WordPress absichern
WordPress ist das mit Abstand weltweit beliebteste CMS. Für kein System gibt es mehr Themes, Plugins und letztlich Designer bzw. Entwickler. Allen Nutzern von WordPress dürften die Vorteile hinreichend bekannt sein. Doch die immense Verbreitung von WordPress bringt neben den Vorteilen auch gewisse Risiken mit sich. Bei schlecht abgesicherten Systemen haben Hacker leichtes Spiel und beim Einsatz von unterschiedlichsten Plugins, können gerne auch mal Kompatibilitätsprobleme entstehen. In vielen Fällen kann es dazu führen, dass die Website nicht mehr erreichbar ist und somit erhebliche Kosten entstehen. In diesem Artikel zeigen wir, wie man mit wenigen Handgriffen eine WordPress-Website schützen kann.
Regelmäßige Updates sind obligatorisch!
Die erste Regel für WordPress lautet: Halte WordPress und die verwendeten Plugins immer auf dem neuesten Stand. Standardmäßig installiert WordPress kleinere Updates selbstständig. Für größere Versionsupdates muss man selbst Hand anlegen. Das gilt auch für Themes und Plugins. Diese Updates müssen auch manuell angestoßen werden.
Durch regelmäßige Updates werden nicht nur Sicherheitslücken geschlossen, sondern auch die Kompatibilität des Systems gewährleistet.
Updates für WordPress, Themes und Plugins werden nicht selten sogar täglich bereitgestellt. Wem das zu aktig ist, kann diesen Prozess einfach auslagern und einen Webdesigner, bzw. eine Webagentur mit der WordPress-Wartung beauftragen.
Sichere Passwörter verwenden
Man kann es einfach nicht oft genug sagen, denn auch heute noch werden oftmals viel zu einfache Passwörter verwendet. Alles, was leicht zu merken ist, ist leider auch leicht zu knacken. Deshalb sollte man für ein vernünftiges Passwort aus Buchstaben, Zahlen, Sonderzeichen und Groß- und Kleinschreibung sorgen.
Ein wirklich sicheres Passwort sollte schon aus mindestens 16 Zeichen bestehen. Merken kann man sich das nicht mehr, aber es gibt ja Passwortmanager oder die entsprechenden Funktionen im Webbrowser.
Passwort-Generator (externer Link)
Auch mit Passwortmanagern kann man sichere Passwörter generieren.
Überhaupt sollte man Passwörter generell nur in solchen Programmen bzw. Apps speichern, die die Passwörter verschlüsselt ablegen und die sich mit einem Masterpasswort schützen lassen.
Zu simple Passwörter können durch sogenannten Brute-Force-Angriffe geknackt werden. Hierbei werden tausende Variationen von Benutzernamen und Passwort automatisiert ausprobiert.
Regelmäßifge Backups
Nicht nur sinnvoll bei Hackerangriffen, sondern auch bei Bedienungsfehlern oder anderen Problemen, die immer mal auftreten können. Eine gehackte Seite oder eine defekte Datenbank stellen ein viel geringeres Problem dar, wenn man über ein AKTUELLES Backup der Website verfügt. Im Idealfall befindet sich ein zusätzliches Backup auf einem anderen Server. Die aktuellsten Backups nützen nämlich nichts, wenn jemand versehentlich den Hoster kündigt oder es ein Problem mit dem Server selbst gibt. Die ist leider alles schon vorgekommen.
Bei einem guten Webhoster lassen sich fortlaufende Backups konfigurieren. Außerdem gibt es zahlreiche Plugins, die diesen Job ebenfalls übernehmen können. Dazu empfehlen sich die Plugins UpdraftPlus und WP STAGING
Auch hier gilt wieder, wer darauf keine Lust hat, überlässt diesen Job lieber einem Webdesigner oder einer Webagentur, die eine WordPress-Wartung anbieten.
Den Admin-Bereich von WordPress absichern
„admin“als Benutzername vermeiden!
Der Admin-Benutzername sollte besser nicht admin, wp_admin, root oder Administrator heißen. Falls dies der Fall ist, solltest du das ändern. Es ist allerdings anzumerken, dass es dennoch möglich ist, den Benutzernamen bei einem gezielten Angriff ausfindig zu machen. Diese Maßnahme stellt somit einen von möglichst vielen Stolpersteinen gegenüber Bots, etc. dar.
Login-URL ändern
Die Login-URL bei WordPress ist standardmäßig www.deinedomain.de/wp-admin/. Danach suchen Hacker natürlich als erstes. Mit Hilfe des Plugins WPS Hide Login beispielsweise lässt sich die URL ändern.
Dashboard per .htaccsess sichern
Falls die Seite auf einem Apache-Server gehostet ist, empfiehlt sich die Nutzung eines .htaccess-Schutzes. Damit erschwert man Hackern noch einmal den Zugriff auf die Seite. Dabei wird vor das Login-Formular noch einmal eine Passwortabfrage geschaltet. Das ist in der Praxis etwas umständlich, sorgt jedoch für einen sehr wirkungsvollen Schutz.
Von außen zugängliche WordPress-Dateien
Beliebte Angriffsziele sind hier zum Beispiel die install.php und die wp-config.php. Erhält man Zugriff auf diese Dateien, kann man den Zugang zur Datenbank auslesen und das Spiel ist aus. Es muss also sichergestellt sein, dass die der Webhoster eine sichere Konfiguration des Servers bereitstellt.