Let’s Encrypt-Zertifikat bei Host Europe installieren

Seit 2014 empfehle ich im meinem Beitrag WordPress Website auf HTTPS umstellen die Verwendung von HTTPS. So langsam sollte sich bei allen Website-Betreibern herumgesprochen haben, dass die unverschlüsselte Übertragung von Daten zwischen Browsern und Webservern unsicher ist. Firefox zeigt mittlerweile einen deutlichen Sicherheitshinweis bei Websites an, die sensible Daten (z.B. Zugangsdaten) nur per HTTP übertragen können. Chrome ist noch etwas zurückhaltender, in 2018 sollen die Hinweise aber zu Warnungen werden.

Limit Login Attempts und Login LockDown: kein effektiver Schutz

PabstWP Beitragsbild WordPress Sicherheit

In einigen WordPress-Blogs wird immer noch der Einsatz von Limit Login Attempts (Reloaded) oder Login LockDown empfohlen, wenn es darum geht, Brute-Force-Attacken – also das massenhafte Ausprobieren von Zugangsdaten – abzuwehren. Ich rate vom Einsatz solcher Plugins ab und empfehle eine sehr viel effektivere Maßnahme.

Das WordPress-Anmeldeformular wp-login.php ist eines der beliebtesten Angriffsziele bei WordPress-Websites. Leider benutzen immer noch sehr viele WordPress-Benutzer/innen ein zu einfaches Passwort für ihren Zugang zum WordPress-Backend. Das macht es Hackern leicht, sich durch das Erraten des Passworts Zugang zum Backend zu verschaffen und im schlimmsten Fall die Website zu übernehmen.

Was kann man also tun, um das Anmeldeformular sicher zu machen?

WordPress Website auf HTTPS umstellen

Die Kommunikation zwischen Webserver und Browser findet über das Hypertext Transfer Protocol (HTTP) statt. Während beim veralteten HTTP alle Daten im Klartext übertragen werden, sind sie bei der Verwendung von HTTPS verschlüsselt und werden abhörsicher übertragen. Ob eine verschlüsselte Verbindung besteht, erkennt man an einem (grünen) Schlosssymbol und ggf. dem Zusatz “https://” in der Adresszeile des Browsers.

Kommentar zum MailPoet-Sucuri-Dilemma

Worum geht’s?

Am 01. Juli 2014 veröffentlichte das MailPoet-Team die Version 2.6.7 ihres Newsletter-Plugins, welche eine schwere Sicherheitslücke schloss. Am gleichen Tag veröffentlichte das Web-Sicherheitsunternehmen Sucuri in einem Blogbeitrag umfangreiche, wenn auch nicht detaillierte Informationen über die Sicherheitslücke. Vorausgegangen waren die Entdeckung der Sicherheitslücke durch Sucuri am 16. Juni 2014 und die umgehende Mitteilung an MailPoet.

Was geschah dann?

Lesetipp: WordPress absichern – Umfangreiche Artikelserie von Mike Kuketz

PabstWP Beitragsbild WordPress Sicherheit

Sicherheit erlangt man nicht zwingend durch die Installation unzähliger Security Plugins, sondern durch eine saubere Konfiguration, stetige Updates und gesunden Menschenverstand.

Mike Kuketz hat in seinem IT-Security Blog eine 3-teilige Artikelserie zum Thema WordPress & Sicherheit veröffentlicht. In den sehr ausführlichen Artikeln geht es darum, welche Sicherheitsrisiken es gibt, mit welchen Maßnahmen man WordPress und seine Webhosting-Umgebung absichern kann und welche WordPress-Plugins dabei helfen können. Dabei betrachtet Mike gerade die populären Security-Plugins kritisch und zeigt auf, welche Features nur scheinbar oder auch gar nicht die Sicherheit einer WordPress-Installation erhöhen. Ich finde die Artikelserie sehr gelungen und möchte sie hier gern allen empfehlen, die eine Website mit WordPress betreiben und umfangreiche Informationen zum Thema WordPress & Sicherheit suchen.

Die Artikel:

Viel Spaß beim Lesen!

Bitte aus Sicherheitsgründen das WordPress.com-Passwort ändern

Am Mittwoch wurden laut einem Blogeintrag von Matt Mullenweg (WordPress-Gründer und Automattic-Chef) die Server von WordPress.com gehackt. Auf diesen Server liegen ca. 18 Millionen Blogs und es könnte sein, dass unter anderem Passwörter ausspioniert worden sind. Daher wird allen WordPress.com-Benutzern empfohlen, ihre Passwörter zu ändern. Für WordPress-Benutzer, die ein selbstgehostetes WordPress-Blog betreiben, stellt dies keine Gefahr dar (Unterschiede WordPress.com und WordPress.org). Wer allerdings die WordPress.com Stats verwendet, hat somit auch einen WordPress.com-Account und sollte in jeden Fall dort sein Passwort ändern.

Ein sicheres Passwort sollte übrigens

  • mindestens 10 Zeichen haben
  • aus großen und kleinen Buchstaben, Zahlen und Sonderzeichen bestehen
  • nur für einen Account verwendet werden
  • regelmäßig geändert werden.

Mit Tools wie 1Password kann man leicht viele Passwörter verwalten ohne sie sich merken zu müssen.

Fragen beantworte ich gern in den Kommentaren.