Mit dieser Frage begab ich mich heute auf den Weg ins Internet. Ich meine wir wissen, dass jeder Rechner der ins Internet geht, zumindest einen Virenscanner an Bord haben sollte und im besten Fall eine Firewall, aber wie schütze ich am besten meinen Blog, bei sicherheitstechnischen Fragen?

Einen Hackerangriff auf die Homepage, das wünsche ich noch nicht mal meinem ärgsten Feind. Vor zwei Jahren, als ich noch mit dem CMS – System PHPKIT meine Homepage betrieb, hatte sich ein Hacker, durch eine bekannte Sicherheitslücke, Zugriff zu meinem System verschafft. Er hatte mein Admin Passwort rausbekommen und mich kurzhand mittels Änderung desselbigen, ausgesperrt. Nach zwei Stunden Diskussion mit meinem Dienstleister, hatte der das System mit einem Masterpassword wieder geöffnet. Allerdings denke ich heute, hätte ich die Seite einfach abschreiben sollen.

Ich kann den Schaden, den der Hacker in kürzester Zeit angerichtetet hatte, gar nicht in Worte fassen. Alle Artikel mehr oder minder gelöscht, die Themes verhauen, durch neues Coding, was er implementiert hatte, usw. Kurz gesagt, total im Ar… !

Über die Motivation der Hacker läßt sich reichlich spekulieren und leider, wenn man einem solchen Angriff mal zum Opfer gefallen ist, bringt das einen auch nicht wieder auf bessere Gedanken. Aus diesem Grund sei jedem Admin geraten, regelmäßige Backups, von Datenbanken und den Dateien zu ziehen. Wer sich hierüber noch keine Gedanken gemacht hat, hier ein kleiner Denkanstoss!

Mir ging es aber auch um generelle Sicherheitsfragen, z.B. ist mein Passwort sicher genug, welche Zugriffsrechte, sollte ich auf den Ordner des FTP einrichten, habe ich alle möglichen Sicherheitslücken, die in meiner Verantwortung als Admin liegen, geschlossen?

Also habe ich mich heute auf den Weg gemacht und ein Tool gefunden, dass den oben genannten Ansprüche, absolut genügt: WP Security Scan

Mein Eindruck

1. Installation:

   Wie bei den meisten Plugins gestaltet sich die Installation auch hier sehr einfach: Über FTP hochladen und in den Einstellungen für Plugins aktivieren. Fertig!

2. Erscheinungbild:

   Es erscheint auf der linken Seite des Admincontents ein neuer Layer mit Namen “Security”. Wenn man hier draufklickt, bekommt man eine übersichtliche Aufstellung der eventuellen Einstiegspunkte für Hacker.

1. Allgemeine Übersicht:

   Hier wird eine allgemeine Übersicht, über gängige Fehler bei der Installation von WordPress in sicherheitstechnischer Hinsicht, gegeben. Zum Beispiel, den User Admin umbenennen. Aber auch das Prefix für die Datenbank Tabellen wird hier geprüft.

2. Scanner:

   Mit Hilfe des Scanners werden die Schreibrechte auf den einzelnen Ordnern geprüft und mittels Farbe (rot/grün) als kritisch oder unkritisch markiert.

3. Password Tool:

   Hier wird die Stärke eures Passwortes gemessen. Soll heißen, wie leicht ist dieses Passwort zu ermitteln. Außerdem wird ein Vorschlag gemacht, wie ein sicheres Passwort aussehen kann, was von Hackern nicht so schnell ermittelt werden kann.

4. Database:

   Hier wird ein Tool angeboten, mit dessen Hilfe das Prefix der Datenbank Tabellen geändert werden kann. Vorher natürlich die Datenbank sichern.

5. Support:

   Hier werden die Punkte Changelog, Documentation, Change WordPress Databse Table Name Prefix genauer abgehandelt und es gibt die Möglichkeit Anmerkungen zu dem Plugin zu machen.

3. Zusammenfassung:

   Dieses Plugin ist genau das was ich gesucht habe. Dem Admin werden klassische Sicherheitslücken, leicht verständlich erklärt und auch eine Lösungsmöglichkeit direkt an die Hand gegeben, die leicht umzusetzen sind.

Ich kann euch nur empfehlen, dieses Tool einfach mal auszuprobieren. Der Plugin WP Security Scan kann hier gedownloadet werden.

Wie schützt ihr eigentlich euer System vor Hackern und welche Erfahrungen habt ihr mit eurem System gemacht?