WordPress

WordPress Sicherheit: So erhöhen Sie die Sicherheit Ihrer WordPress Seite

Autor
Carsten Podszun
Letzte Aktualisierung
15. Apr. 2020

Zunächst ist wichtig zu verstehen, dass kein System zu 100% sicher sein kann. Dies sollte Ihnen als Webseiten-Betreiber klar sein. Umso wichtiger ist es aber auch, die Sicherheit so nahe wie möglich an die 100% zu bringen. Im Folgenden haben wir Ihnen die wichtigsten Maßnahmen zusammengefasst, mithilfe derer Sie die Sicherheit Ihrer WordPress-Seite erhöhen können.

Wer sich das Optimieren der Sicherheit der eigenen Webseite nicht zutraut, der sollte bereits frühzeitig darüber nachdenken, die Seite von einem Profi absichern zu lassen. Das ist aber nicht zwingend notwendig. Ein wenig Grundverständnis ist zwar erforderlich, dennoch werden Sie sehen, dass die meisten Maßnahmen kein Hexenwerk sind. Wenn Sie alle Ratschläge befolgen, haben Sie bereits eine WordPress-Installation, die deutlich sicherer ist, als die meisten WordPress-Seiten im Internet.

Wie sicher ist meine Seite?

Wenn Sie einen kostenlosen Check vornehmen möchten, um die Sicherheit Ihrer Seite überprüfen zu lassen, ist der WordPress Security Scan eine empfehlenswerte Möglichkeit. Dieser kostenlose Dienst gibt Aufschluss über die wichtigsten Sicherheitslücken und Schwachstellen Ihrer WordPress Installation und kann sowohl einen passiven Test der Seitenstruktur durchführen als auch die wichtigsten Plugins überprüfen. So bekommen Sie einen ersten Eindruck über potentielle Gefahrenquellen, Plugins die nicht auf dem aktuellen Stand sind oder sonstige Angriffspunkte.

Wie sicher ist WordPress im Allgemeinen und wo lauern Gefahren?

Grundsätzlich ist die aktuellste Version von WordPress eine gute Basis für eine sichere Webseite. Allerdings gibt es auch viele Schwachstellen und ungünstige Standardeinstellungen, die die Sicherheit Ihrer Seite gefährden können.

Ständig werden neue Lücken entdeckt und entsprechend als Gegenmaßnahme wieder neue Updates und Patches erstellt – im Prinzip ist es ein Katz und Maus Spiel. Neben der Installation selbst gibt es zudem eine ganze Reihe von anfälligen Erweiterungen für WordPress wie Plugins und Themes. Aufgrund der Beliebtheit von WordPress bei Anwendern und Webseitenbetreibern ist das CMS eben auch bei Hackern sehr beliebt. Findet ein Hacker eine potentielle Schwachstelle, steht gleich eine Vielzahl von möglichen Angriffszielen zur Wahl. Auf WordPress-Servern lässt sich Schadsoftware (zum Beispiel zum Spam-Versand) installieren oder ein Angreifer löscht schlichtweg eine Seite um zu zeigen, dass er es kann. Die große Beliebtheit von WordPress hat eben auch den Vorteil, dass auf Sicherheitslücken seitens der Entwickler schnell reagiert wird.

Wenn man jedoch eine betroffene Seite eines neuen Angriffs war, nützt das darauffolgende Update nur wenig. Besser ist es daher, wenn Sie vorbeugen und die notwendigen Maßnahmen treffen, um es einem Angreifer so schwer wie möglich zu machen.

Die vier wichtigsten Grundsätze für mehr Sicherheit in WordPress

Die häufigsten Ursachen für erfolgreiche Hacks und die Installation von Schadsoftware sollten Sie auf jeden Fall kennen und schnellstmöglich aktiv Gegenmaßnahmen ergreifen, falls einer dieser Kernaspekte nicht erfüllt wird. Zwar gibt es noch weitere wichtige Maßnahmen, über die wir Sie weiter unten aufklären, jedoch sollten die vier wichtigsten Sicherheitsrisiken zu 100% unterbunden sein, bevor Sie zusätzliche Maßnahmen ergreifen.

  • Einen professionellen Hoster nutzen
    Laut einer Studie von WP Template sind 41% der erfolgreichen Angriffe auf WordPress-Seiten auf unsichere Server zurückzuführen. Dies liegt außerhalb Ihres Einflussbereichs, weshalb es essentiell wichtig ist, auf einen sicheren und zuverlässigen Hoster zu setzen. Besonders kritisch sollten sehr günstige Hoster betrachtet werden, denn wenn an der Sicherheit gespart wird, ist dies sicherlich der falsche Weg.

    Wenn Sie bereits einen Hoster nutzen, der sich aber im Nachhinein als unsicher herausstellt, empfehlen wir unbedingt, mit der Seite umzuziehen. Wie das geht, erfahren Sie hier.

  • WordPress aktuell halten
    Es gibt spezielle WordPress-Hoster, die automatisch dafür sorgen, dass die Installation sowie alle Plugins stets auf dem aktuellsten Stand sind. Ist dies nicht der Fall, müssen Sie selbst dafür sorgen, dass sowohl Plugins als auch Themes und natürlich die WordPress Installation selbst stets aktuell sind. Die Haupt-Udates können Sie problemlos automatisieren, indem Sie der wp-config.php Datei folgende Zeile hinzufügen:

    define ( ’WP_AUTO_UPDATE_CORE’, true );

    Wenn Sie in Ihrem Dashboard folgende Meldung sehen, sollten daher ab sofort die Alarmglocken ertönen und Sie sollten sofort aktiv werden:

  • Admin nicht als Nutzername verwenden
    Standardmäßig ist der Benutzername bei WordPress ‘Admin‘. Dies ist folglich auch der erste Benutzername, über den ein Angreifer versuchen wird, sich einzuloggen oder die Seite zu hacken. Es ist daher unbedingt erforderlich, einen neuen Administrator anzulegen und den Standard-Benutzer zu löschen.

    Das funktioniert ganz einfach: Über den Reiter „Benutzer“ wird ein neuer Administrator angelegt. Sobald Sie sich dann mit dem neuen Administrator-Zugang angemeldet haben, kann der alte gelöscht werden.

  • Starkes Passwort verwenden
    Wenn Benutzername „Admin“ und ein schwaches Passwort zusammenkommen, kann man davon ausgehen, dass der erste Hack nicht lange auf sich warten lassen wird. Passwörter wie „1234“ sind – man glaubt es kaum – auch im 21. Jahrhundert noch sehr beliebt. Als Webseitenbetreiber sollten Sie unbedingt auf starke und sichere Passwörter setzen! Wie sieht ein sicheres Passwort für WordPress aus? Ein sicheres Passwort sollte aus mindestens acht Stellen bestehen und neben Buchstaben und Zahlen auch Sonderzeichen (#, *, \, -, &, …) enthalten. Mehr dazu finden Sie in unserem Ratgeber Sicheres Passwort.

Zusätzliche Sicherheitsmaßnamen

Wenn Sie die erste Hürde genommen haben und die vier wichtigsten Kriterien für eine sichere WordPress-Seite erfüllen, sind Sie schon einmal ein ganzes Stück weiter. Dennoch gibt es nach wie vor eine Reihe von Dingen, die Sie beachten sollten, um die Sicherheit noch weiter zu erhöhen. Welche das sind, haben wir hier für Sie zusammengefasst. Diese Auflistung ist zwar nicht vollständig, beinhaltet aber die wichtigsten Maßnahmen, um ein gutes bis sehr gutes Schutzniveau zu erreichen, ohne dass Sie auf fremde Hilfe zurückgreifen müssen.

Backups erstellen

Sie sollten regelmäßig Backups Ihrer WordPress-Installation erstellen! Auch dies gewährleistet einen hohen Sicherheitsstandard, denn ist das System einmal gehackt worden, können Sie mit einem Backup den alten Stand wieder herstellen. Haben Sie kein Backup, kann nur schwer gewährleistet werden, ob sämtlicher Schadcode, den ein Hacker vielleicht hinterlassen hat, auch wirklich beseitigt wurde.

SSL nutzen

Eine sichere WordPress Seite sollte immer auch SSL verwenden. Dadurch wird die Datenübertragung gesichert. So werden nicht nur Eingaben auf der Seite verschlüsselt, sondern auch die Login-Daten für den Admin-Bereich.

Wie Sie Ihre Seite in wenigen Schritten auf SSL umstellen können, erfahren Sie hier.

Bearbeitung der Theme-Dateien und des Backends verbieten

Sie können verhindern, dass Hacker im Backend Themes und Plugins ändern können. Häufig nutzen Angreifer Themes und Plugins, um Schadcode in der WordPress-Installation auszuführen. Fügen Sie der Datei functions.php einfach folgenden Code hinzu, um das zu verhindern:

define('DISALLOW_FILE_EDIT', true);

WordPress Login-Bereich sicherer machen

Der Login-Bereich von WordPress ist standardmäßig unter der Adresse www.IHRE-SEITE.de/wp-admin erreichbar. Das wissen natürlich auch Hacker, sodass sie schnell auf dem Loginbildschirm der Seite landen können. Ein guter Schutz ist es daher, den Login-Bereich umzubenennen. Dies kann am einfachsten mit einem Plugin wie Rename wp-login.php erledigt werden.

Alternativ beziehungsweise auch zusätzlich kann es sinnvoll sein, den Zugriff von außen auf diesen Ordner durch einen Verzeichnisschutz zu sichern.

Hierzu wird eine Datei mit dem Namen .htpasswd außerhalb des Root-Verzeichnisses und außerhalb des zu schützenden Verzeichnisses abgelegt, die folgenden Inhalt hat:

IHR-BENUTZERNAME:IHR-PASSWORT

Dabei sollten Sie nicht Ihre WordPress-Benutzerdaten verwenden.

Anschließend muss eine .htaccess Datei im Verzeichnis wp-admin angelegt werden, die folgenden Inhalt hat:

AuthType Basic AuthName "Sicherer Bereich" AuthUserFile /PFAD/DER/PASSWORT/DATEI .htpasswd AuthGroupFile /dev/null require valid-user

Zusätzlich trägt ebenfalls zur Sicherheit bei, wenn Sie den Zugriff von außen auf die Datei wp-config.php im WordPress-Pfad verbieten. In der Datei stehen teilweise sensible Informationen, die es Hackern leichter machen können, Ihre WordPress-Installation zu hacken. Hierzu müssen Sie nur der .htacces-Datei, die sich bereits im gleichen Ordner wie die wp-config.php befindet, folgendes hinzufügen:

# Zugriff wp-config.php von außen nicht erlauben <files wp-config.php> Order deny,allow deny from all </files>

Optional: Wenn Sie nun noch zusätzlich die Anzahl der Login-Versuche mit Tools wie Login Lockdown oder Limit Login Attempts begrenzen, die als Plugins für WordPress verfügbar sind, ist der Login-Bereich hervorragend geschützt. Denn – so unglaublich es klingt – ohne Verzeichnisschutz und zusätzlichen Maßnahmen kann sich jeder beliebige Anwender beliebig oft versuchen, Ihr Login-Passwort zu knacken. Einige Security-Plugins, über die Sie weiter unten mehr erfahren, beinhalten bereits eine Login-Begrenzung. In diesem Fall müssen Sie hierfür natürlich kein weiteres Plugin installieren.

Nur so viele Plugins wie nötig nutzen

Plugins können immer eine Schwachstelle und potentielles Einfallstor für Hacker sein. Daher ist es nicht nur wichtig, die verwendeten Plugins immer aktuell zu halten, sondern auch konsequent Plugins zu bereinigen. Wenn es alte Plugins oder auch alte Themes gibt, die Sie nicht mehr verwenden, löschen Sie sie! Überlegen Sie vor der Installation eines neuen Plugins immer, ob Sie es wirklich benötigen oder ob Sie darauf verzichten können. Auf Plugins von fragwürdigen Quellen sollten Sie natürlich immer verzichten.

Plugins für zusätzliche Sicherheit

Einige sinnvolle Plugins haben wir Ihnen zuvor in der Übersicht der möglichen Maßnahmen bereits genannt. Es gibt darüber hinaus jedoch noch weitere sehr empfehlenswerte Plugins für WordPress, die Ihre Sicherheit zusätzlich optimieren.

Firewall Plugins und andere kleine Tools ermöglichen es Ihnen, ein Sicherheitslevel zu erreichen, dass Sie über manuelle Änderungen und Anpassungen nicht erreichen können. Welche Plugins besonders empfehlenswert sind, haben wir hier für Sie kurz zusammengefasst. Falls Sie nicht genau wissen, wie Sie ein Plugin installieren, können Sie dies hier nochmals genau nachlesen.

1.

Wordfence

Wordfence ist die mit Abstand bekannteste Firewall für WordPress. Zusätzlich scannt das Tool die Installation nach Malware, wehrt bekannte Bedrohungen ab und bietet eine ganze Reihe von sinnvollen Features. Die Echtzeit-Firewall gehört allerdings zum Premium-Paket. Mit über 2 Millionen Installationen weltweit ist das Plugin eines der bedeutendsten für WordPress überhaupt.

2.

Block Bad Queries

Block Bad Queries ist ein einfaches und vor allen Dingen schnelles Firewall Plugin für WordPress. Es ist mit Plugins sehr gut kompatibel, benötigt keinerlei Konfiguration und ist besonders einsteigerfreundlich. Gegen schädliche URL-Requests schützt es sehr gut und blockt zudem eine ganze Reihe von bekannten Angriffsversuchen.

3.

Hide My WP

Das Plugin Hide My WP unterstützt Sie dabei, die üblichen WordPress Pfade und Ordnerstrukturen zu verändern und zu verstecken. Dies macht es Hackern unmöglich, Inhalte über die üblichen Adressstrukturen erreichen zu können. 

4.

Bullet Proof Security

Auch das Bullet Proof Security Plugin ist dazu gedacht, diverse Angriffe abzuwehren. Es schützt u.a. die .htaccess Datei, baut eine Firewall um die Installation auf, limitiert die Anzahl der Login-Versuche, prüft Passwörter und schützt zudem die Datenbank. Der große Vorteil des Tools liegt in der einfachen Bedienbarkeit.

Top WordPress Hosting 2024
Gesponsert
ab 8,91 €
pro Monat
SiteGround
ab 17,85 €
pro Monat
RAIDBOXES
ab 29,75 €
pro Monat
HostPress
ab 27,26 €
pro Monat
Kinsta
alle anzeigen
Carsten Podszun hat Informatik und Betriebswirtschaft studiert und war 15 Jahre lang selbständig im Einzelhandel tätig. Seit 2014 ist er Berater für Startups, freier Autor und schreibt bei EXPERTE.de rund um die Themen Homepage, Hosting & IT-Security.
Mehr zum Thema