Ohne Internet läuft heute gar nichts mehr. Wir bewegen uns völlig normal und teilweise gedankenlos durch die virtuelle Welt. Doch während wir unser Zuhause oder unser Geschäft täglich durch Abschließen und andere Maßnahmen vor realen Gefahren wie einem Einbruch schützen, lassen wir die Sicherheit im Internet oftmals außen vor. Zu irreal erscheint uns diese Welt noch immer. Falls Sie eine Website mit Wordpress betreiben, sollten Sie auch hier auf die Sicherheit bedacht sein. In diesem Artikel finden Sie 15 Sicherheitstipps für Wordpress, mit denen Sie schnell den Schutz Ihrer Website verbessern können. Richten auch Sie deshalb jetzt geeignete Sicherheitsmaßnahmen ein, um sich vor Angriffen von Außen optimal zu schützen.
1. Wählen Sie eine gute Hosting-Firma
Bei einigen Dingen sollte man nicht sparen. Das Hosting gehört dazu! Gerade dann, wenn Sie mit Ihrer Wordpress Website Geld verdienen, lohnt sich die Investition in ein qualitativ hochwertiges Hostingpaket eines seriösen Anbieters. Dazu sollten Sie wissen, dass ein Großteil der erfolgreichen Angriffe direkt von der Hosting-Plattform ausgehen. Deshalb sollten Sie zwingend darauf achten, einer Hosting-Firma den Zuschlag zu erteilen, die Ihre Sicherheit ernst nimmt und geeignete Sicherheitsmaßnahmen zum Schutz ihrer Kunden ergriffen hat.
Das Angebot der Hosting-Firma sollte mindestens folgende Standards umfassen:
- Unterstützung der neuesten Versionen grundlegender Webtechnologien wie PHP und MySQL
- auf Wordpress optimiertes Hosting
- eine Firewall, die auch auf Wordpress ausgerichtet ist
- Malware-Scans und Einbruchserkennung
Informieren Sie sich, bevor Sie sich für ein Hosting-Angebot entscheiden. Sollte Ihre aktuelle Hosting-Firma die Standards nicht erfüllen, ziehen Sie mit Ihrer Wordpress Website zu einem besseren Hosting-Anbieter um.
2. Tabellen-Präfix der Wordpress Datenbank ändern
Schon während Sie Wordpress installieren, können Sie viel für die spätere Sicherheit tun. So sollten Sie zunächst einen neuen Tabellen-Präfix setzen. In der Standardinstallation beginnen alle Tabellen in der Wordpress-Datenbank mit „wp_“. Dadurch wird die spätere Website aber anfälliger für sogenannte SQL-Injections, da Hacker das Tabellenpräfix kennen.
Was können Sie konkret tun?
Während der Installation haben Sie die Möglichkeit den Standardpräfix der Datenbank zu ändern in beispielsweise „fxhdb_“. Bei bereits bestehenden Wordpress Installationen können Sie das Plugin Brozzme DB Prefix dafür verwenden.
3. Bei Themes und Plugins ist Qualität entscheidend
Themes und Plugins bieten oft eine große Angriffsfläche für Hacker. Je mehr Plugins Sie installieren und aktivieren, umso unsicherer und instabiler wird Ihre Website. Mit jedem neu aktivierten Plugin steigt das Risiko. Deaktivieren und löschen Sie daher regelmäßig nicht mehr benötigte Plugins.
Für Themes gilt dasselbe. Viele Wordpress-Nutzer probieren verschiedene Themes aus, aber vergessen dann nicht benötigte wieder zu entfernen. Nicht verwendete Themes sollten Sie jedoch löschen. Nutzen Sie auch nur Themes, die kürzlich aktualisiert wurden. Verwenden Sie Premium Themes, für die Sie ein paar Euro investieren müssen, da hier in der Regel ein Support vorhanden ist und das Theme laufend weiterentwickelt wird.
Je länger die Aktualisierung eines Themes oder Plugins her ist, desto höher ist die Wahrscheinlichkeit, dass es veralteten Code oder Sicherheitslücken enthält. Zudem ist es wichtig, Themes und Plugins nur von Quellen zu downloaden, denen Sie vertrauen können. Nutzen Sie daher in erster Linie das Wordpress-Verzeichnis als Download-Quelle.
4. Wordpress, Themes und Plugins regelmäßig updaten
Wordpress bietet regelmäßige Updates an, die neue Funktionen und Verbesserungen enthalten. Neu endtdeckte Sicherheitslücken werden in diesen Updates in der Regel ebenfalls gestopft. Deshalb sollten Sie Wordpress regelmäßig updaten.
Themes und Plugins müssen ebenfalls regelmäßig aktualisiert werden. Im Wordpress Backend wird Ihnen angezeigt, für welche installierten Komponenten Updates zur Verfügung stehen. Mit einem Klick starten Sie die Aktualisierung und sorgen gleichzeitig für mehr Sicherheit.
5. Verwenden Sie sichere Logindaten
Mit sicheren Logindaten erschweren Sie Angriffe, bei denen Hacker automatisch zahlreiche Kombinationen aus Benutzernamen und Kennwort über ein Script testen, bis sie einen Treffer landen (Brute Force Angriff). Folgende Maßnahmen sorgen für mehr Sicherheit:
- Nutzen Sie nicht das Wort „Admin“ als Benutzernamen
- Wählen Sie ein sicheres Kennwort mit verschiedenen Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen
Erzwingen Sie die Verwendung starker Passwörter für alle Nutzer Ihrer Website. Dabei können Sie auf Plugins zurückgreifen wie z.B. Wordfence.
6. Anmeldeversuche begrenzen
Wenn Sie oben genannte Sicherheitsmaßnahmen umgesetzt haben, sollten Sie auch die Anzahl der Anmeldeversuche begrenzen. Auch hierfür bietet sich das Plugin Wordfence an. Über Wordfence können Sie festlegen, wie viele fehlgeschlagene Loginversuche eine bestimmte IP-Adresse haben darf, bevor sie vorübergehend oder dauerhaft gesperrt wird. So sind Hacker nicht in der Lage, die notwendige (und hohe) Anzahl an Loginversuchen zu starten, um Benutzernamen mit passendem Passwort zu erraten.
7. Pfad zur Loginseite ändern
Verschieben Sie die Loginseite, indem Sie den Pfad zu ihr verändern. So können automatisierte Scripts nicht mehr ohne Weiteres auf die Loginseite zugreifen. Auch hierfür gibt es Plugins wie beispielsweise WPS Hide Login.
8. Schützen Sie wichtige Dateien vor dem Zugriff
Die .htaccess-Datei ist eine sehr wichtige Datei, da sie Ihren Server konfiguriert. Sie enthält unter anderem den Code, der die Verwendung von Permalinks in Wordpress ermöglicht und weitere wichtige Einstellungen. Obendrein kann sie auch die Sicherheit von Wordpress erhöhen.
Für letzteres müssen Sie zuerst auf die .htaccess Datei zugreifen, die sich im Stammverzeichnis des Servers befindet und tragen Sie nachfolgenden Code ein:
Der Code verhindert den Zugriff auf kritische Dateien wie wp-config.php, Fehlerprotokolle, der .htaccess selbst und weiterer wichtiger Dateien.
# Zugriff auf wp-config.php, .htpasswd, liesmich.html und readme.html sperren
<FilesMatch "(.htpasswd|wp-config.php|liesmich.html|readme.html)">
Order deny,allow
Deny from all
</FilesMatch>
# Zugriff auf .htaccess sperren
<files .htaccess="">
order allow,deny
deny from all
</files>
# Zugriff auf alle .exe Dateien sperren
<files "*.exe">
order deny,allow
deny from all
</files>
# Kein Zugriff auf das Error-Log
<files error_log>
Order allow,deny
Deny from all
</files>
# Kein Zugriff auf alle readme.txt Dateien der Plugins
<Files readme.txt>
Order allow,deny
Deny from all
</Files>
Stellen Sie sicher, dass Sie den Code nach der Zeile #END Wordpress
einfügen.
9. SSL und HTTPS einrichten
Für professionelle Websites sollte SSL eigentlich bereits Standard sein, vor allem da die EU Datenschutzbestimmungen den Einsatz von SSL fast schon zwingend voraussetzen. Falls trotzdem noch nicht geschehen, sollten Sie auch eine SSL-Verschlüsselung einrichten. Dadurch wird verhindert, dass sensible Informationen unverschlüsselt erfasst werden können. Gerade im Bereich E-Commerce ist das ein absolutes Muss!
10. Ausführung von PHP-Dateien im Uploads Ordner verhindern
Ein häufiger Angriffspunkt für Hacker zum Hochladen von Malware ist im Verzeichnis wp-content/uploads. Um zu verhindern, dass Malware im Falle eines Hacks ausgeführt werden kann, navigieren Sie mit einem FTP Client (z.B. Filezilla) in das Verzeichnis /wp-content/uploads Ihrer Wordpress Installation. Falls noch nicht vorhanden, erstellen Sie mit einem Code-Editor eine .htaccess Datei, setzen folgen Code ein und laden die Datei anschließend in den Ordner „uploads“ hoch:
<FilesMatch "\.(php|php\.)$">
Order Allow,Deny
Deny from all
</FilesMatch>
Wenn Sie das Plugin Wordfence verwenden, gibt es auch eine einfachere Möglichkeit, den Uploads-Ordner zu schützen. Sie finden diese Einstellung in den Optionen des Plugins.
11. WP-Includes absichern
Der Ordner „wp-includes“ enthält Wordpress-Kerndateien, an die niemand rankommen sollte. Um absolut sicher zu gehen, dass dies nicht geschieht, verwenden Sie den folgenden Code in Ihrer .htaccess. Nutzen Sie den Code bitte nicht in einer Mulstisite Installation, da es hier zu Problemen kommen kann:
# Zugriff auf den Include-Dateien verbieten - NICHT MULTISITE VERWENDEN
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /
RewriteRule ^wp-admin/includes/ - [F,L]
RewriteRule !^wp-includes/ - [S=3]
RewriteRule ^wp-includes/[^/]+\.php$ - [F,L]
RewriteRule ^wp-includes/js/tinymce/langs/.+\.php - [F,L]
RewriteRule ^wp-includes/theme-compat/ - [F,L]
</IfModule>
12. Verhindern Sie die Verzeichnisanzeige
Standardmäßig kann jeder – wirklich jeder – die Verzeichnisstruktur einer beliebigen Wordpress-Seite anzeigen, indem er einfach den vollständigen Pfad zu den Verzeichnissen in die Browserleiste einfügt. Zwar können Hacker dadurch keine Änderungen vornehmen, doch das Wissen über Ihre Website-Struktur hilft ihnen trotzdem. Da Sie den Hackern die Arbeit möglichst schwer machen wollen, deaktivieren Sie die Anzeige der Verzeichnisse auf Ihrem Webserver in der .htaccess:
Options All -Indexes
13. Wordpress Versionsnummer entfernen
Standardmäßig enthält Wordpress im Quellcode den Meta-Tag „generator“, das die Version Ihrer Wordpress Installation anzeigt. Diese Versionsnummer wird auch an einige Stylesheets und Javascript-Dateien angehängt. Leider können diese Informationen auch sehr nützlich für alle sein, die versuchen, Ihre Website zu hacken. Dies gilt insbesondere, wenn Sie eine ältere Version von Wordpress verwenden, die eine bekannte Sicherheitslücke aufweist. Zum Glück können Sie die Versionsnummer einfach entfernen, indem Sie oben in der functions.php-Datei Ihres Themes folgendes PHP Code hinzufügen:
// Wordpress Version aus wp_head entfernen
remove_action('wp_head', 'wp_generator');
// Wordpress Version aus RSS Feed entfernen
add_filter('the_generator', '__return_empty_string');
// Wordpress Version aus Scripts und Stylesheets entfernen
function qf_remove_version_scripts_styles($src) {
if (strpos($src, 'ver=')) {
$src = remove_query_arg('ver', $src);
}
return $src;
}
add_filter('style_loader_src', 'qf_remove_version_scripts_styles', 9000);
add_filter('script_loader_src', 'qf_remove_version_scripts_styles', 9000);
14. XML-RPC Schnittstelle deaktivieren
XML-RPC ist eine Schnittstelle, mit der eine Remote-Verbindung zu Wordpress ermöglicht wird. Sie wird unter anderem für Trackbacks und Pingbacks verwendet. Leider ist die Funktion oft das Ziel von Hackern, da über sie auch Login-Versuche vorgenommen werden können, und das in einer viel höheren Geschwindigkeit, als beispielsweise auf der Standard Loginseite von Wordpress. Daher sollten Sie die Schnittstelle mit dem Plugin Disable XML-RPC deaktivieren.
15. Legen Sie regelmäßige Backups an
Alle genannten Maßnahmen sind nützlich, um die Sicherheit von Wordpress zu verbessern. Aber es passieren immer wieder mal auch unvorhergesehene Dinge, die alle Absicherungen umgehen. Legen Sie deshalb regelmäßig Backups Ihrer Website an, am besten gleich mehrere. Sollten alle Stricke reißen, können Sie Ihre Website mit ein paar Handgriffen wiederherstellen. Ein Plugin, das Ihnen dabei helfen kann, ist beispielsweise Updraft Plus. Aber auch andere Plugins erfüllen diesen Job hervorragend. Wichtig ist nur, dass Sie regelmäßig Backups anlegen, egal womit oder auf welche Weise.