WordPress ist das beliebteste Content Management System. Über 30% aller Webseiten weltweit werden damit betrieben. Das bringt eine Menge Vorteile, wie eine große Auswahl an Themes und Plugins. Der Nachteil: die große Verbreitung und Erweiterbarkeit macht WordPress für Hacker interessant. Mit den Tipps und Tricks in diesem Artikel ist und bleibt ihr WordPress sicher.
Warum sollte jemand mein WordPress hacken?
Der größte Fehler ist zu glauben, man selbst würde nie einem Hacker zum Opfer fallen. Dabei geht es selten um persönliche Gründe, Industriespionage oder Konkurrenz. Der Hauptgrund für die Manipulation von Webseiten ist es, Links für Suchmaschinenoptimierung und fragwürdige Produkte auf Ihrer Webseite zu platzieren. Der Schadsoftware wäre es am liebsten, unentdeckt zu bleiben. Das ist unangenehm für Webseitenbetreiber. Je länger eine manipulierte Webseite unentdeckt bleibt, desto größer ist der potentielle Schaden. Enthält das gehackte WordPress rechtswidrige Inhalte, drohen sogar Rechtsfolgen. Zum Imageschaden und den Kosten für die Wiederherstellung kommen weitere unkalkulierbare Risiken hinzu.
Inhaltsverzeichnis
Was also ist zu tun?
Damit Sie Ihre WordPress Installation absichern können, haben wir hier einen detaillierten Leitfaden zu dem Thema erstellt. Hiermit schließen Sie viele der unsicheren Stellen bei einer Standard Installation von WordPress. Folgen Sie einfach Schritt für Schritt diesem Artikel und Ihr WordPress ist für die meisten Sicherheitsproblematischen Stellen abgesichert.
Allgemeine Maßnahmen zum WordPress absichern
Bei den allgemeinen Maßnahmen handelt es sich um leicht anwendbare Sicherheitsmaßnahmen, die Sie leicht umsetzen können.
Sicheres Hosting für WordPress
Das Hosting-Paket sollte den Anforderungen angepasst werden. Oft vergessen wird die notwendige Administration. Root-Server erfordern regelmäßige Systemupdates und Linux-Kenntnisse. Sicherer sind Managed Server und Shared Hosting. Wer die Administration von WordPress lieber Profis überlässt, sollte ein WordPress-Hosting wählen. Auf WordPress spezialisierte Anbieter bieten Hostingpakete inklusive aller Updates, garantierter Verfügbarkeit und ständig geprüfter Sicherheit.
Sicheres Passwort für den WordPress Admin
Die größte Sicherheitslücke in WordPress ist ein einfaches Kennwort. Eine sogenannte Brute Force Attacke nutzt diese Lücke. Eine Software testet alle möglichen Kombinationen, bis das richtige Kennwort gefunden wurde. Ein sicheres Kennwort sollte mindestens acht Zeichen lang sein und sowohl Großbuchstaben, Kleinbuchstaben, Zahlen als auch Sonderzeichen enthalten. Beliebter Fehler ist die Verwendung identischer Kennwörter für verschiedene Plattformen. Auch Facebook-Gründer Mark Zuckerberg wurde bereits Opfer eines Brute Force Angriffs.
Keinen Standardbenutzer für WordPress verwenden
Für eine erfolgreiche WordPress-Anmeldung reicht das Passwort nicht aus. Die Kombination aus Benutzer und Kennwort ist notwendig. Brute Force Angriffe testen zuerst die Standardbenutzer wie „Admin“, „Administrator“ oder „Root“. Verwenden Sie besser einen schwer zu erratenden Nutzernamen, um Brute Force Attacken bereits im ersten Schritt zu vereiteln. Löschen Sie den Benutzer „Administrator“, sofern er bei der Installation automatisch erstellt wurde.
Verraten Sie Ihren Nutzernamen nicht auf der Autorenseite
Sie haben einen eigenen Nutzer erstellt. Super! Aber eine Sache wäre da noch. Abhängig von Einstellungen und dem verwendetem Theme, wird Ihr Nutzername auf der Autorenseite verwendet. Mittels des sogenannten Author Scans können Angreifer auf diesem Weg verwendete Benutzer ausspionieren. Prüfen Sie die URL und den Quellcode der Autorenseite darauf, ob ihr Nutzername dort angezeigt wird. Sie können die Autorenseiten in den Einstellungen komplett abschalten oder den angezeigten Namen im Benutzerprofil ändern. WordPress-Profis raten dazu, den Quellcode im verwendeten Theme abzuändern, sofern die Sicherheitslücke in den Autorenseiten vorhanden ist.
SSL-Verschlüsselung für WordPress nutzen
Läuft ihr WordPress noch auf HTTP? Das sollten Sie aus verschiedenen Gründen ändern. Während Google und Co. auch in den Suchergebnissen den HTTPS-Seiten den Vorzug geben, ist eine SSL-Verschlüsselte Seite abhörsicher. Wer ab und zu aus fremden W-Lans einen Artikel schreibt oder einen Kommentar beantwortet, sollte auf dieses Sicherheitsmerkmal auf keinen Fall verzichten. Viele Webhoster bieten die kostenfreien Let’s Encrypt Zertifikate an, die sich automatisch verlängern. Der Aufwand ist also denkbar gering. Stellen Sie in der Administration Ihres Hostingpakets die Option „SSL erzwingen“ ein, um zu verhindern, dass versehentlich eine unverschlüsselte Verbindung aufgebaut wird.
WordPress Plugins und Themes nur aus geprüften Quellen installieren
Ihr WordPress ist nur so sicher, wie die installierten Plugins oder Themes. Eine Sicherheitslücke reicht aus, die gesamte WordPress-Plattform verwundbar zu machen. Plugins und Themes, die direkt von WordPress.org installiert werden, sind auf potentielle Sicherheitslücken überprüft. Wem diese Themes und Plugins nicht ausreichen, der sollte darauf achten, dass der Entwickler eine Sicherheitsprüfung vorgenommen hat und regelmäßige Updates für sein Plugin oder Theme bietet. Bevor das neue Theme verwendet wird, sollte es zusätzlich mit dem Plugin „Theme Check“ gegengeprüft werden.
WordPress, Plugins und Themes regelmäßig aktualisieren
Bei WordPress sowie von WordPress.org heruntergeladenen Plugins und Themes handelt es sich um sicherheitsgeprüfte und regelmäßig aktualisierte Software. Aus diesem Grund ist es wichtig, dass jede WordPress Installation regelmäßig aktualisiert wird. Sofern Sie kein verwaltetes WordPress-Hosting oder entsprechende Sicherheitssoftware nutzen, sollten Sie sich alle paar Wochen im WordPress Admin anmelden und diese Aktualisierungen selbst vornehmen. Vor größeren Updates ist es empfehlenswert, eine Sicherung durchzuführen.
Begrenzen Sie die Anzahl der fehlgeschlagenen Logins
WordPress lässt beliebig viele Loginversuche zu. Brute Force Angriffe nutzen diese Lücke, um über einen längeren Zeitraum Nutzer-Kennwort-Kombinationen durchzuprobieren, gibt es im WordPress Plugin Verzeichnis eine Vielzahl an Plugins, die fehlgeschlagene Loginversuche begrenzen und das WordPress-Login für diese IP-Adresse vorübergehend sperren. Im Plugin WP Limit Login Attempts können Sie zusätzlich ein Captcha aktivieren. Das Captcha überprüft, ob es sich bei den Login-Versuchen um einen echten Benutzer handelt.
Erweiterte Maßnahmen
Bei den erweiterten Maßnahmen handelt es sich um Maßnahmen, die nicht ganz so einfach umzusetzen sind. Wir haben in diesem Artikel jedoch versucht, es Ihnen so einfach wie möglich zu machen. Wenn man sich ein wenig damit auseinandersetzt ist es nicht so schwer und auch für Laien umsetzbar. Achten Sie darauf vor kritischen Änderung ein Backup Ihrer WordPress Installation vorzunehmen.
Den WordPress Admin zusätzlich schützen
Obwohl der WordPress Administrationsbereich unter /wp-admin bereits geschützt ist, empfehlen immer mehr Sicherheitsexperten, den Zugriff zusätzlich zu schützen. Mittels htpasswd-Generator können Sie einen zusätzlichen Passwortbereich erstellen, der Ihren WordPress-Loginbereich zusätzlich schützt. Verwenden Sie für den htaccess-Generator auf keinen Fall dieselben Zugangsdaten wie für das WordPress-Login.
Ändern Sie das WordPress Table Prefix
Das WordPress Table Prefix ist in Standardinstallationen auf „wp_“ eingestellt. Allen Datenbanktabellen Ihrer WordPress-Installation wird dieses Kürzel vorangestellt. Da dieser Standard auch allen Hackern bekannt ist, kann bei einer Sicherheitslücke im Datenbankserver auf die Datenbank zugegriffen werden. Ändern Sie das Kürzel „wp_“ bei der Installation beispielsweise auf „myblog_“. Wurde die Installation bereits durchgeführt, so hilft das Plugin Change DB Prefix. Bitte beachten Sie, dass die Änderung bei WordPress Multisites oder Multisite Networks nicht ganz so einfach umzusetzen ist.
Deaktivieren Sie die Editierfunktionen für Dateien
WordPress erlaubt es standardmäßig, sicherheitskritische Dateien wie Theme- und Plugin-Dateien direkt im WordPress Administrator zu ändern. Diese Vorgehensweise ist aber nicht empfehlenswert und stellt zusätzlich eine schwerwiegende Sicherheitslücke dar. Ähnlich wie das WordPress Table Prefix können Sie die Datei wp-config.php editieren und die Zeile
"define('DISALLOW_FILE_EDIT', true);"hinzufügen. Am besten direkt nach der Zeile WP_DEBUG. Wenn Sie die Datei per FTP wieder auf Ihren Webserver geladen habe, ist diese Lücke vollständig geschlossen.
Deaktivieren Sie die XML-RPC Schnittstelle
Die WordPress XML-RPC Schnittstelle ist standardmäßig aktiviert, wird aber von wenigen Seitenbetreibern genutzt. Sofern auch Sie keine mobile WordPress App oder Drittsoftware nutzen, die Zugriff auf die XML-RPC Schnittstelle benötigt, empfehlen wir Ihnen, diese zu deaktivieren. Der einfache Weg führt über das WordPress Plugin „Disable XML-RPC“. Für versierte Theme-Entwickler gibt es auch einen Weg, den Code zur Deaktivierung selbst in die Datei functions.php des aktiven Themes einzufügen:
/* Die XMLRPC-Schnittstelle komplett abschalten */
add_filter( 'xmlrpc_enabled', '__return_false' );
/* Den HTTP-Header vom XMLRPC-Eintrag bereinigen */
add_filter( 'wp_headers', 'AH_remove_x_pingback' );
function AH_remove_x_pingback( $headers )
{
unset( $headers['X-Pingback'] );
return $headers;
}
Bitte beachten Sie: Wenn Sie den Code in ein Theme einfügen, dass nicht von Ihnen selbst entwickelt wurde, sind die Änderungen nach dem nächsten Theme-Update überschrieben. In diesem Fall macht die Verwendung eines sogenannten Child-Themes Sinn.
Wenn Sie sich in die Entwicklung eines eigenen Child-Themes einlesen möchten, empfehlen wir die Offizielle Dokumentation auf WordPress.org. Sofern Sie wissen, wie ein Child-Theme funktioniert, können Sie Childtheme-Generator.com verwenden, der unnötige Programmierarbeit spart.
Entfernen Sie alle Informationen, die auf WordPress deuten
Auch diese Empfehlung richtet sich nur an Theme-Entwickler, die entweder ein eigenes Theme oder ein Child-Theme aktiviert haben. Mit der Funktion
remove_action('wp_head','wp_generator');
können Sie die versteckten Informationen im Quellcode von WordPress entfernen. Die Anweisung muss in die functions.php Ihres Themes bzw. Child-Themes eingefügt werden. Bitte beachten Sie, dass diese Änderung je nach verwendetem Theme ungewünschte Nebeneffekte haben kann.
Sofern vorhanden, sollten Sie im nächsten Schritt die Footer-Links mit Verweis auf WordPress entfernen. Die Vorgehensweise ist von Theme zu Theme unterschiedlich. In den meisten Fällen finden Sie den Code in der Datei footer.php.
Zuletzt müssen Sie die readme- und license-Dateien aus Ihrem Hauptverzeichnis löschen.
Auf diese Weise können Sie alle Rückschlüsse auf die WordPress Version entfernen.
Erstellen Sie regelmäßige WordPress-Backups mit UpdraftPlus
Mit dem kostenfreien WordPress Plugin UpdraftPlus* können Sie automatisierte oder manuelle Sicherungen der gesamten WordPress-Installation vornehmen. Das ist insbesondere vor allen Änderungen, WordPress-, Plugin- und Theme-Updates enorm wichtig und sollte nie außer Acht gelassen werden. UpdraftPlus kann diese Sicherung automatisch auf einen externen Cloudspeicher wie zum Beispiel Dropbox kopieren. UpdraftPlus ist in wenigen Minuten installiert und eingerichtet.
Unser Fazit zum Thema WordPress absichern
Einige der empfohlenen Sicherheitsoptimierungen für WordPress sind sehr einfach zu bewerkstelligen. Wer ein gutes Hosting-Paket mit SSL-Verschlüsselung wählt, darauf achtet, welche Plugins und welches Theme er verwendet und einen sicheren Benutzernamen samt starkem Kennwort wählt, hat einen großen Schritt in Richtung Sicherheit gemacht. Regelmäßige Backups verhindern, dass mit einer Schadsoftware, einem Softwarefehler oder Hardwareproblem große Kosten für eine Wiederherstellung entstehen.
Alle anderen Schritte können zwar die Sicherheit von WordPress noch weiter verbessern, Versäumnisse in den eben genannten Pflichtoptimierungen holt man damit jedoch nicht auf.
WordPress Absichern IT Sicherheit für Ihre Webseite und Blog - Schutz vor Hacker!
14.99€
Pros
- Für alle WordPress Nutzer
- Praktische Leitfäden
- Enthält auch Tipps für Profis
- Günstig
Wie hat dir der Artikel gefallen?
WordPress absichern – So geht’s:
4,67 von 5 Punkten, basierend auf 3 abgegebenen Stimmen.
Loading...
Hinterlasse jetzt einen Kommentar