WordPress ist eines der beliebtesten Systeme wenn es darum geht Webseiten und Blogs zu erstellen. Weltweit setzen über 30% der Webseitenbetreiber auf WordPress, Tendenz steigend. Und gerade weil WordPress soweit verbreitet ist, ist es für Hacker und Angreifer ein lohnendes Ziel. Hinzu kommt, das WordPress häufig mit Themes und Plugins von Drittherstellern erweitert wird. Dies vergrößert die Angriffsfläche. Umso wichtiger ist es WordPress abzusichern. In diesem Artikel zeige ich euch wie ihr auf verschiedenen Wegen WordPress absichern könnt für mehr Sicherheit.
Warum sollte WordPress abgesichert werden?
Webseiten sind täglich das Ziel von Hackerangriffen. Aufgrund der hohen Verbreitung von WordPress stellt es für Hacker ein lohnendes Ziel dar. Diese versuchen Zugriff auf eure Seite zu erlangen um Schadcode oder andere Inhalte einzuschleusen. Das kann schnell das Image einer Marke beschädigen und eure Besucher verunsichern. Es ist daher sehr wichtig proaktiv für mehr Sicherheit zu sorgen.
WordPress und Erweiterungen aktuell halten
Ihr solltet stets dafür sorgen das ihr immer die neusten Updates für WordPress sowie für euer Theme und eure Plugins installiert hab. Durch die Updates werden bekannt gewordene Sicherheitslücken geschlossen. Angreifer haben es sehr einfach wenn ihr diese Lücken nicht zeitnah schließt.
Benutzername ändern und starkes Passwort
Angreifer versuchen häufig über die Standardbenutzernamen Zugriff auf eure Webseite zu bekommen. Benutzernamen wie Admin, Administrator oder wp-admin sind nicht zu empfehlen. Verwendet stattdessen individuelle Loginnamen mit einem starken Passwort. Am besten erstellt ihr in der WordPress Adminoberfläche einen neuen Benutzer mit Adminrechten und löscht danach den Standardaccount Admin. Ein ausreichend starkes Passwort könnt ihr zum Beispiel mit einem Passwortgenerator (z.B https://www.passwort-generator.eu/de/ ) erstellen lassen.
Regelmäßige Datensicherung
Regelmäßige Datensicherungen sind enorm wichtig, schließlich investiert ihr viel Zeit in das Erstellen eurer Webseite. Solltet ihr einmal Opfer eines Angriffs werden, ist es von großem Vorteil wenn ihr auf ein aktuelles Backup zurückgreifen könnt. So habt ihr die Möglichkeit eure Webseite schnell wieder online zu bringen. Um ein Backup zu erstellen gibt es verschiedene Möglichkeiten, welche ich euch in einem separaten Artikel zeigen werde.
Anzahl der Loginversuche begrenzen
Häufig versuchen Angreifer die Zugangsdaten von eurer WordPress installation mittels sogenannter Bruteforce-Attacken zu erraten. Bei dieser Methode werden automatisiert Kennwörter aus großen Datenbanken in eurem Loginfeld ausprobiert. Schützen könnt ihr euch mit dem Plugin Limited Login Attempts. Diese Plugin sperrt das Login wenn ein Angreifer mehrmals falsche Zugangsdaten eingegeben hat.
Webseite und Adminoberfläche auf HTTPS umstellen
Ihr solltet eure Webseite und eure Adminoberfläche auf eine verschlüsselte SSL Verbindung umstellen. Durch den Gebrauch dieser Technik erhöht ihr die Sicherheit eurer Webseite und habt weitere Vorteile. Um DSGVO konform Daten zu erheben (Kontaktformular etc.) ist Dies sogar Pflicht. Außerdem ist die verschlüsselte Verbindung bei Google mittlerweile ein Rankingfaktor. Wie ihr WordPress auf HTTPS umstellt erfahrt ihr in einer separaten Anleitung.
Zugriff auf wp-config.php Datei sperren
In der WordPress Datei wp-config.php stehen eure Zugangsdaten zur Datenbank im Klartext. Ihr solltet unerwünschten Zugriff auf diese Datei sperren. Am einfachsten geht das mit der .htaccess Datei, welche ihr im Stammverzeichnis von WordPress findet. Tragt einfach unterhalb von #END WordPress folgende Zeilen ein:
<Files wp-config.php>
order allow,deny
deny from all
</Files>
- Über 1.000 Seiten WordPress Wissen
- Installation, Anwendung, Administration
- Inkl. des neuen Gutenberg Editors
- Handbuch mit vielen Praxisbeispielen
Affiliate Links / Bilder von Amazon – Als Amazon-Partner verdiene ich an qualifizierten Käufen.
Login URL ändern
Das WordPress Admininterface ist standardmäßig unter www.deine-domain.de/wp-admin erreichbar. Es ist ratsam hierfür eine individuelle URL zu erstellen. Am einfachsten macht ihr dies entweder mit dem Plugins WPS Hide Login oder Loginizer. Automatisierte Angriffe könnt ihr somit recht leicht abwehren.
Sicherheitsplugin WordFence
Um noch mehr Sicherheit zu gewinnen könnt ihr das Plugin WordFence einsetzen. Es handelt sich dabei um eines der beliebtesten WordPress Sicherheitsplugins. WordFence kommt mit einer eingebauten Firewall und Malwarescanner daher. So könnt ihr nicht erwünschten Traffic blockieren. Das Plugin überprüft ebenfalls eure WordPress Dateien auf Schadcode und kann die Loginversuche einschränken (Bruteforce Attacke).
Wenn ihr diese Tipps umgesetzt habt, seid ihr einen großen Schritt in punkto WordPress Sicherheit gegangen. Trotz all dieser Sicherheitsmaßnahmen bleibt natürlich ein Restrisiko, denn 100% Sicherheit wird es nie geben. Umso wichtiger ist aus meiner Sicht der Punkt Backups.
