Malware-Angriffe auf WordPress abwehren

Leider kommt es immer häufiger vor, dass WordPress-Installationen von Malware angegriffen werden. “Blackhole Exploit Kit” oder “Live Security Platinum” heißen die wenig verheißungsvollen Kameraden, die uns Entwickler herausfordern und unsere Kunden zu kostenproduzierenden Maßnahmen zwingt. Leider gibt es auch kein Patentrezept, denn es ist immer eine Summe von Faktoren, die hier reinspielen können. Aber es gibt ein paar wichtige Tipps, wie man den Gefahren begegnen kann:

  1. Updates installieren: Die WordPress-Entwickler sind selbstverständlich darauf bedacht, ihr System möglichst ohne Sicherheitslücken auszuliefern. Da Malware-Attacken aber auch ein permanentes Katz- und Mausspiel zwischen Gut und Böse darstellt, ist das auch ein endloser Entwicklungsprozess. WordPress bietet ja Updates per Mausklick an – selbiges gilt in der Regel auch für Plugins -, doch Anpassungen in den Core-Dateien gehen dann verloren.
  2. Bei Infektionen: Hilfreich sind Seiten wie Sucuri SiteCheck oder Unmask Parasites, mit denen der Provider-Server auf alle wichtigen Faktoren analysiert werden kann. Ansonsten Backup vom Server erstellen und lokal mit einem Virenscanner prüfen, die Daten auf dem Server komplett löschen und neu aufspielen.
  3. Gegen Zugriffe absichern: hier sind insbesondere folgende Maßnahmen zu nennen: a) wp-config.php mit schwer identifizierbaren Schlüsselphrasen ausstatten, die eventuell bei Upgrades nicht berücksichtigt und auch generell manuell eingepflegt werden müssen (s.a.: WordPress-Upgrade-Hinweise, b) Passworte der Benutzer und der Datenbank erneuern, c) regelmäßig das ftp-Passwort ändern
  4. Augen offen halten: die genannten Maßnahmen sind bestenfalls Basics in einem Prozess, der alle unnötig bindet. Dennoch im Zweifelsfall weiter suchen nach Ursachen und Möglichkeiten des Schutzes

Update Sommer 2013: Mike Kuketz hat eine Serie begonnen, die umfangreich die möglichen Maßnahmen beschreiben, die man ergreifen kann: WordPress absichern!.