WordPress Sicherheit: Wie schützt man seine Website am besten vor Angreifern?

WordPress gilt als das beliebteste Content-Management-System der Welt: Im Jahr 2003 als kleines Blogtool gestartet, wird mittlerweile jede vierte Website mit WordPress betrieben. Diese Popularität lässt sich vor allen Dingen darin begründen, dass sich das CMS auch von Laien extrem leicht bedienen lässt und gleichzeitig sehr viel Spielraum für die eigene Kreativität bietet. Außerdem steht WordPress als Open-Source Lösung jedem Anwender zum kostenlosen Download und Nutzung zur Verfügung. Ein System, das so weit verbreitet ist, stellt jedoch immer auch ein attraktives Ziel für Angreifer dar. Um seine Website zu schützen, sollte sich jeder Betreiber einer WordPress-basierten Homepage mit den grundlegenden Sicherheitsaspekten des CMS beschäftigen. Hier erfahren Sie nützliche Hinweise zum Thema WordPress Sicherheit.

Die WordPress Sicherheit direkt bei der Installation beachten

Bereits beim Installationsprozess von WordPress gibt es einige Faktoren, die im Hinblick auf die Sicherheit der WordPress Website eine große Rolle spielen. Hier geben wir dir eine kurze Übersicht zu einigen Punkten, mit denen du direkt bei der Einrichtung von WordPress in Sachen Security punkten kannst:

SSL Zertifikate

Die Implementierung eines SSL-Zertifikats (Secure Socket Layer) ist ein kluger Schritt, um den Admin-Bereich zu sichern. SSL gewährleistet einen sicheren Datentransfer zwischen den Browsern der Benutzer und dem Server, wodurch es für Angreifer schwierig wird, die Verbindung zu unterbrechen oder deine Daten zu verfälschen.
Ein SSL-Zertifikat für deine WordPress Website zu erhalten ist einfach. Bei Hostpress ist ein kostenloses SSL Zertifikat von Let’s Encrypt bereits in der Starter Variante enthalten.

Admin Username ändern

Während der Installation von WordPress wirst du aufgefordert einen Benutzernamen einzugeben. Standardmäßig wird „admin“ als Benutzernamen für den Admin-Accout vorgeschlagen. Ein so leicht zu erratender Benutzername ist für Hacker leicht zugänglich. Weiß der Angreifer bereits den Benutzernamen muss er „nur“ noch das Passwort knacken. Verwende hier also einen von dir erfundenen Benutzernamen.

WordPress DB Prefix ändern

Wenn du jemals WordPress installiert hast, dann bist du mit dem wp-Tabellen-Präfix vertraut, das von der WordPress-Datenbank verwendet wird. Wir empfehlen dir, es in etwas Einzigartiges zu verwandeln.

Die Verwendung des Standard-Präfixes macht deine WordPress-Datenbank anfällig für SQL-Injection-Angriffe. Solche Angriffe können verhindert werden, indem man wp- in einen anderen Begriff umwandelt. Zum Beispiel kannst du es meinewp- oder wpneu- machen.

Sicheres Login-Passwort verwenden

Verwende bereits bei der Installation von WordPress ein möglichst starkes Passwort. Der Name der Katze, das Geburtsdatum oder der Name des Ehepartners sollten hier definitiv nicht verwendet werden. Stattdessen solltest du die Passwort-Stärke verbessern, indem du Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen verwendest. Eine angemessene Passwort-Länge von vorzugsweise 16 Zeichen sollte ebenfalls eingehalten werden.

Sicheres Passwort für die Datenbank verwenden

Was für den Login-Bereich gilt, gilt genauso für die Datenbank: Verwende ein möglichst sicheres Passwort. Ein starkes Passwort für den Hauptdatenbankbenutzer ist ein Muss, da WordPress mit diesem Passwort auf die Datenbank zugreift.
Verwende wie immer Großbuchstaben, Kleinbuchstaben, Zahlen und Sonderzeichen für das Passwort. Auch die Passphrasen sind ausgezeichnet. Ein kostenloses und schnelles Werkzeug zur Erstellung starker Passwörter findest du hier.

Zwei Faktor Authentifizierung (2FA)

Die Verwendung eines 2-Faktor-Authentifizierungs-Moduls (2FA) auf der Login-Seite ist eine weitere gute Sicherheitsmaßnahme. In diesem Fall gibt der Benutzer die Anmeldedaten für zwei verschiedene Komponenten an. Der Eigentümer der Website entscheidet, was diese beiden sind. Es kann ein normales Passwort sein, gefolgt von einer geheimen Frage, einem geheimen Code, einer Reihe von Zeichen, oder noch beliebter, die Google Authenticator App, die einen geheimen Code an dein Handy sendet. Der Google Authenticator lässt sich mit verschiedenen WordPress Plugins komfortabel nutzen.

WordPress Versionsnummer entfernen

Warum sollte die Versionsnummer entfernt werden? Ganz einfach: Wenn Angreifer wissen, welche Version von WordPress du verwendest, ist es einfacher potentielle Sicherheitslücken auszunutzen.
Die meisten Security Plugins bieten von Haus aus an, die Versionsnummer zu entfernen. Wer nicht auf ein solches Plugin zurückgreifen möchte, der kann mit einem kurzen Eintrag in der functions.php die Versionsnummer selber verstecken. Folgende Zeilen Code müssen in die functions.php eingefügt werden:

function wpbeginner_remove_version() {
return “;
}
add_filter(‚the_generator‘, ‚wpbeginner_remove_version‘);

Wenn du Betreiber eines WordPress-Blogs oder eines Multi-Autor-Blogs sind, dann musst du dich mit mehreren Benutzern befassen, die auf dein Admin-Panel zugreifen. Dies kann deine Webseite anfälliger für Sicherheitsbedrohungen machen.
Hier gilt also auch: Verwende für jeden Benutzer ein sicheres Passwort und im besten Fall auch einen schwierig zu erratenen Benutzernamen.

WordPress Sicherheit durch regelmäßige Updates erhöhen

Auch die neuesten Updates für WordPress, Plugins und Themes sollten immer möglichst zeitnah eingespielt werden. Um Sicherheitslücken zu vermeiden, ist es für Betreiber von WordPress-basierten Websites außerdem empfehlenswert, kontinuierlich die sicherheitsrelevanten WordPress-News zu verfolgen und / oder einen RSS Feed zu dem Thema zu abonnieren. Des Weiteren ist es empfehlenswert, in regelmäßigen Abständen Backups der WordPress-Installation anzulegen um mögliche Probleme nach einem Update schnell zurückrollen zu können. Installierte Plugins, die über einen langen Zeitraum nicht mehr geupdatet werden, sollten möglichst nicht verwendet werden.

Diese Plugins erhöhen die WordPress Sicherheit

Neben diesen grundsätzlichen Hinweisen zur Sicherheit von Websites gibt es spezielle Plugins, mit deren Hilfe die Sicherheit der WordPress Webseite noch zusätzlich erhöht wird. So wird auch deine WordPress Website zuverlässiger vor Angriffen geschützt. Die WordPress Sicherheits-Plugins sind auch für unerfahrene Nutzer sehr einfach zu bedienen und bieten Out-of-the-box einen Gewinn an Sicherheit. Die Plugins bieten z.B. Funktionen an um ein sicheres Passwort zu generieren, unsichere IP-Adressen zu blocken oder mithilfe von Firewalls direkte Angriffe abzuwehren. Um dir einen Überblick über die große Menge hilfreicher Plugins zu ermöglichen, listen wir dir an dieser Stelle unsere Top 3 der beliebtesten Sicherheits-Plugins für WordPress auf:

Wordfence Security

Wordfence ist ein recht umfangreiches Plugin, das mit seinen Features schon in der Free-Version die wichtigsten Bereiche in Sachen Sicherheit abdeckt. Neben dem Tool für eine doppelte Authentifizierung schützt Wordfence unter anderem vor Brute-Force-Angriffen. Sicherheitslücken werden mithilfe eines Scans der Website aufgedeckt und können anschließend behoben werden. Des Weiteren sammelt Wordfence Daten über (fehlgeschlagene) Login Versuche und gibt Übersicht über Änderungen an dem Dateisystem. Damit auch WordPress-Einsteiger mit dem Plugin zurechtkommen können, bietet Wordfence eine Aufzählung der wichtigsten Merkmale in Textform. Somit ist Wordfence trotz diverser Tools ein sehr übersichtliches Plugin, mit dem jeder Webseitenbetreiber umgehen kann.

iThemes Security

Auch iThemes Security lässt sich sehr leicht bedienen. Mit diesem Sicherheits-Plugin lassen sich Websites mit wenigen Klicks auf Sicherheitslücken untersuchen. iThemes schützt vor Brute-Force-Attacken, Angriffen auf das Backend, Codeeinschleusungen und unerlaubten PHP-Ausführungen. Weiterhin gibt es die Möglichkeit das WordPress Login Verzeichnis zu ändern, was es Angreifern ebenfalls erschwert, Zugriff zum Backend zu erhalten. In der Pro-Version ist außerdem eine Zwei-Faktor-Authentifizierung möglich. Per App wird ein Code generiert, der nach erfolgreicher Eingabe des Admin-Passworts zusätzlich eingegeben werden muss. Erst nach erfolgreicher Eingabe des Zahlencodes erlangt man Zugriff auf das WordPress Backend.

BBQ: Block Bad Queries

Das WordPress Sicherheits-Plugin Block Bad Queries, abgekürzt BBQ, basiert auf einer 6G-Firewall, die sich zur Absicherung bewährt hat. BBQ kontrolliert “merkwürdige“ Einschleusungen von Codes in URLs, Datenbanken und Dateien, sodass potenzielle Angreifer frühzeitig entdeckt und blockiert werden können. Diese Abwehr hat einen angenehmen Nebeneffekt: Dank der deutlich geringeren Anzahl an Zugriffen wird der Server entlastet und somit die Performance der Website erhöht.

Fazit

Bei der Verwendung eines solch populären Content-Management-System wie WordPress empfiehlt es sich einige Sicherheitsvorkehrungen zu ergreifen um seine Webseite zu schützen. Dementsprechend sollte schon bei der Installation darauf geachtet werden, dass beispielsweise der Admin-Bereich und die Datenbanken durch starke Passwörter gesichert werden. Außerdem ist es wichtig, regelmäßig Updates durchzuführen und sich über aktuelle WordPress-News zu informieren. Zuletzt sollten sich Webseiten-Betreiber mit Sicherheits-Plugins wie z.B. Wordfence Security, iThemes Security oder Block Bad Queries befassen, um auch die hartnäckigsten Angreifer blockieren zu können.

Falls du eine WordPress basierende Seite betreibst, du dich jedoch lieber auf deine Inhalte statt auf das Content-Management-System konzentrieren möchtest, stehen wir von HostPress dir zuverlässig zur Seite. HostPress bietet das schnellste und sicherste WordPress-Hosting Deutschlands und hat sich deshalb bereits bei Webseiten etabliert, die im Monat mehrere Millionen Seitenaufrufe erzielen. Informiere dich unverbindlich bei uns über die Leistungen unserer verschiedenen Pakete und erziele mit unserer Hilfe durch schnelles Hosting mehr Umsatz. Unsere Experten helfen dir auch gerne in Fragen zum Thema WordPress Security weiter.

WordPress Sicherheit: Wie schützt man seine Website am besten vor Angreifern?
4.1 (82.22%) 9 vote[s]