WordPress absichern
WordPress ist das mit Abstand weltweit beliebteste CMS. Für kein System gibt es mehr Themes, Plugins und letztlich Designer bzw. Entwickler. Allen Nutzern von WordPress dürften die Vorteile hinreichend bekannt sein. Doch die immense Verbreitung von WordPress bringt neben den Vorteilen auch gewisse Risiken mit sich. Bei schlecht abgesicherten Systemen haben Hacker leichtes Spiel und beim Einsatz von unterschiedlichsten Plugins, können gerne auch mal Kompatibilitätsprobleme entstehen. In vielen Fällen kann es dazu führen, dass die Website nicht mehr erreichbar ist und somit erhebliche Kosten entstehen. In diesem Artikel zeigen wir, wie man mit wenigen Handgriffen eine WordPress-Website schützen kann.
Regelmäßige Updates sind obligatorisch!
Die erste Regel für WordPress lautet: Halte WordPress und die verwendeten Plugins immer auf dem neuesten Stand. Standardmäßig installiert WordPress kleinere Updates selbstständig. Für größere Versionsupdates muss man selbst Hand anlegen. Das gilt auch für Themes und Plugins. Diese Updates müssen auch manuell angestoßen werden.
Durch regelmäßige Updates werden nicht nur Sicherheitslücken geschlossen, sondern auch die Kompatibilität des Systems gewährleistet. Zusätzlich sollten auch PHP und MySQL regelmäßig aktualisiert werden, da veraltete Versionen dieser Software ebenfalls Sicherheitsrisiken darstellen können.
Updates für WordPress, Themes und Plugins werden nicht selten sogar täglich bereitgestellt. Wem das zu aktig ist, kann diesen Prozess einfach auslagern und einen Webdesigner, bzw. eine Webagentur mit der WordPress-Wartung beauftragen.
Plugins stellen von allen Quellen das größte Risiko und machen den Großteil der WordPress-Hacks aus. Eine Wordfence-Studie ergab, dass Plugins 55,9% aller bekannten Schwachstellen ausmachen.
Sichere Passwörter verwenden
Man kann es einfach nicht oft genug sagen, denn auch heute noch werden oftmals viel zu einfache Passwörter verwendet. Alles, was leicht zu merken ist, ist leider auch leicht zu knacken. Deshalb sollte man für ein vernünftiges Passwort aus Buchstaben, Zahlen, Sonderzeichen und Groß- und Kleinschreibung sorgen. Ein wirklich sicheres Passwort sollte schon aus mindestens 16 Zeichen bestehen. Merken kann man sich das nicht mehr, aber es gibt ja Passwortmanager oder die entsprechenden Funktionen im Webbrowser.
Passwort-Generator (externer Link)
Auch mit Passwortmanagern kann man sichere Passwörter generieren. Überhaupt sollte man Passwörter generell nur in solchen Programmen bzw. Apps speichern, die die Passwörter verschlüsselt ablegen und die sich mit einem Masterpasswort schützen lassen.
Zu simple Passwörter können durch sogenannten Brute-Force-Angriffe geknackt werden. Hierbei werden tausende Variationen von Benutzernamen und Passwort automatisiert ausprobiert.
Regelmäßifge Backups
Nicht nur sinnvoll bei Hackerangriffen, sondern auch bei Bedienungsfehlern oder anderen Problemen, die immer mal auftreten können. Eine gehackte Seite oder eine defekte Datenbank stellen ein viel geringeres Problem dar, wenn man über ein AKTUELLES Backup der Website verfügt. Im Idealfall befindet sich ein zusätzliches Backup auf einem anderen Server. Die aktuellsten Backups nützen nämlich nichts, wenn jemand versehentlich den Hoster kündigt oder es ein Problem mit dem Server selbst gibt. Die ist leider alles schon vorgekommen.
Bei einem guten Webhoster lassen sich fortlaufende Backups konfigurieren. Außerdem gibt es zahlreiche Plugins, die diesen Job ebenfalls übernehmen können. Dazu empfehlen sich die Plugins UpdraftPlus und WP STAGING
Auch hier gilt wieder, wer darauf keine Lust hat, überlässt diesen Job lieber einem Webdesigner oder einer Webagentur, die eine WordPress-Wartung anbieten.
Den Admin-Bereich von WordPress absichern
„admin“als Benutzername vermeiden!
Der Admin-Benutzername sollte besser nicht admin, wp_admin, root oder Administrator heißen. Falls dies der Fall ist, solltest du das ändern. Es ist allerdings anzumerken, dass es dennoch möglich ist, den Benutzernamen bei einem gezielten Angriff ausfindig zu machen. Diese Maßnahme stellt somit einen von möglichst vielen Stolpersteinen gegenüber Bots, etc. dar.
Login-URL ändern
Die Login-URL bei WordPress ist standardmäßig www.deinedomain.de/wp-admin/. Danach suchen Hacker natürlich als erstes. Mit Hilfe des Plugins WPS Hide Login beispielsweise lässt sich die URL ändern.
Dashboard per .htaccsess sichern
Falls die Seite auf einem Apache-Server gehostet ist, empfiehlt sich die Nutzung eines .htaccess-Schutzes. Damit erschwert man Hackern noch einmal den Zugriff auf die Seite. Dabei wird vor das Login-Formular noch einmal eine Passwortabfrage geschaltet. Das ist in der Praxis etwas umständlich, sorgt jedoch für einen sehr wirkungsvollen Schutz.
Von außen zugängliche WordPress-Dateien
Beliebte Angriffsziele sind hier zum Beispiel die install.php und die wp-config.php. Erhält man Zugriff auf diese Dateien, kann man den Zugang zur Datenbank auslesen und das Spiel ist aus. Es muss also sichergestellt sein, dass die der Webhoster eine sichere Konfiguration des Servers bereitstellt.
Übersicht WordPress absichern
- Aktuelle Version verwenden: Stelle sicher, dass du immer die neueste Version von WordPress verwendest. Updates enthalten oft Sicherheitsverbesserungen, die verhindern, dass bekannte Schwachstellen ausgenutzt werden.
- Themes und Plugins prüfen: Verwende nur Themes und Plugins aus vertrauenswürdigen Quellen wie dem offiziellen WordPress-Verzeichnis. Überprüfe die Bewertungen, die Anzahl der Installationen und ob das Theme oder Plugin regelmäßig aktualisiert wird.
- Regelmäßige Backups: Erstelle regelmäßige Backups deiner Website, damit du im Falle eines Hacks oder einer Beschädigung der Website wiederherstellen kannst.
- Sichere Anmeldeinformationen: Verwende starke, einzigartige Passwörter für den WordPress-Admin-Bereich, FTP und Datenbankzugriff. Nutze am besten Passwort-Manager, um komplexe Passwörter zu verwalten.
- Limitiere Anmeldeversuche: Begrenze die Anzahl der Anmeldeversuche für den WordPress-Admin-Bereich, um Brute-Force-Angriffe zu erschweren.
- Zwei-Faktor-Authentifizierung (2FA): Implementiere die 2FA, um ein zusätzliches Sicherheitsniveau für den Anmeldevorgang hinzuzufügen.
- Dateiberechtigungen überprüfen: Stelle sicher, dass Dateiberechtigungen angemessen gesetzt sind, um unberechtigten Zugriff zu verhindern.
- SSL-Zertifikat: Installiere ein SSL-Zertifikat, um die Kommunikation zwischen dem Server und den Benutzern zu verschlüsseln und so Daten abzusichern.
- Admin-Benutzername ändern: Vermeide es, den Standard-Benutzernamen „admin“ zu verwenden, da dies Angreifern das Eindringen erleichtern könnte. Erstelle stattdessen einen neuen Benutzer mit Administratorrechten und lösche den Standard-„admin“-Benutzer.
- Verwendung von Sicherheits-Plugins: Nutze Sicherheits-Plugins wie Wordfence, Sucuri oder iThemes Security, um deine Website proaktiv zu schützen und auf potenzielle Bedrohungen zu reagieren.
- Verstecke die WordPress-Version: Entferne oder verstecke die WordPress-Version, da ältere Versionen bestimmte Schwachstellen aufweisen können.
- Dateiänderungen überwachen: Überwache Änderungen an Dateien auf deiner Website, um unbefugte Modifikationen frühzeitig zu erkennen.
- Deaktiviere XML-RPC: In den meisten Fällen ist XML-RPC nicht erforderlich und kann daher deaktiviert werden, um mögliche Angriffsvektoren zu reduzieren.
- Verwende Content-Security-Policy (CSP): Implementiere eine Content-Security-Policy, um XSS- und ähnliche Angriffe einzudämmen.
- Schütze die wp-config.php: Schütze deine wp-config.php-Datei durch entsprechende Zugriffsrechte.
Diese Maßnahmen helfen, die Sicherheit deiner WordPress-Website deutlich zu verbessern. Kein System ist jedoch vollständig immun gegen Angriffe, daher ist es wichtig, regelmäßig auf Sicherheitsupdates zu achten und auf dem neuesten Stand zu bleiben.
Wenn du die Zeit für diese Maßnahmen nicht aufbringen kannst, solltest du dir überlegen, jemanden mit der Wartung deiner WordPress-Website oder deines WooCommerce-Shops zu beauftragen.
Das könnte auch interessant sein
- Warum eine neue Website alleine nicht reichtViele Unternehmen in denken, dass eine neue Website der entscheidende Schritt ist, um mehr Kunden zu gewinnen. Doch die Realität sieht anders aus: Ein professionelles Webdesign ist nur der erste Schritt, um online erfolgreich zu sein. Ohne die richtigen Maßnahmen wird Deine neue Website… Warum eine neue Website alleine nicht reicht weiterlesen
- Elementor vs. Block-EditorPlanst Du, Deine WordPress-Website neu zu gestalten oder zu optimieren? Dann stehst Du vielleicht vor der Entscheidung: Solltest Du den nativen Block-Editor (Gutenberg) oder den beliebten Elementor Page Builder verwenden? Beide Editoren bieten unterschiedliche Vor- und Nachteile, je nach den Anforderungen Deines Projekts. In… Elementor vs. Block-Editor weiterlesen
- Handwerker: 5 Tipps für mehr Kunden mit Deiner WebsiteDie Zeiten haben sich geändert Die letzten Jahre waren für viele Handwerksbetriebe umsatzmäßig ein Segen und einige hatten das Gefühl, dass die Aufträge ganz von alleine reinkamen. Gebaut oder umgebaut wurde gefühlt an jeder Ecke. Die einzige Herausforderung bestand höchstens darin, fähige Mitarbeiter zu… Handwerker: 5 Tipps für mehr Kunden mit Deiner Website weiterlesen
- Shopware vs. WooCommerceShopware vs. WooCommerce – Welche Plattform ist die bessere Wahl? Beide Shop-Plattformen, Shopware 6 und WooCommerce, sind beliebte E-Commerce-Lösungen, die jeweils ihre Vor- und Nachteile haben. Die Entscheidung hängt also viel mehr von den individuellen Bedürfnissen, Zielen und Ressourcen deines Unternehmens ab. In diesem… Shopware vs. WooCommerce weiterlesen
- WordPress sicherer machen – Darauf solltest du achtenWordPress absichern WordPress ist das mit Abstand weltweit beliebteste CMS. Für kein System gibt es mehr Themes, Plugins und letztlich Designer bzw. Entwickler. Allen Nutzern von WordPress dürften die Vorteile hinreichend bekannt sein. Doch die immense Verbreitung von WordPress bringt neben den Vorteilen auch… WordPress sicherer machen – Darauf solltest du achten weiterlesen