Wie ich im ersten Teil der Beitragsserie “Sicherheit in WordPress” bereits beschrieben habe, ist es absolut notwendig, bestehende Installationen regelmäßig upzudaten. Oder heißt es etwa “zu updaten”? Ich weiß es nicht und es ist auch egal. Wichtig ist nur, dass die Installation jeweils am aktuellen Stand ist. Dann ist WordPress relativ sicher. Relativ? Na ja, es gibt noch einige andere Dinge, die man bedenken sollte: Zum Beispiel die Wahl der richtigen Passwörter.
Die geschätzte Hälfte alles Internauten nutzt das Keyword “123456” um wichtige Dokumente unter Verschluss zu halten. Die andere Hälfte nutzt “qwertz” und der Rest dann wohl das Keyword “keyword”. Besonders einfallsreiche Zeitgenossen vielleicht “Passwort” oder – das sind aber dann nahezu schon Sicherheitsfreaks das Keyword “Passwort1”. Im RealLife wäre die Keywörter “123456” und “qwertz” ungefähr so effizient, als würde man sein Auto in einer belebten Großstadt parken und den Zündschlüssel im Schloss stecken lassen. Und “Passwort1” entspricht dann dem selben Szenario, als würde man den Schlüssel im Handschuhfach ablegen. Häufig – sehr, sehr häufig – passiert nichts. Manchmal aber ist das Auto weg. Dabei wäre es ein Leichtes gewesen den Diebstahl zu verhindern. Im Folgenden daher die goldenen Regeln für Passwörter, die WIRKLICH sicher sind.
Zuvor aber noch ein kleiner Einschub: Wie finden Cyberkriminelle eigentlich das passende Keyword heraus? Da geht niemand zu Ihrer Installation und probiert mal rum. OK, vielleicht macht das Ihr Nachbar, der Sie auspionieren will oder ein missliebiger Bekannter. Echte Cyberkriminelle machen das anders: Sie installieren ein Programm, das WordPressinstallationen (oder andere Systeme) im Web sucht und sobald das Programm eines gefunden hat, probiert es in kürzester Zeit ganze Wörterbücher aus, um den passenden Schlüssel zu finden. Das System heisst: “Brute Force Angriff”. Mehrere 1000 Wörter pro Sekunde werden dann abgefragt und Webseiten, die ein Keyword wie “Hansi23” oder Mickeymaus nutzen, sind schnell geknackt. Hat der Angreifer mal das Keyword des Administrators herausgefunden, hat er praktisch alle Möglichkeiten die Webseite zu nutzen, die Sie auch haben. (Oder in dem Fall vielleicht sogar: Die Sie mal hatten…;) )
OK, wenn man dies weiß, dann kann man die folgenden Regeln relativ leicht umsetzen bzw. versteht, warum sie so wichtig sind:
- Passwörter, dürfen NIE im Wörterbuch stehen. Es dürfen keine Namen oder Geburtsdaten sein
- Passwörter werden am eigenen Computer nie notiert. Besser auch sonst nirgends.
- Das Passwort sollte eine Mischung aus Kleinbuchstaben und Zahlen sein, Grossbuchstaben, Kleinbuchstaben und Sonderzeichen wie §, $, % oder & sollten vertreten sein.
- Das Passwort sollte mindestens 8 Zeichen lang sein.
- Nutzen Sie Zufallspasswörter aus einem Passwort-Generator oder (noch besser) nutzen Sie mein einfaches System zur Generierung sicherer Passwörter am Ende des Artikels.
- Speichern Sie niemals Passwörter im Browser auf fremden Rechnern.
- Nutzen Sie nicht ein Passwort für alle Ihre Installationen
- Und last, but not least: Verschicken Sie niemals Nutzname und Passwort und Domain gemeinsam (!) in einer Nachricht per Mail oder Skype. Trennen Sie die Informationen, am besten Sie schicken einen Teil per Mail, den anderen mit einem anderen Medium (Skype, SMS…).
Wer diese einfachen Regeln befolgt, sollte im Web weitestehend sicher sein. Trotzdem gibt es noch immer ein Problem: Sie müßten sich sehr, sehr viele Zufallskombinationen merken, wenn Sie die Passwörter nirgends notieren wollen. Dieses Problem können Sie folgender Maßen umgehen:
Sie nutzen einen Satz, den Sie sich gut merken können, und nehmen dann jeweils den ersten Buchstaben jedes Wortes als Zeichen. Zahlen werden als Zahlen genutzt. Statt Komma und Punkt nutzen Sie ein Sonderzeichen. Das wäre ca. so:
Satz: Ich habe drei Söhne, die immer um 12 Uhr Mittagessen.
Passwort: Ih3S%diu12UM%
Sie können das Passwort noch variieren, indem Sie die ersten drei Buchstaben der Webseite dranhängen um die Schlüsselwörter zu individualisieren. Auf der Webseite www.meineseite.com wäre das Passwort dann: Ih3S%diu12UM%mei