gerne auf. Dazu lässt sich bestimmt etwas machen. 🙂

      antworten
      1. Katharina von Bloggen für schlaue Frauen

        Hi Florian, danke, das ist ein nettes Angebot 🙂 Ich habe mir inzwischen das Plugin iThemes Security installiert (das Dani auch nutzt) und damit komme ich ganz gut klar. Ich glaube ich werde es auch mal auf meinem Blog vorstellen. Ist allerdings wirklich nur was für Leute mit guten Englisch-Kenntnissen 😉 LG, Katharina

        antworten
        1. Daniela

          Hi Katharina,
          freut mich, dass du das Plugin nutzt und du damit zurecht kommst. Weiter so : )

          LG Dani

          antworten
        2. Florian Enk

          Hi Katharina,
          ich helfe wo ich kann. Freut mich, dass du mit iTheme Security so gut klar kommst. Der Umgang mit dem Plugin ist nicht immer ganz einfach. Dazu wird es aber noch noch einmal einen ausführlichen Beitrag geben. Natürlich dann mit einem weiteren Videotutorial. Versteht sich. 😉 Es ist auf jeden Fall wichtig die Einstellungen mit bedacht zu machen, denn mit diesem Plugin lässt sich auch schon einmal schnell etwas durcheinander bringen. Ich wünsche dir auf jeden Fall viel Spaß damit. Das Plugin ist wirklich gut.

          LG,
          Florian

          antworten

Hinterlasse deinen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert