WordPress sicherer machen – Darauf solltest du achten

WordPress absichern

WordPress absichern

WordPress ist das mit Abstand weltweit beliebteste CMS. Für kein System gibt es mehr Themes, Plugins und letztlich Designer bzw. Entwickler. Allen Nutzern von WordPress dürften die Vorteile hinreichend bekannt sein. Doch die immense Verbreitung von WordPress bringt neben den Vorteilen auch gewisse Risiken mit sich. Bei schlecht abgesicherten Systemen haben Hacker leichtes Spiel und beim Einsatz von unterschiedlichsten Plugins, können gerne auch mal Kompatibilitätsprobleme entstehen. In vielen Fällen kann es dazu führen, dass die Website nicht mehr erreichbar ist und somit erhebliche Kosten entstehen. In diesem Artikel zeigen wir, wie man mit wenigen Handgriffen eine WordPress-Website schützen kann.

Regelmäßige Updates sind obligatorisch!

Die erste Regel für WordPress lautet: Halte WordPress und die verwendeten Plugins immer auf dem neuesten Stand. Standardmäßig installiert WordPress kleinere Updates selbstständig. Für größere Versionsupdates muss man selbst Hand anlegen. Das gilt auch für Themes und Plugins. Diese Updates müssen auch manuell angestoßen werden.

Durch regelmäßige Updates werden nicht nur Sicherheitslücken geschlossen, sondern auch die Kompatibilität des Systems gewährleistet. Zusätzlich sollten auch PHP und MySQL regelmäßig aktualisiert werden, da veraltete Versionen dieser Software ebenfalls Sicherheitsrisiken darstellen können.

Updates für WordPress, Themes und Plugins werden nicht selten sogar täglich bereitgestellt. Wem das zu aktig ist, kann diesen Prozess einfach auslagern und einen Webdesigner, bzw. eine Webagentur mit der WordPress-Wartung beauftragen.

wordpress kompromittiert wird FJORD3 - Webagentur Kiel
Wie WordPress kompromittiert wird (Bildquelle: Wordfence)

Plugins stellen von allen Quellen das größte Risiko und machen den Großteil der WordPress-Hacks aus. Eine Wordfence-Studie ergab, dass Plugins 55,9% aller bekannten Schwachstellen ausmachen.

Sichere Passwörter verwenden

Man kann es einfach nicht oft genug sagen, denn auch heute noch werden oftmals viel zu einfache Passwörter verwendet. Alles, was leicht zu merken ist, ist leider auch leicht zu knacken. Deshalb sollte man für ein vernünftiges Passwort aus Buchstaben, Zahlen, Sonderzeichen und Groß- und Kleinschreibung sorgen. Ein wirklich sicheres Passwort sollte schon aus mindestens 16 Zeichen bestehen. Merken kann man sich das nicht mehr, aber es gibt ja Passwortmanager oder die entsprechenden Funktionen im Webbrowser.

Passwort-Generator (externer Link)

Auch mit Passwortmanagern kann man sichere Passwörter generieren. Überhaupt sollte man Passwörter generell nur in solchen Programmen bzw. Apps speichern, die die Passwörter verschlüsselt ablegen und die sich mit einem Masterpasswort schützen lassen.

Zu simple Passwörter können durch sogenannten Brute-Force-Angriffe geknackt werden. Hierbei werden tausende Variationen von Benutzernamen und Passwort automatisiert ausprobiert.

Regelmäßifge Backups

Nicht nur sinnvoll bei Hackerangriffen, sondern auch bei Bedienungsfehlern oder anderen Problemen, die immer mal auftreten können. Eine gehackte Seite oder eine defekte Datenbank stellen ein viel geringeres Problem dar, wenn man über ein AKTUELLES Backup der Website verfügt. Im Idealfall befindet sich ein zusätzliches Backup auf einem anderen Server. Die aktuellsten Backups nützen nämlich nichts, wenn jemand versehentlich den Hoster kündigt oder es ein Problem mit dem Server selbst gibt. Die ist leider alles schon vorgekommen.

Bei einem guten Webhoster lassen sich fortlaufende Backups konfigurieren. Außerdem gibt es zahlreiche Plugins, die diesen Job ebenfalls übernehmen können. Dazu empfehlen sich die Plugins UpdraftPlus und WP STAGING

Auch hier gilt wieder, wer darauf keine Lust hat, überlässt diesen Job lieber einem Webdesigner oder einer Webagentur, die eine WordPress-Wartung anbieten.

Den Admin-Bereich von WordPress absichern

„admin“als Benutzername vermeiden!

Der Admin-Benutzername sollte besser nicht admin, wp_admin, root oder Administrator heißen. Falls dies der Fall ist, solltest du das ändern. Es ist allerdings anzumerken, dass es dennoch möglich ist, den Benutzernamen bei einem gezielten Angriff ausfindig zu machen. Diese Maßnahme stellt somit einen von möglichst vielen Stolpersteinen gegenüber Bots, etc. dar.

Login-URL ändern

Die Login-URL bei WordPress ist standardmäßig www.deinedomain.de/wp-admin/. Danach suchen Hacker natürlich als erstes. Mit Hilfe des Plugins WPS Hide Login beispielsweise lässt sich die URL ändern.

Dashboard per .htaccsess sichern

Falls die Seite auf einem Apache-Server gehostet ist, empfiehlt sich die Nutzung eines .htaccess-Schutzes. Damit erschwert man Hackern noch einmal den Zugriff auf die Seite. Dabei wird vor das Login-Formular noch einmal eine Passwortabfrage geschaltet. Das ist in der Praxis etwas umständlich, sorgt jedoch für einen sehr wirkungsvollen Schutz.

Von außen zugängliche WordPress-Dateien

Beliebte Angriffsziele sind hier zum Beispiel die install.php und die wp-config.php. Erhält man Zugriff auf diese Dateien, kann man den Zugang zur Datenbank auslesen und das Spiel ist aus. Es muss also sichergestellt sein, dass die der Webhoster eine sichere Konfiguration des Servers bereitstellt.

Übersicht WordPress absichern

  1. Aktuelle Version verwenden: Stelle sicher, dass du immer die neueste Version von WordPress verwendest. Updates enthalten oft Sicherheitsverbesserungen, die verhindern, dass bekannte Schwachstellen ausgenutzt werden.
  2. Themes und Plugins prüfen: Verwende nur Themes und Plugins aus vertrauenswürdigen Quellen wie dem offiziellen WordPress-Verzeichnis. Überprüfe die Bewertungen, die Anzahl der Installationen und ob das Theme oder Plugin regelmäßig aktualisiert wird.
  3. Regelmäßige Backups: Erstelle regelmäßige Backups deiner Website, damit du im Falle eines Hacks oder einer Beschädigung der Website wiederherstellen kannst.
  4. Sichere Anmeldeinformationen: Verwende starke, einzigartige Passwörter für den WordPress-Admin-Bereich, FTP und Datenbankzugriff. Nutze am besten Passwort-Manager, um komplexe Passwörter zu verwalten.
  5. Limitiere Anmeldeversuche: Begrenze die Anzahl der Anmeldeversuche für den WordPress-Admin-Bereich, um Brute-Force-Angriffe zu erschweren.
  6. Zwei-Faktor-Authentifizierung (2FA): Implementiere die 2FA, um ein zusätzliches Sicherheitsniveau für den Anmeldevorgang hinzuzufügen.
  7. Dateiberechtigungen überprüfen: Stelle sicher, dass Dateiberechtigungen angemessen gesetzt sind, um unberechtigten Zugriff zu verhindern.
  8. SSL-Zertifikat: Installiere ein SSL-Zertifikat, um die Kommunikation zwischen dem Server und den Benutzern zu verschlüsseln und so Daten abzusichern.
  9. Admin-Benutzername ändern: Vermeide es, den Standard-Benutzernamen „admin“ zu verwenden, da dies Angreifern das Eindringen erleichtern könnte. Erstelle stattdessen einen neuen Benutzer mit Administratorrechten und lösche den Standard-„admin“-Benutzer.
  10. Verwendung von Sicherheits-Plugins: Nutze Sicherheits-Plugins wie Wordfence, Sucuri oder iThemes Security, um deine Website proaktiv zu schützen und auf potenzielle Bedrohungen zu reagieren.
  11. Verstecke die WordPress-Version: Entferne oder verstecke die WordPress-Version, da ältere Versionen bestimmte Schwachstellen aufweisen können.
  12. Dateiänderungen überwachen: Überwache Änderungen an Dateien auf deiner Website, um unbefugte Modifikationen frühzeitig zu erkennen.
  13. Deaktiviere XML-RPC: In den meisten Fällen ist XML-RPC nicht erforderlich und kann daher deaktiviert werden, um mögliche Angriffsvektoren zu reduzieren.
  14. Verwende Content-Security-Policy (CSP): Implementiere eine Content-Security-Policy, um XSS- und ähnliche Angriffe einzudämmen.
  15. Schütze die wp-config.php: Schütze deine wp-config.php-Datei durch entsprechende Zugriffsrechte.

Diese Maßnahmen helfen, die Sicherheit deiner WordPress-Website deutlich zu verbessern. Kein System ist jedoch vollständig immun gegen Angriffe, daher ist es wichtig, regelmäßig auf Sicherheitsupdates zu achten und auf dem neuesten Stand zu bleiben.

Wenn du die Zeit für diese Maßnahmen nicht aufbringen kannst, solltest du dir überlegen, jemanden mit der Wartung deiner WordPress-Website oder deines WooCommerce-Shops zu beauftragen.

Das könnte auch interessant sein

Webagentur Kiel

Handwerker: 5 Tipps für mehr Kunden mit Deiner Website

Die Zeiten haben sich geändert Die letzten Jahre waren für viele Handwerksbetriebe umsatzmäßig ein Segen und einige hatten das Gefühl, dass die Aufträge ganz von alleine reinkamen. Gebaut oder umgebaut wurde gefühlt an jeder Ecke. Die einzige Herausforderung bestand...
Shopware vs. WooCommerce

Shopware vs. WooCommerce

Shopware vs. WooCommerce - Welche Plattform ist die bessere Wahl? Beide Shop-Plattformen, Shopware 6 und WooCommerce, sind beliebte E-Commerce-Lösungen, die jeweils ihre Vor- und Nachteile haben. Die Entscheidung hängt also viel mehr von den individuellen...
online marketing corona blog FJORD3 - Webagentur Kiel

Website und Onlineshop während der Krise

Wie stelle ich mein Online Marketing am besten auf? Die Umstände der aktuellen Corona-Pandemie stellen uns alle vor ungeahnte Herausforderungen und haben unser gesellschaftliches Geschehen fest im Griff. Einzelhändler, Restaurants und andere betroffene versuchen über...
typo3 vs wordpress

TYPO3 vs. WordPress – Welches ist das bessere CMS für unsere Website?

TYPO3 vs. WordPress Wer sich mit dieser Frage beschäftigt, betreibt entweder bereits eine „herangereifte“ Website oder möchte mit einem ganz neuen Online-Projekt beginnen. In beiden Fällen konkretisieren sich die Anforderungen. Klar ist, dass die neue Website mehr...
Content Marketing

Ein gutes Bauchgefühl – Content-Marketing im Kaufprozess

Emotional vs. rational Reine Werbebotschaften, die Konsumenten und Einkäufer von der Großartigkeit der umworbenen Produkte und Dienstleistungen überzeugen sollen, haben es heute immer schwerer. Doch wer das Werbeversprechen durch harte Fakten ergänzt, sollte doch auf...