Lektionen5

WordPress-Sicherheit für Foodblogs

Verstehe, warum WordPress-Sicherheit für Foodblogs wichtig ist, welche Angriffsmuster es gibt und wie Passwörter, Benutzerrechte und Backups dich schützen.

0% abgeschlossen

WordPress

Wie WordPress angegriffen wird

Wenn wir bei einem Kundenblog die Login-Logs prüfen, sehen wir fast immer dasselbe Muster: hunderte fehlgeschlagene Login-Versuche mit Benutzernamen wie "admin"...

Noch nicht gestartet

Wenn wir bei einem Kundenblog die Login-Logs prüfen, sehen wir fast immer dasselbe Muster: hunderte fehlgeschlagene Login-Versuche mit Benutzernamen wie "admin", "administrator" oder dem Domain-Namen. Das sind Brute-Force-Attacken, und sie laufen rund um die Uhr.

Die Standard-Login-Seite /wp-login.php ist bei jeder WordPress-Installation identisch. Bots kennen die Adresse und probieren automatisiert Passwort-Listen durch. Bei einem schwachen Passwort dauert es manchmal nur Minuten.

Der häufigste Angriffsvektor sind aber nicht schwache Passwörter, sondern Plugins. Jedes Plugin ist zusätzlicher Code, der Schwachstellen enthalten kann. Wenn ein Plugin-Entwickler eine Sicherheitslücke nicht rechtzeitig schließt oder du ein Update verpasst, steht die Tür offen. Wir haben Fälle gesehen, bei denen ein einziges veraltetes Kontaktformular-Plugin den gesamten Blog kompromittiert hat.

Die häufigsten Angriffswege auf WordPress

XML-RPC ist eine Schnittstelle, die WordPress seit Jahren mitschleppt. Ursprünglich gedacht für externe Blog-Editoren, wird sie heute hauptsächlich für Angriffe missbraucht. Über XML-RPC lassen sich Login-Versuche bündeln, ohne dass die normale Login-Seite beteiligt ist.

Dann gibt es die REST API. Die ist nützlich für moderne Editoren und Apps, aber in der Standardkonfiguration verrät sie die Benutzernamen aller registrierten Nutzer. Ein Angreifer weiß dann schon mal, welche Namen er bei der Brute-Force-Attacke verwenden muss.

Kommentar-Spam klingt harmlos, kann aber Links zu Malware-Seiten einschleusen. Und wenn Google diese Links auf deinem Blog findet, leidet dein Ranking.

Ein wichtiger Punkt: WordPress selbst ist nicht unsicher. Der WordPress-Core wird von einem großen Sicherheitsteam gepflegt und regelmäßig aktualisiert. Die Probleme entstehen fast immer durch veraltete Plugins, schwache Passwörter oder fehlende Konfiguration.

Unser Tipp: Wenn du wissen willst, ob dein Blog gerade angegriffen wird, schau in die Server-Logs oder installiere vorübergehend ein Login-Logging. Die Zahlen sind meistens überraschend hoch, selbst bei kleinen Blogs.

Zurück Weiter

Wenn du diese Lektion gelesen hast, markiere sie als abgeschlossen.