{"id":540,"date":"2019-03-07T23:00:35","date_gmt":"2019-03-07T22:00:35","guid":{"rendered":"https:\/\/quantenfrosch.at\/blog\/?p=540"},"modified":"2023-11-14T22:35:15","modified_gmt":"2023-11-14T21:35:15","slug":"15-sicherheitstipps-fuer-wordpress","status":"publish","type":"post","link":"https:\/\/quantenfrosch.at\/blog\/15-sicherheitstipps-fuer-wordpress\/","title":{"rendered":"15 Sicherheitstipps f\u00fcr Wordpress"},"content":{"rendered":"<div id='fwdsapdiv0' class='fwdsap-holder-div'><\/div>\n<p>Ohne Internet l\u00e4uft heute gar nichts mehr. Wir bewegen uns v\u00f6llig normal und teilweise gedankenlos durch die virtuelle Welt. Doch w\u00e4hrend wir unser Zuhause oder unser Gesch\u00e4ft t\u00e4glich durch Abschlie\u00dfen und andere Ma\u00dfnahmen vor realen Gefahren wie einem Einbruch sch\u00fctzen, lassen wir die <strong>Sicherheit <\/strong>im Internet oftmals au\u00dfen vor. Zu irreal erscheint uns diese Welt noch immer. Falls Sie eine Website mit Wordpress betreiben, sollten Sie auch hier auf die Sicherheit bedacht sein. In diesem Artikel finden Sie 15 <strong>Sicherheitstipps <\/strong>f\u00fcr Wordpress, mit denen Sie schnell den Schutz Ihrer Website verbessern k\u00f6nnen. Richten auch Sie deshalb jetzt geeignete Sicherheitsma\u00dfnahmen ein, um sich vor Angriffen von Au\u00dfen optimal zu sch\u00fctzen.<\/p>\n<h3>1. W\u00e4hlen Sie eine gute Hosting-Firma<\/h3>\n<p>Bei einigen Dingen sollte man nicht sparen. Das Hosting geh\u00f6rt dazu! Gerade dann, wenn Sie mit Ihrer Wordpress Website Geld verdienen, lohnt sich die Investition in ein qualitativ <a href=\"https:\/\/quantenfrosch.at\/leistungen\/wordpress-hosting\/\">hochwertiges Hostingpaket<\/a> eines seri\u00f6sen Anbieters. Dazu sollten Sie wissen, dass ein Gro\u00dfteil der erfolgreichen Angriffe direkt von der Hosting-Plattform ausgehen. Deshalb sollten Sie zwingend darauf achten, einer Hosting-Firma den Zuschlag zu erteilen, die Ihre Sicherheit ernst nimmt und geeignete Sicherheitsma\u00dfnahmen zum Schutz ihrer Kunden ergriffen hat.<\/p>\n<p>Das Angebot der Hosting-Firma sollte mindestens folgende Standards umfassen:<\/p>\n<ul>\n<li>Unterst\u00fctzung der neuesten Versionen grundlegender Webtechnologien wie PHP und MySQL<\/li>\n<li>auf Wordpress optimiertes Hosting<\/li>\n<li>eine Firewall, die auch auf Wordpress ausgerichtet ist<\/li>\n<li>Malware-Scans und Einbruchserkennung<\/li>\n<\/ul>\n<p>Informieren Sie sich, bevor Sie sich f\u00fcr ein Hosting-Angebot entscheiden. Sollte Ihre aktuelle Hosting-Firma die Standards nicht erf\u00fcllen, ziehen Sie mit Ihrer Wordpress Website zu einem besseren Hosting-Anbieter um.<\/p>\n<h3>2. Tabellen-Pr\u00e4fix der Wordpress Datenbank \u00e4ndern<\/h3>\n<p>Schon w\u00e4hrend Sie Wordpress installieren, k\u00f6nnen Sie viel f\u00fcr die sp\u00e4tere Sicherheit tun. So sollten Sie zun\u00e4chst einen neuen Tabellen-Pr\u00e4fix setzen. In der Standardinstallation beginnen alle Tabellen in der Wordpress-Datenbank mit &#8222;wp_&#8220;. Dadurch wird die sp\u00e4tere Website aber anf\u00e4lliger f\u00fcr sogenannte SQL-Injections, da Hacker das Tabellenpr\u00e4fix kennen.<\/p>\n<h4>Was k\u00f6nnen Sie konkret tun?<\/h4>\n<p>W\u00e4hrend der Installation haben Sie die M\u00f6glichkeit den Standardpr\u00e4fix der Datenbank zu \u00e4ndern in beispielsweise &#8222;fxhdb_&#8220;. Bei bereits bestehenden Wordpress Installationen k\u00f6nnen Sie das Plugin <a href=\"https:\/\/wordpress.org\/plugins\/brozzme-db-prefix-change\/\" target=\"_blank\" rel=\"noopener\">Brozzme DB Prefix<\/a> daf\u00fcr verwenden.<\/p>\n<h3>3. Bei Themes und Plugins ist Qualit\u00e4t entscheidend<\/h3>\n<p>Themes und Plugins bieten oft eine gro\u00dfe Angriffsfl\u00e4che f\u00fcr Hacker. Je mehr Plugins Sie installieren und aktivieren, umso unsicherer und instabiler wird Ihre Website. Mit jedem neu aktivierten Plugin steigt das Risiko. Deaktivieren <strong>und l\u00f6schen<\/strong> Sie daher regelm\u00e4\u00dfig nicht mehr ben\u00f6tigte Plugins.<\/p>\n<p>F\u00fcr Themes gilt dasselbe. Viele Wordpress-Nutzer probieren verschiedene Themes aus, aber vergessen dann nicht ben\u00f6tigte wieder zu entfernen. Nicht verwendete Themes sollten Sie jedoch l\u00f6schen. Nutzen Sie auch nur Themes, die k\u00fcrzlich aktualisiert wurden. Verwenden Sie Premium Themes, f\u00fcr die Sie ein paar Euro investieren m\u00fcssen, da hier in der Regel ein Support vorhanden ist und das Theme laufend weiterentwickelt wird.<\/p>\n<p>Je l\u00e4nger die Aktualisierung eines Themes oder Plugins her ist, desto h\u00f6her ist die Wahrscheinlichkeit, dass es veralteten Code oder Sicherheitsl\u00fccken enth\u00e4lt. Zudem ist es wichtig, Themes und Plugins nur von Quellen zu downloaden, denen Sie vertrauen k\u00f6nnen. Nutzen Sie daher in erster Linie das Wordpress-Verzeichnis als Download-Quelle.<\/p>\n<h3>4. Wordpress, Themes und Plugins regelm\u00e4\u00dfig updaten<\/h3>\n<p>Wordpress bietet regelm\u00e4\u00dfige Updates an, die neue Funktionen und Verbesserungen enthalten. Neu endtdeckte Sicherheitsl\u00fccken werden in diesen Updates in der Regel ebenfalls gestopft. Deshalb sollten Sie Wordpress regelm\u00e4\u00dfig updaten.<\/p>\n<p>Themes und Plugins m\u00fcssen ebenfalls regelm\u00e4\u00dfig aktualisiert werden. Im Wordpress Backend wird Ihnen angezeigt, f\u00fcr welche installierten Komponenten Updates zur Verf\u00fcgung stehen. Mit einem Klick starten Sie die Aktualisierung und sorgen gleichzeitig f\u00fcr mehr Sicherheit.<\/p>\n<h3>5. Verwenden Sie sichere Logindaten<\/h3>\n<p>Mit sicheren Logindaten erschweren Sie Angriffe, bei denen Hacker automatisch zahlreiche Kombinationen aus Benutzernamen und Kennwort \u00fcber ein Script testen, bis sie einen Treffer landen (Brute Force Angriff). Folgende Ma\u00dfnahmen sorgen f\u00fcr mehr Sicherheit:<\/p>\n<ul>\n<li>Nutzen Sie nicht das Wort &#8222;Admin&#8220; als Benutzernamen<\/li>\n<li>W\u00e4hlen Sie ein sicheres Kennwort mit verschiedenen Gro\u00df- und Kleinbuchstaben, Zahlen und Sonderzeichen<\/li>\n<\/ul>\n<p>Erzwingen Sie die Verwendung starker Passw\u00f6rter f\u00fcr alle Nutzer Ihrer Website. Dabei k\u00f6nnen Sie auf Plugins zur\u00fcckgreifen wie z.B. Wordfence.<\/p>\n<h3>6. Anmeldeversuche begrenzen<\/h3>\n<p>Wenn Sie oben genannte Sicherheitsma\u00dfnahmen umgesetzt haben, sollten Sie auch die Anzahl der Anmeldeversuche begrenzen. Auch hierf\u00fcr bietet sich das Plugin <a href=\"https:\/\/de.wordpress.org\/plugins\/wordfence\/\" target=\"_blank\" rel=\"noopener\">Wordfence <\/a>an. \u00dcber Wordfence k\u00f6nnen Sie festlegen, wie viele fehlgeschlagene Loginversuche eine bestimmte IP-Adresse haben darf, bevor sie vor\u00fcbergehend oder dauerhaft gesperrt wird. So sind Hacker nicht in der Lage, die notwendige (und hohe) Anzahl an Loginversuchen zu starten, um Benutzernamen mit passendem Passwort zu erraten.<\/p>\n<h3>7. Pfad zur Loginseite \u00e4ndern<\/h3>\n<p>Verschieben Sie die Loginseite, indem Sie den Pfad zu ihr ver\u00e4ndern. So k\u00f6nnen automatisierte Scripts nicht mehr ohne Weiteres auf die Loginseite zugreifen. Auch hierf\u00fcr gibt es Plugins wie beispielsweise <a href=\"https:\/\/wordpress.org\/plugins\/wps-hide-login\/\" target=\"_blank\" rel=\"noopener\">WPS Hide Login<\/a>.<\/p>\n<h3>8. Sch\u00fctzen Sie wichtige Dateien vor dem Zugriff<\/h3>\n<p>Die .htaccess-Datei ist eine sehr wichtige Datei, da sie Ihren Server konfiguriert. Sie enth\u00e4lt unter anderem den Code, der die Verwendung von Permalinks in Wordpress erm\u00f6glicht und weitere wichtige Einstellungen. Obendrein kann sie auch die Sicherheit von Wordpress erh\u00f6hen.<\/p>\n<p>F\u00fcr letzteres m\u00fcssen Sie zuerst auf die .htaccess Datei zugreifen, die sich im Stammverzeichnis des Servers befindet und tragen Sie nachfolgenden Code ein:<\/p>\n<p>Der Code verhindert den Zugriff auf kritische Dateien wie wp-config.php, Fehlerprotokolle, der .htaccess selbst und weiterer wichtiger Dateien.<\/p>\n<p><code># Zugriff auf wp-config.php, .htpasswd, liesmich.html und readme.html sperren<br \/>\n&lt;FilesMatch \"(.htpasswd|wp-config.php|liesmich.html|readme.html)\"&gt;<br \/>\nOrder deny,allow<br \/>\nDeny from all<br \/>\n&lt;\/FilesMatch&gt;<\/code><\/p>\n<p><code># Zugriff auf .htaccess sperren<br \/>\n&lt;files .htaccess=\"\"&gt;<br \/>\norder allow,deny<br \/>\ndeny from all<br \/>\n&lt;\/files&gt;<\/code><\/p>\n<p><code># Zugriff auf alle .exe Dateien sperren<br \/>\n&lt;files \"*.exe\"&gt;<br \/>\norder deny,allow<br \/>\ndeny from all<br \/>\n&lt;\/files&gt;<\/code><\/p>\n<p><code># Kein Zugriff auf das Error-Log<br \/>\n&lt;files error_log&gt;<br \/>\nOrder allow,deny<br \/>\nDeny from all<br \/>\n&lt;\/files&gt;<\/code><\/p>\n<p><code># Kein Zugriff auf alle readme.txt Dateien der Plugins<br \/>\n&lt;Files readme.txt&gt;<br \/>\nOrder allow,deny<br \/>\nDeny from all<br \/>\n&lt;\/Files&gt;<\/code><\/p>\n<p>Stellen Sie sicher, dass Sie den Code <strong>nach <\/strong>der Zeile <code>#END Wordpress<\/code> einf\u00fcgen.<\/p>\n<h3>9. SSL und HTTPS einrichten<\/h3>\n<p>F\u00fcr professionelle Websites sollte SSL eigentlich bereits Standard sein, vor allem da die EU Datenschutzbestimmungen den Einsatz von SSL fast schon zwingend voraussetzen. Falls trotzdem noch nicht geschehen, sollten Sie auch eine <a href=\"https:\/\/quantenfrosch.at\/shop\/produkt\/ssl-umstellung-ihrer-wordpress-website\/\" target=\"_blank\" rel=\"noopener\">SSL-Verschl\u00fcsselung einrichten<\/a>. Dadurch wird verhindert, dass sensible Informationen unverschl\u00fcsselt erfasst werden k\u00f6nnen. Gerade im Bereich E-Commerce ist das ein absolutes Muss!<\/p>\n<h3>10. Ausf\u00fchrung von PHP-Dateien im Uploads Ordner verhindern<\/h3>\n<p>Ein h\u00e4ufiger Angriffspunkt f\u00fcr Hacker zum Hochladen von Malware ist im Verzeichnis wp-content\/uploads. Um zu verhindern, dass Malware im Falle eines Hacks ausgef\u00fchrt werden kann, navigieren Sie mit einem FTP Client (z.B. Filezilla) in das Verzeichnis \/wp-content\/uploads Ihrer Wordpress Installation. Falls noch nicht vorhanden, erstellen Sie mit einem Code-Editor eine <em>.htaccess<\/em> Datei, setzen folgen Code ein und laden die Datei anschlie\u00dfend in den Ordner &#8222;uploads&#8220; hoch:<\/p>\n<p><code>&lt;FilesMatch \"\\.(php|php\\.)$\"&gt;<br \/>\nOrder Allow,Deny<br \/>\nDeny from all<br \/>\n&lt;\/FilesMatch&gt;<\/code><\/p>\n<p>Wenn Sie das Plugin Wordfence verwenden, gibt es auch eine einfachere M\u00f6glichkeit, den Uploads-Ordner zu sch\u00fctzen. Sie finden diese Einstellung in den Optionen des Plugins.<\/p>\n<h3>11. WP-Includes absichern<\/h3>\n<p>Der Ordner &#8222;wp-includes&#8220; enth\u00e4lt Wordpress-Kerndateien, an die niemand rankommen sollte. Um absolut sicher zu gehen, dass dies nicht geschieht, verwenden Sie den folgenden Code in Ihrer .htaccess. Nutzen Sie den Code bitte nicht in einer Mulstisite Installation, da es hier zu Problemen kommen kann:<\/p>\n<p><code># Zugriff auf den Include-Dateien verbieten - NICHT MULTISITE VERWENDEN<br \/>\n&lt;IfModule mod_rewrite.c&gt;<br \/>\nRewriteEngine On<br \/>\nRewriteBase \/<br \/>\nRewriteRule ^wp-admin\/includes\/ - [F,L]<br \/>\nRewriteRule !^wp-includes\/ - [S=3]<br \/>\nRewriteRule ^wp-includes\/[^\/]+\\.php$ - [F,L]<br \/>\nRewriteRule ^wp-includes\/js\/tinymce\/langs\/.+\\.php - [F,L]<br \/>\nRewriteRule ^wp-includes\/theme-compat\/ - [F,L]<br \/>\n&lt;\/IfModule&gt;<\/code><\/p>\n<h3>12. Verhindern Sie die Verzeichnisanzeige<\/h3>\n<p>Standardm\u00e4\u00dfig kann jeder &#8211; wirklich jeder &#8211; die Verzeichnisstruktur einer beliebigen Wordpress-Seite anzeigen, indem er einfach den vollst\u00e4ndigen Pfad zu den Verzeichnissen in die Browserleiste einf\u00fcgt. Zwar k\u00f6nnen Hacker dadurch keine \u00c4nderungen vornehmen, doch das Wissen \u00fcber Ihre Website-Struktur hilft ihnen trotzdem. Da Sie den Hackern die Arbeit m\u00f6glichst schwer machen wollen, deaktivieren Sie die Anzeige der Verzeichnisse auf Ihrem Webserver in der .htaccess:<\/p>\n<p><code>Options All -Indexes<\/code><\/p>\n<h3>13. Wordpress Versionsnummer entfernen<\/h3>\n<p>Standardm\u00e4\u00dfig enth\u00e4lt Wordpress im Quellcode den Meta-Tag &#8222;generator&#8220;, das die Version Ihrer Wordpress Installation anzeigt. Diese Versionsnummer wird auch an einige Stylesheets und Javascript-Dateien angeh\u00e4ngt. Leider k\u00f6nnen diese Informationen auch sehr n\u00fctzlich f\u00fcr alle sein, die versuchen, Ihre Website zu hacken. Dies gilt insbesondere, wenn Sie eine \u00e4ltere Version von Wordpress verwenden, die eine bekannte Sicherheitsl\u00fccke aufweist. Zum Gl\u00fcck k\u00f6nnen Sie die Versionsnummer einfach entfernen, indem Sie oben in der functions.php-Datei Ihres Themes folgendes PHP Code hinzuf\u00fcgen:<\/p>\n<p><code>\/\/ Wordpress Version aus wp_head entfernen<br \/>\nremove_action('wp_head', 'wp_generator');<\/code><\/p>\n<p><code>\/\/ Wordpress Version aus RSS Feed entfernen<br \/>\nadd_filter('the_generator', '__return_empty_string');<\/code><\/p>\n<p><code>\/\/ Wordpress Version aus Scripts und Stylesheets entfernen<br \/>\nfunction qf_remove_version_scripts_styles($src) {<br \/>\nif (strpos($src, 'ver=')) {<br \/>\n$src = remove_query_arg('ver', $src);<br \/>\n}<br \/>\nreturn $src;<br \/>\n}<br \/>\nadd_filter('style_loader_src', 'qf_remove_version_scripts_styles', 9000);<br \/>\nadd_filter('script_loader_src', 'qf_remove_version_scripts_styles', 9000);<\/code><\/p>\n<h3>14. XML-RPC Schnittstelle deaktivieren<\/h3>\n<p>XML-RPC ist eine Schnittstelle, mit der eine Remote-Verbindung zu Wordpress erm\u00f6glicht wird. Sie wird unter anderem f\u00fcr Trackbacks und Pingbacks verwendet. Leider ist die Funktion oft das Ziel von Hackern, da \u00fcber sie auch Login-Versuche vorgenommen werden k\u00f6nnen, und das in einer viel h\u00f6heren Geschwindigkeit, als beispielsweise auf der Standard Loginseite von Wordpress. Daher sollten Sie die Schnittstelle mit dem Plugin <a href=\"https:\/\/de.wordpress.org\/plugins\/disable-xml-rpc\/\" target=\"_blank\" rel=\"noopener\">Disable XML-RPC<\/a> deaktivieren.<\/p>\n<h3>15. Legen Sie regelm\u00e4\u00dfige Backups an<\/h3>\n<p>Alle genannten Ma\u00dfnahmen sind n\u00fctzlich, um die Sicherheit von Wordpress zu verbessern. Aber es passieren immer wieder mal auch unvorhergesehene Dinge, die alle Absicherungen umgehen. Legen Sie deshalb regelm\u00e4\u00dfig Backups Ihrer Website an, am besten gleich mehrere. Sollten alle Stricke rei\u00dfen, k\u00f6nnen Sie Ihre Website mit ein paar Handgriffen wiederherstellen. Ein Plugin, das Ihnen dabei helfen kann, ist beispielsweise <a href=\"https:\/\/de.wordpress.org\/plugins\/updraftplus\/\" target=\"_blank\" rel=\"noopener\">Updraft Plus<\/a>. Aber auch andere Plugins erf\u00fcllen diesen Job hervorragend. Wichtig ist nur, dass Sie regelm\u00e4\u00dfig Backups anlegen, egal womit oder auf welche Weise.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Ohne Internet l\u00e4uft heute gar nichts mehr. Wir bewegen uns v\u00f6llig normal und teilweise gedankenlos durch die virtuelle Welt. Doch w\u00e4hrend wir unser Zuhause oder unser Gesch\u00e4ft t\u00e4glich durch Abschlie\u00dfen<\/p>\n","protected":false},"author":6,"featured_media":542,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":"","rank_math_title":"15 Sicherheitstipps um Ihre Wordpress Website zu sch\u00fctzen","rank_math_description":"Schnell umsetzbare Sicherheitstipps und Ma\u00dfnahmen f\u00fcr Wordpress, mit denen Sie den Schutz Ihrer Website verbessern k\u00f6nnen.","rank_math_focus_keyword":"sicherheitstipps"},"categories":[12],"tags":[42],"class_list":["post-540","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-wordpress","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/quantenfrosch.at\/blog\/wp-json\/wp\/v2\/posts\/540","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/quantenfrosch.at\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/quantenfrosch.at\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/quantenfrosch.at\/blog\/wp-json\/wp\/v2\/users\/6"}],"replies":[{"embeddable":true,"href":"https:\/\/quantenfrosch.at\/blog\/wp-json\/wp\/v2\/comments?post=540"}],"version-history":[{"count":1,"href":"https:\/\/quantenfrosch.at\/blog\/wp-json\/wp\/v2\/posts\/540\/revisions"}],"predecessor-version":[{"id":1842,"href":"https:\/\/quantenfrosch.at\/blog\/wp-json\/wp\/v2\/posts\/540\/revisions\/1842"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/quantenfrosch.at\/blog\/wp-json\/wp\/v2\/media\/542"}],"wp:attachment":[{"href":"https:\/\/quantenfrosch.at\/blog\/wp-json\/wp\/v2\/media?parent=540"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/quantenfrosch.at\/blog\/wp-json\/wp\/v2\/categories?post=540"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/quantenfrosch.at\/blog\/wp-json\/wp\/v2\/tags?post=540"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}