Wie Du Deine WordPress-Webseite(n) bzw. Dein Benutzerkonto innerhalb des Netzwerks vor unliebsamen Gästen schützt!
Weitere Themen: Allgemeines FAQ | Erste Schritte | Werkstatt & Veranstaltungen | Sicherheit | Themes & Plugins | Materialien | Suchmaschinenoptimierung | Bildbearbeitung | Shop einrichten | Gutenberg-Editor | Barrierefreie Webseiten | Fehlermeldungen | Netzwerk verlassen | Projektkosten & Crowdfunding | Projekt unterstützen |
Sicherheit spielt ganz Allgemein im Internet eine enorm große Rolle. Vieles von dem, was im Internet geschieht, bemerken wir gar nicht. Im Falle von WordPress gilt dies in besonderem Maße, denn viele haben sich aufgrund der Verbreitung des Content Management Systems darauf spezialisiert, Sicherheitslücken auszunutzen und WordPress-Webseiten zu kapern, um sie für ihre Zwecke zu missbrauchen (Malware etc.).
Da wir WordPress gemeinschaftlich in einem Netzwerk nutzen, bist auch Du dafür mitverantworlich, dass Deine Webseite nicht Opfer eines Angriffs wird. Was Du dafür tun kannst, zeigen wir Dir in diesem Sicherheits-FAQ.
Um einige sicherheitsrelevanten Maßnahmen musst Du Dich glücklicherweise nicht bemühen, weil wir natürlich alles tun was in unserer Macht steht, um das Netzwerk zu schützen. Dazu gehört u.a.:
- WordPress Aktualisierungen
Wir spielen zeitnah alle WordPress-Updates ein und kümmern uns darum, dass die Themes & Plugins auf dem aktuellen Stand sind. Veraltete Themes & Plugins entfernen wird und teilen Dir mit, falls eine solche Maßnahme notwendig sein sollte.
Hierbei kann es auch zu Störungen kommen, da nicht immer alle Themes & Plugins auf die aktuelle WordPress-Version abgestimmt sind. Darüber hinaus kommt es bei Aktualisierungen immer zu einer Nichverfügbarkeit Deiner Webseite und es wird für diese Zeit ein Wartungsmodus aktiviert sein. Wir versuchen, die Updates i.d.R. in der Nacht einzuspielen. Eine gesonderte Ankündigung versenden wir aber nur dann, wenn zu erwarten ist, dass die Maßnahmen länger als zwei Stunden beanspruchen werden. Normalerweise dauert eine Aktualisierung weniger als 10 Minuten. - Verschlüsselung Deiner Domain(s)/Subdomain(s)
Wir verschlüsseln alle Subdomains deinendomain.onic.eu mit einem Wildcard Zertifikat von Comodo. Zusätzlich verschlüsseln wir auch Deine registrierten Domains mit einem kostenlosen Lets Encrypt Zertifikat ein (Du kannst natürlich für Deine Domain(s) auch ein kostenpflichtiges validiertes Zertifikat erwerben s. Chrome macht HTTPS zur Pflicht) - Child-Themes
Alle zur Verfügung stehenden Designvorlagen werden in Form eines Child-Themes im Netzwerk zur Verfügung gestellt. Die Child-Themes sind so konzipiert, dass die XMLRCP-Schnittstelle von WordPress ausgeschaltet ist, die Versionsnummer von WordPress im Quelltext sowie in der style.css und in Javascript nicht mehr ausgegeben wird. - Verzeichnisschutz
Stellen wir fest, dass auf bestimmten Webseiten zu viele unerlaubte Anmeldeversuche unternommen werden, bieten wir Dir an, einen serverseitigen Verzeichnisschutz für Deine WordPress-Administrationoberfläche einzurichten. - Backups / Datensicherung
Von allen Serverdaten steht ein tägliches Backup zur Verfügung und falls es schwerwiegende Probleme geben sollte, können wir das Backup für das gesamte Netzwerk oder auch nur für Teile davon wieder einspielen. Zudem sichern wir monatlich die gesamte WordPress-Instanz lokal.
Siehe auch: 4. Wie kann ich meine WordPress-Seite sichern? - Datenschutz
Alle Child-Themes sind in der function.php so eingerichtet, dass bei der Kommentierung alle IP-Adressen von Nutzer*innen anonymisiert (s. WordPress: IP-Adresse der Kommentatoren anonymisieren) werden und die Cookie-Anzeige deaktiviert ist (s. Cookie-Consent Anzeige loswerden)
Für allgemeine Informationen zum Thema Sicherheit, empfehlen wir Dir den Blog von Mike Kuketz, der auch immer wieder Hinweise und Hilfestellungen zum Thema WordPress-Sicherheit gibt.
Um Dein Benutzerkonto und Deine WordPress-Webseite zu vor Angreifer*innen zu schützen, solltest Du für Deine Benutzerkonten sichere Passwörter verwenden. Empfohlen werden i.d.R. 16-stellige Passwörter unter Verwendung von Buchstaben (groß/klein), Zahlen und Sonderzeichen. Auch wenn wir es nicht für unbedingt erforderlich halten, dass Dein Passwort 16-stellig ist, sollte es doch die Länge und Struktur haben, die von WordPress selbst empfohlen wird.
Wenn Du Dich in Dein Profil (Profil bearbeiten/Benutzer -> Alle Benutzer -> Bearbeiten) begibst, kannst Du Dein bestehendes Passwort ändern. Klickst Du auf
Neues Passwort -> Passwort generieren
erhältst Du ein neu generiertes sicheres Passwort.
Da man sich solche Passwörter nur sehr schwer merken kann, empfehlen wir Dir die Verwendung eines Passwortmanagers (wie z.B. keepassx), den Du mit den gängigen Betriebssystemen (GNU/Linux, MacOS, Windows) verwenden kannst. Hiermit es es dann möglich seine unterschiedlichen Online-Konten und die dazugehörigen Passwörter zu verwalten.
Solltest Du ein Online-Tagebuch/Blog betreiben, dann empfehlen wir Dir, ein weiteres Benutzerkonto anzulegen und mit diesem Konto Deine Beiträge zu veröffentlichen. Auch wenn Du innerhalb des onic-Netzwerks keine Super-Adminrechte besitzt, ist es ärgerlich, wenn jemand in Deiner/n Webseite/n mit allen Rechten herumfuhrwerken kann.
Du kannst neue Benutzer*innen über BENUTZER -> Neu hinzufügen einrichten. Diesem neuen Account gibst Du Autorenrechte. Dieses Konto verwendest Du, um Deine Beiträge zu veröffentlichen. Dabei musst Du Dich aber nicht mit dem neuen Autorenkonto anmelden. Du musst nur daran denken, dass Du beim Veröffentlichen den Benutzer zu wechseln.
Beim Erstellen von Beiträgen, kannst Du Dir über das Menü ANSICHT ANPASSEN (oben rechts) das Autorenwidget zur Beitragsansicht hinzufügen.
Solltest Du einmal vergessen, den Autoren/Autorin zu wechseln, kannst Du dies in der Beitragsverwaltung (BEITRÄGE -> Alle Beiträge) überprüfen und auch ändern. In der Übersicht wird Dir angezeigt, mit welchen Benutzerkonten Du Deine Beiträge erstellt hast s. Spalte Autor). Solltest Du einmal versehentlich Deine Beiträge mit dem falschen Benutzerkonto veröffentlicht haben, kannst Du mit QUICK EDIT oder der MEHRFACHAKTION -> Bearbeiten Deine Beiträge verändern.
Folgende Plugins stehen dir zur Verfügung und in den Unterpunkten 3a. bis d. werden wir Dir zeigen, wie Du diese Plugins einrichtest, nutzt und was Du dabei beachten musst.
- WPS-Hide-Login - mit diesem Plugin kannst Du sehr einfach Deine Anmeldeseite (/wp-admin) verstecken.
- Stop Spammers - ist ein extrem wirksames Plugin gegen Spam und unerlaubte Anmeldeversuche mit vielen Einstellungsmöglichkeiten und Analysen von Angriffen. Besonders ist, dass man seine Nutzer*innen und sich selbst nicht mit Captcha-Codes auf die Nerven gehen muss.
Die Verwendung dieses Plugisn ist sehr einfach und Du kannst einfach den folgenden Schritten folgen. Vorsicht ist geboten, wenn man einen falschen Link setzt (Sonderzeichen sind verboten) oder den Link vergisst.
- Gehe zu Plugins > Installierte Plugins.
- Suche nach WPS Hide Login.
- Aktiviere das Plugin.
- Nachdem Du es aktiviert hast, ändert sich dein Anmeldelink von /wp-admin auf /login.
- Um die Anmeldeseite /login zu verändern, gehe zu EINSTELUNGEN › Allgemein/WPS Hide Login. Im unteren Bereich der Seite befindet sich der Abschnitt
WPS Hide Login und Du kannst einen andere Linkadresse eingeben (WICHTIG: verwende keine Sonderzeichen und merke Dir den Loginlink gut).
ACHTUNG! Solltest Du den Link zur Anmeldeseite vergessen oder ein Sonderzeichen verwendet haben, kannst Du Dich nicht mehr auf Deiner Seite anmelden. In diesem Fall musst Du Dich bei uns melden. Wir müssen das Plugin dann kurzfristig deaktivieren und dann kannst Du Dir den Link neu einrichten. Also bitte nicht vergessen und auch Sonderzeichen nicht verwenden.
Das Stop Spammers Plugin ist ein sehr wirksames Werkzeug, um nicht nur Spam und Anmeldeversuche zu verhindern, sondern auch, um zu sehen, wer die eigene Webseite angreift und wie oft dies getan wird. Du kannst Dir mit diesem Plugin einen sehr guten Überblick verschaffen, was auf Deiner Webseite so los ist. Wir empfehlen Dir, das Plugin zu aktivieren.
Der Funktionsumfang ist zwar sehr groß und man muss ein paar kleinere Einstellungen vornehmen, aber es ist sehr zuverlässig und hilfreich. Stop Spammers kann z.B. auch auf die Akismet-Datenbank zugreifen, um Spam und Angriffe zu verhindern. Dies ist nach europäischem Datenschutzrecht nur mit einem Hinweis in der jeweiligen Erklärung erlaubt, aber man kann diese Funktion auch deaktivieren und das Plugin erfüllt dennoch seinen Zweck.
In den FAQs werden viele Fragen in englischer Sprache beantwortet und wir empfehlen dort mal vorbeizuschauen. Verwende das Plugin am besten nicht mit anderen AntiSpam-Werkzeugen (wie z.B. AntiSpam Bee oder Cerber).
Um das Plugin zu aktivieren, musst Du Dich nur zu PLUGINS -> Installierte Plugins zu begeben, nach Stop Spammers suchen und das Plugin aktivieren. Es befindet sich dann als Menüpunkt STOP SPAMMERS in der linken Menüleiste. Das Plugin gliedert sich in folgende Abschnitte:
- Summery - Überblick der Angriffe
- Protection Options - Eistellungen zum Schutz vor Spam und Angriffe
- Allow Lists
- Block Lists
- Challenge & Deny
- Allow Request
- Web Services
- Cache
- Log Report
- Diagnostics
- Beta: DB Cleanup
- Beta: Treat scan
- Network
1. Summery
Im ersten Abschnitt findest Du eine Übersicht über evtl. Loginattacken und Spamkommentare. Du kannst die Anzahl (grüne Zahl - hier 18) und auch die Zusammenfassung (Clear Summery) von Zeit zu Zeit löschen. Du kannst Dir damit einen Überblick verschaffen, in welchem Zeitraum du wie viele Spammer auf Deiner Website zu schaffen gemacht haben.
Solltest Du bemerken, dass regelmäßig pro Tag mehr als 10-30 fehlgeschlagene Anmeldeversuche auf Deiner Webseite stattfinden,
melde Dich bitte bei uns, damit wir für Deine Administrationsoberfläche einen zusätzlichen serverseitigen Verzeichnisschutz einrichten.
2. Protection Options
Only Use the Plugin for Standard WordPress Form
Diese Option wirkt sich aus, wenn jemand ein Formular ausfüllt und auf "Senden" klickt. Das bedeutet, dass alle Formulare auf Deiner Webseite überprüft werden, nicht nur Kommentare und Anmeldungen. Diese Option beschränkt das Plugin auf wp-comments-post.php und wp-login.php. Wpshopgermany und andere Plugins werden nicht überprüft. Verwenden Sie diese Option, wenn Sie eine E-Commerce-Seite oder eine spezialisierte Webseite mit von Stop Spammers blockierten Formularen ausführen. Für den besten Schutz ist diese Option standardmäßig deaktiviert (empfohlen).
Prevent Lockout
Automatically Add Admins to Allow List
Check Credentials on All Login Attempts
Validate Requests
Block Spam Missing the HTTP_ACCEPT Header
Block Invalid HTTP_REFERER
Deny Disposable Email Addresses
Check for Long Emails, Author Name, or Password
Check for Short Emails or Author Name
Check for BBCodes
Check for Quick Responses
Deny 404 Exploit Probing
Deny IPs Detected by Akismet
Check for Exploits
Deny Login Attempts Using 'admin' in Username
Check Against List of Ubiquity-Nobis and Other Spam Server IPs
Check for Major Hosting Companies and Cloud Services
Check for Many Hits in a Short Time
Check for Amazon Cloud
Filter Login Requests
Block Countries
Das Erstellen einer Sicherung Deiner Webseite ist mit WordPress-Bordmitteln sehr einfach möglich. Unter dem Menüpunkt WERKZEUGE -> Daten exportieren findest Du die entsprechende Funktion. Bei einem Export Deiner Webseite werden alle Inhalte in eine sog. Exportdatei gespeichert, die dann in eine andere WordPress-instanz importiert werden können (WERKZEUGE -> Daten importieren). Es ist dadurch sehr leicht möglich, seine Webseite umzuziehen und die Inhalte zu sichern. Der Export beinhaltet den folgenden Content:
- Seiten, Seiteninhalte & Seitenstruktur, Beiträge, Beitragsinhalte, Kategorien & Schlagworte
Dies bedeutet, dass alle Deine Texte & Strukturen in der Exportdatei abgelegt werden und somit gesichert sind. - Menüs
Auch Deine Menüs und die Menüstrukturen werden exportiert. Es ist nach einem Import nur noch erforderlich, die Positionen der Menüs erneut festzulegen. - Widgets
Widgets werden exportiert und müssen meist nur noch einmal Widgets erneut an die richtige Position gelegt werden. - Plugins (Inhalte & Einstellungen)
Die verwendeten Plugins werden nicht in der Exportdatei gespeichert und man muss die ursprünglich verwendeten Plugins bei einem Import vorab installieren & aktivieren. Einstellungen und Inhalte sind in der Exportdatei hinterlegt. - Medienverknüpfungen
Medien werden nur in Form einer Verknüpfung exportiert, d.h. dass die Medien erst beim Importieren in eine neue WordPress-Instanz integriert werden. Dies bedeutet, dass die Ursprungswebseite während eines Imports noch online verfügbar sein muss. Nur unter dieser Voraussetzung können auch die Medien importiert werden. Beschreibungstexte und Alt-Texte sind allerdings in der Exportdatei vorhanden und werden den Medien zugeordnet. Solltest Du eine Sicherung aller Dateien, die Du in Deiner WordPress-Instanz abgelegt hast, benötigen, können wir Dir eine herunterladbaren zip-Datei erstellen und zur Verfügung stellen. Dabei werden allerdings nur die Mediendateien zur Verfügung gestellt und wir müssen ausnahmsweise für diese Arbeit eine Aufwandsentschädigung in Höhe von 25,00 Euro erheben. Wir empfehlen Dir, alle Mediendaten, die Du auf deiner Webseite abgelegt hast, auf einem externen Datenträger zu speichern und dort gut aufzubewahren. Dieses Vorgehen spart Dir Geld, uns viel Zeit und macht eine individuelle serverseitige Datensicherung unnötig.
Ganz allgemein ist zu beachten, dass der Export einer Webseite aus einer Einzelinstallation/Multisite sehr einfach funktioniert. Der Import von Webseiten in das onic-Netzwerk aber nicht ganz unproblematisch ist. Man könnte auch sagen, dass Du aus dem onic-Netzwerk sehr leicht hinaus, aber mit einer bestehenden WordPress-Webseite nicht ganz einfach in das Netzwerk hineinkommst. Hier macht vor allem der Import von Mediendateien der NextGenGallery Probleme.
Gibt es auch Backup-Plugins, die ich nutzen könnte?
Jein. Wir sichern das komplette onic-Netzwerk um ca. 5.00 Uhr morgens und Campusspeicher sichert gegen 1.00 Uhr morgens. Wir können somit alle Inhalte innerhalb eine relativ kurzen Zeitintervalls zurückspielen. (s.o. 0. Was muss ich bei der Nutzung von WordPress im onic-Netzwerk im Hinblick auf die Sicherheit meiner Website(s) beachten?). Leider ist es derzeit nicht möglich seine komplette Webseite inklusive Plugins, Theme und Datenbank zu exportieren. Uns steht nur die Exportfunktion von WordPress zur Verfügung. Im Augenblick können wir Dir keine andere Lösung anbieten und empfehlen Dir deshalb, das Backup auf die oben beschriebene Weise regelmäßig
durchzuführen.