Lesezeit: 5 Minuten

So sichern Sie WordPress gegen Hackerangriffe – WordPress Security Tipps

Das Content Management System „WordPress“ findet immer größere Verbreitung – unter anderem, weil es einfach ist. Es ist einfach, eine Website damit zu generieren. Es ist einfach, Inhalte zu aktualisieren und online zu stellen. Und es ist einfach, Sie dadurch zu hacken.

Und eben durch die weite Verbreitung kommt WordPress immer mehr in das Visier von Angreifern.

Dabei ist WordPress in der Standardinstallation – also ohne Plugins und Themes von Drittanbietern – ein recht sicheres System. Doch je mehr Komponenten, desto komplexer ihre Abstimmung aufeinander, was zu klaffenden Sicherheitslücken führen kann.

Oft geht in Diskussionen um Kompatibilität und Updates allerdings das vermeintlich wichtigste Thema unter:

Wie optimiere ich die Sicherheit meiner Webseite vollständig und einheitlich?

Einfache Schritte, um WordPress zu sichern – WordPress Security Basics

  1. Halten Sie Ihre WordPress-Version IMMER aktuell!
  2. Verändern Sie niemals den WordPress Kern.
  3. Stellen Sie sicher, dass alle Plugins aktuell sind.
  4. Entfernen Sie alle inaktiven oder unbenutzten Plugins.
  5. Stellen Sie sicher, dass alle WordPress Themes aktuell bleiben.
  6. Installieren Sie Themes, Plugins und Scripts NUR über ihre offizielle Quelle.
  7. Wählen Sie einen sicheren WordPress Hosting-Service.
  8. Stellen Sie sicher, dass auf Ihrer Site die neueste PHP-Version läuft.
  9. Erstellen Sie .htpsswd und .htaccess Verzeichnisschutzdateien für den Administratorbereich.
  10. Verwenden Sie die Google Authenticator App.
  11. Änderen Sie den Username des Admins.
  12. Benutzen Sie immer starke Passwörter.
  13. Verwenden Sie schon mal verwendete Passwörter nicht wieder.
  14. Schützen Sie Passwörter, indem die Übertragung des Passworts im Klartext verhindert wird.
  15. Aktualisieren Sie Ihre Website nur über ein vertrauenswürdiges Netzwerk. Das Internetcafé im Urlaub ist nicht der geeignete Platz dafür :)
  16. Benutzen Sie auf Ihrem lokalen Rechner ein lokals Anti-Virus.
  17. Aktivieren Sie die Google Search Console.
  18. Sicheren Sie WordPress mit einem Security-Tool ab, z.B. mit BulletProof Security PlugIn.
  19. Wiederherstellung von Daten immer über bereits getätigte Backups.

Verbesserte Absicherung von WordPress – WordPress Security für mehr Sicherheit

  1. Begrenzen Sie die Anzahl der Login-Versuche auch maximal 5.
  2. Aktivieren Sie die Zwei-Faktor-Authentifizierung.
  3. Stellen Sie sicher, dass die Zugriffsrechte korrekt sind.
  4. Ändern Sie das vorgegebene Tabellenpräfix.
  5. Stellen Sie sicher, dass Sie WordPress Secret Authentication Keys eingerichtet haben.
  6. SALTen Sie Passwörter.
  7. Schränken Sie die PHP-Ausführung ein.
  8. Trennen Sie Datenbanken (für jede Installation eine Datenbank)
  9. Schränken Sie die Userrechte für Datenbanken ein.
  10. Deaktivieren Sie die Dateibearbeitung.
  11. Sicheren Sie Ihre wp-config.php Datei und bewahren Sie diese an einem sicheren Ort.
  12. Deaktivieren Sie XML-RPC, wenn Sie es nicht benutzen.
  13. Deaktivieren Sie die Debug-Funktion und das Ausliefern von PHP-Fehlermeldungen.
  14. Installieren Sie eine Firewall.
  15. Benutzen Sie einen Filter für die Datenanlieferung von Content Delivery Networks.
  16. Überwachen Sie die Logdateien Ihres WordPress-Security-Tools
Lesen Sie auch  Like Button - EuGH Urteil und Veränderungen

Unsere Top 10 Security Plugins für WordPress

1. Wordfence Security Plugin

Mit einer Auswahl an Security-Features sorgt Wordfence für höhere Sicherheit auf WordPress Seiten.

Das Plugin scannt Core-Files, um potentiell schädlichen Einfluss aufzuspüren und blockiert als schädlich bekannte Netzwerke und Angriffe in Echtzeit.

Mit einer eigenen Firewall werden weitere bekannte Sicherheitsrisiken verringert.

Außerdem sorgt die Falcon-Engine für erhöhte Performance der Site.

2. Sucuri Security

Der Web-Monitoring-Dienst scannt frei definierbare Seiten zu frei definierbaren Zeiten auf Schadcode.

Dabei werden Datenbanken von bekannten Schwachstellen und gemeldete Probleme großer „Blacklisting Authorities“, wie Google, Mcafee oder Phish Tank hinzugezogen.

Außerdem hat man die Möglichkeiten, einen kostenlosen API-Key generieren zu lassen.

3. All In One WP Security Plugin

Diese beliebte Erweiterung richtet sich eher an Anfänger, die die Sicherheit ihrer Site verbessern möchten, ohne komplexe Regeln zum Erstellen einer htaccess-Datei kennen zu müssen.

Den Optimierungsprozess kann man an einem Tacho mitverfolgen – je höher der Score, desto besser wurde WordPress auf Sicherheit optimiert.

Ansonsten funktioniert das All In One WP Security Plugin, wie der Name schon sagt, als eine Sammlung nützlicher Codes, die die Sicherheit verbessern.

Dabei sind eine kleine Firewall, Tweaks gegen Brute-Force-Attacken, die Möglichkeit das Datenpräfix zu verändern und eine Benutzerverwaltung anzulegen sowie zahlreiche weitere Sicherheitsfunktionen.

4. iThemes Security (hieß früher mal Better WP Security)

Statt mit Text zu erschlagen, nimmt iThemes Security einen regelrecht an die Hand und zeigt mit verständlichen, durchdachten Hinweisen, was genau man tun kann, um seine Website sicherer zu machen.

Das recht umfangreiche Plugin enthält unter anderem einen Malware Scanner, Database Logs, Zwei-Faktor-Authentifizierung, 404 Protection und Schutz vor Brute Force Attacken durch das Limitieren von Loginversuchen.

5. Fail2ban

Das Plugin funktioniert als Filter, der Logins überwacht und bei Auffälligkeiten IP-Adressen blockiert, ohne dabei massive Auswirkungen auf die Geschwindigkeit von WordPress zu haben.

Lesen Sie auch  Google sichere Content Strategie

In einer jail-Datei können Filtereinstellungen und Aktionen hinterlegt werden.

Ursprünglich für alle POSIX-Systeme entwickelt, gibt es Fail2ban jetzt auch als WordPress-Plugin mit vereinfachter Benutzung.

6. Bad Behavior

Das PHP-basierte Plugin fungiert als Türsteher, der Spammer daran hindert, ihren Müll zu verbreiten und die Seite überhaupt lesen zu können.

Bad Behavior versucht zu blocken, bevor die Möglichkeit entsteht, das System nutzen zu können.

Um das zu erreichen, werden die Software des Bloglesers sowie die Methode, wie er Daten sendet, analysiert. Potentielle Spammer werden dann mit der Apache-Meldung #403 von allen Zugriffsberechtigungen ausgeschlossen.

7. Security Ninja

Mit diesem Plugin lassen sich die Schwachstellen einer Website aufspüren, indem zahlreiche Sicherheitstests per Mausklick durchgeführt werden können.

Darüber hinaus lassen sich damit Angriffe simulieren und auswerten sowie Präventivmaßnahmen festlegen.

Lohnend sind die Updates, die neue Schwachstellen-Tests implementieren.

8. ThreeWP Activity Monitor

Das Plugin informiert den Seitenbetreiber in Echtzeit über die Nutzeraktivität seiner Seite.

Dazu gehören zum Beispiel Neuregistrierungen, erfolgreiche und gescheiterte Anmeldeversuche, Kommentare, angelegte Seiten und Posts, gelöschte Nutzer sowie geänderte Passwörter.

9. User Role Editor

Mit einem einfachen Interface lassen sich die Berechtigungen unterschiedlicher Nutzergruppen unkompliziert und schnell bearbeiten.

10. WP Update Notifier

Dieses Plugin informiert den Seitenbetreiber per Mail über anstehende Updates – nicht nur für WordPress selbst, sondern für alle verwendeten Plugins und Themes.

Damit eignet sich der WP Update Notifier für alle, die sich nicht regelmäßig als Admin am Backend anmelden, um das System auf dem neuesten Stand zu halten und Sicherheitslücken zu minimieren.

Mehr Informationen zum Thema CMS-Sicherheit erhalten Sie in unserer Sichtbarkeitsstudie 2016.