Schützen Sie Ihre WordPress-Website vor Ransomware

WordPress ist das beliebteste CMS der Welt. Und obwohl dies normalerweise eine gute Sache ist, kann es WordPress auch zu einem Ziel für bösartige Software machen, die eine große Reichweite anstrebt.

Da Cyberangriffe im Laufe der Jahre immer größer und skalierbarer geworden sind, ist es leider auf lange Sicht oft nicht die Frage, ob, sondern wann Online-Unternehmen angegriffen werden. Und die viel beachteten Erfolge der jüngsten Ransomware-Angriffe bedeuten, dass sich dieser Trend wahrscheinlich fortsetzen wird.

Abgesehen davon gibt es viele Schritte, die Sie unternehmen können, um Ihre Website weniger anfällig für häufige Angriffe zu machen.

Das Risiko verstehen

Ransomware ist Software, die ein Angreifer entweder auf Ihrem Server oder Ihrem Computer installiert, nachdem er sich mithilfe eines Exploits Zugriff verschafft hat. Nach der Installation wird die Software oft automatisch ausgeführt, entweder sofort oder nachdem sie eine Weile inaktiv war.

Bis vor ein paar Jahren zielten Ransomware-Angriffe in der Regel auf Windows-Workstations ab. 2017 verzeichneten Analysten jedoch einen Anstieg von Angriffen auf WordPress-Websites.

Sobald die Software ausgeführt wurde, verwendet Ransomware eine leistungsstarke Verschlüsselung, um alle Ihre Dateien zu sperren und Ihnen den Zugriff zu verweigern. Was Ihnen stattdessen bleibt, ist eine Schnittstelle, die eine Lösegeldzahlung verlangt – normalerweise in nicht nachvollziehbaren Bitcoins – um die Dateien freizuschalten.

Das Lösegeld bezahlen

Eine Reihe hochkarätiger Unternehmen und sogar Städte waren in den letzten Jahren auf der ganzen Welt betroffen. Im Juni zahlte Lake City in Florida 500.000 Dollar Lösegeld an Hacker, die die Kontrolle über ihre Computersysteme übernommen hatten.

Die Zahlung des Lösegelds ist jedoch keine Garantie dafür, dass die Hacker Ihre Daten entschlüsseln. Und selbst wenn sie es tun, können sie Teile der Software zurücklassen, um Ihre Dateien zu einem späteren Zeitpunkt erneut zu verschlüsseln.

In einigen Fällen erstellt die Software eine .php-Datei, die eine Schnittstelle enthält, die verschlüsselte Dateien entsperren soll. Diese Datei funktioniert jedoch nicht, und selbst wenn Sie Zugriff erhalten, benötigen Sie einen erfahrenen WordPress-Entwickler, um den gesamten fehlerhaften Code zu reparieren.

Halten Sie alles auf dem Laufenden

WordPress und alle Themes und Plugins auf dem neuesten Stand zu halten, ist der einfachste Weg, Ihre Website vor Ransomware zu schützen. Diese Updates enthalten unter anderem die neuesten Sicherheitspatches von Entwicklern.

Hacker suchen ständig nach Schwachstellen, die sie ausnutzen können. Sobald diese identifiziert wurden, veröffentlichen Entwickler Patches, um die Probleme zu beheben. Veraltete Versionen von WordPress stellen eine große Schwachstelle dar, da sie nicht entwickelt wurden, um den neuesten Sicherheitsbedrohungen zu widerstehen.

Sie sollten auch regelmäßig überprüfen, ob Ihre Host-PHP- und MySQL-Versionen auf dem neuesten Stand sind. Eine gute WordPress-Agentur kümmert sich für Sie darum, alles aktuell zu halten, damit Sie sich keine Sorgen machen müssen.

Schutz vor Brute-Force-Angriffen

Ein Brute-Force-Angriff ist, wie der Name schon sagt, ein einfacher Angriff, bei dem ein Bot versucht, sich Zugriff auf Ihre Website zu verschaffen, indem er Hunderte von Benutzernamen- und Passwortkombinationen pro Minute verwendet, bis er es richtig macht.

Die unverblümte Natur dieser Angriffe macht es relativ einfach, sie zu verhindern, indem IP-Adressen gesperrt werden, die mehrmals versuchen, mit falschen Anmeldedaten auf Ihre Website zuzugreifen. Aber ohne diese einfache Schutzebene können Bots kontinuierlich versuchen, sich Zugang zu verschaffen, bis sie erfolgreich sind.

Limit Login Attemp Reloaded ist ein Plugin, mit dem Sie die Anzahl der Anmeldeversuche begrenzen können, sowohl über die Anmeldeseite als auch über Cookies.

Stellen Sie eine starke Zugriffssicherheit ein

So offensichtlich es auch klingen mag, die Verwendung kurzer, erratbarer Wörter – oder, noch schlimmer, „Passwort“ – als Passwort wird Ihre WordPress-Site unglaublich anfällig machen.

Aber auch starke Passwörter, die zu lange oder für zu viele verschiedene Anwendungen verwendet wurden, können angreifbar werden. Wir empfehlen die Verwendung eines Passwortgenerators wie 1Password, um starke, eindeutige Passwörter für jede Anmeldung zu erstellen und sicher zu speichern.

Alternativ können Sie Ihrem WordPress-Login mit Google Authenticator eine 2-Faktor-Authentifizierung hinzufügen. Diese zusätzliche Sicherheitsebene kann für einzelne Benutzer aktiviert werden, sodass weniger privilegierte Benutzerrollen sich weiterhin mit einem Kennwort anmelden können.

Installieren Sie SSL-Zertifikate

SSL-Zertifikate stellen sicher, dass alle Daten, die zwischen Ihrem Computer und Ihrem Browser ausgetauscht werden, verschlüsselt sind, wodurch es für Hacker viel schwieriger wird, die Verbindung abzufangen.

Verwaltete WordPress-Hosting-Anbieter wie WP Engine beinhalten die automatische Installation und Erneuerung von SSL-Zertifikaten in allen ihren Hosting-Plänen.

Ändern Sie das WordPress-Datenbankpräfix

WordPress verwendet ein Standard-Datenbankpräfix, und die Verwendung dieses Präfixes macht Ihre Website anfällig für SQL-Injection-Angriffe. Dies kann verhindert werden, indem das standardmäßige wp-Präfix in ein anderes Wort geändert wird.

Wenn Sie WordPress bereits mit dem Standardpräfix installiert haben, machen Sie sich keine Sorgen. Es gibt eine Reihe von Plugins, mit denen Sie es noch ändern können – stellen Sie nur sicher, dass Sie zuerst alles sichern, falls etwas schief geht.

Deaktivieren Sie die Dateibearbeitung

Wenn es Hackern gelungen ist, sich Zugriff auf Ihr WordPress-Admin-Dashboard zu verschaffen, können sie alle Dateien bearbeiten, die Teil Ihrer WordPress-Installation sind.

Die Einrichtung einer starken Zugriffssicherheit ist daher die erste Verteidigungslinie. Durch das Deaktivieren der Dateibearbeitung können Hacker jedoch keine Ihrer Dateien ändern, selbst wenn sie Zugriff auf Ihr Dashboard erhalten.

Dies geschieht, indem die Datei theme-editor.php vollständig eingeschränkt und die Option Theme Editing aus dem CMS entfernt wird.

Zusätzliche Maßnahmen

Zusätzliche Sicherheitsmaßnahmen umfassen das Befolgen der Best-Practice-Entwicklungsrichtlinien, die im WordPress-Codex beschrieben sind. Idealerweise sollten Sie auch eine Peer-Review Ihres Codes durchführen, da dies zur Verbesserung der Gesamtqualität beiträgt und übersehene Fehler oder Schwachstellen ausmerzen kann.

Sie sollten auch überprüfen, ob alle Formulare auf Ihrer Website gegen SQL-Injections und Cross-Site-Scripting geschützt sind, und XMLRPC deaktivieren.

Eine einfache Möglichkeit, die Zugriffssicherheit zu verbessern, besteht darin, Hacker daran zu hindern, Ihre Benutzernamen zu erfahren, da sie dann nur Ihre Passwörter finden müssen, um Zugriff zu erhalten. Sie können dies tun, indem Sie den Benutzer mit dem Namen „admin“ löschen und die WP-JSON-Standardendpunkte einschränken, um alle anderen Benutzernamen auszublenden.

Sie können Ihrem Server auch eine zusätzliche Sicherheitsebene bieten, indem Sie eine Anwendung wie Sucuri ausführen, die kontinuierlich nach Schwachstellen sucht.

Sichern Sie Ihre Website regelmäßig

Einer der Hauptgründe, warum so viele Unternehmen Hackern das Lösegeld zahlen, ist, dass sie keine guten Backups hatten, was bedeutet, dass die Kosten für das Lösegeld geringer sein würden als der Verlust all ihrer Daten.

Und bei Backups gilt: Je mehr Sie haben, desto besser. Ransomware-Angriffe können auch Ihre Backups verschlüsseln, wenn diese auf einem lokalen Laufwerk gespeichert sind. Sie können Ihre Daten auf dem Server sichern, aber externe Sicherungen, die an einem separaten Ort gespeichert werden, sind noch sicherer.

Verwaltete WordPress-Hosts bieten normalerweise serverseitige Backups als Teil ihrer Hosting-Pläne an.

Fazit

Auch wenn Sie möglicherweise nicht alle Angriffe endgültig stoppen können – insbesondere wenn Ihr Unternehmen ins Visier genommen wird –, gibt es eine Reihe von Maßnahmen, die Sie ergreifen können, um sicherzustellen, dass Ihre Website nicht zur leichten Beute für Hacker wird.

Das Ausmaß und die Raffinesse von Ransomware nehmen ständig zu, aber Hacker sind – wie die meisten Kriminellen – auch Opportunisten, und sicherzustellen, dass Ihre Website weniger anfällig ist als die meisten anderen, ist immer noch der beste Weg, um Ihre Daten zu schützen.

Wenn Sie die Sicherheit Ihrer WordPress-Website besprechen möchten und wie sie verbessert werden kann, setzen Sie sich bitte mit uns in Verbindung.