14 Möglichkeiten, Ihre WordPress-Site zu sichern – Schritt für Schritt

WordPress-Sicherheit sollte für Websitebesitzer oberste Priorität haben. Wieso den? Denn jede Minute gibt es bis zu 90.000 Angriffe auf WordPress-Seiten.

Als ob das nicht schon besorgniserregend genug wäre, setzt Google jede Woche etwa 20.000 Websites für Malware und 50.000 für Phishing auf die schwarze Liste. Und wenn eine Website auf die schwarze Liste gesetzt wird – und die Benutzer gezwungen werden, den Risiken zuzustimmen – führt dies zu einem Verlust von etwa 95 % des Datenverkehrs.

Während die neueste Version von WordPress immer die sicherste verfügbare Version ist, können Sie noch mehr an Ihrer Website tun, um sicherzustellen, dass sie für Hacker und Bots undurchdringlich ist.

Hier sind einige Best-Practice-Tipps, die Ihnen helfen, Ihre Website zu sichern.

1. Verwenden Sie einen guten Webhost
2. Verwenden Sie nur hochwertige Themes und Plugins
3. Halten Sie WordPress Core, Themes und Plugins auf dem neuesten Stand
4. Verwenden Sie nicht „Admin“ als Benutzernamen
5. Verwenden Sie ein sicheres Passwort
6. Verwenden Sie die Zwei-Faktor-Authentifizierung
7. Anmeldeversuche begrenzen
8. Installieren Sie ein SSL-Zertifikat
9. Datenbankpräfix ändern
10. Schutz von wp-config.php- und .htaccess-Dateien
11. Sicherheitsschlüssel hinzufügen
12. Dateibearbeitung deaktivieren
13. Verhindern Sie, dass PHP-Dateien ausgeführt werden
14. XML-RPC selektiv deaktivieren

1. Verwenden Sie einen guten Webhost

Ein guter Webhoster ist Ihre erste Verteidigungslinie gegen Angriffe auf Ihre Website. Entscheiden Sie sich also nicht automatisch für billiges Shared Hosting. Mach stattdessen deine Hausaufgaben.

Entscheiden Sie sich für einen seriösen Host, der die neuesten Versionen grundlegender Webtechnologien wie PHP und MySQL unterstützt. Stellen Sie sicher, dass Ihr Host PHP 7 unterstützt – es ist die offiziell empfohlene PHP-Version für WordPress.

Erwägen Sie die Wahl eines verwalteten WordPress-Hosts. Diese Dienste werden speziell für WordPress eingerichtet und kümmern sich um alle wichtigen technischen Aspekte des Hostings, einschließlich Sicherheit, Backups, Betriebszeit und Leistung.

2. Verwenden Sie nur hochwertige Themes und Plugins

Laut WPScan werden 52 % der Website-Schwachstellen durch Plugins verursacht, während 11 % durch Themen verursacht werden. Zusammengenommen sind das mehr als 60 % der WordPress-Sicherheit

Der einfachste Weg, um sicherzustellen, dass Ihre Plugins und Themes Angriffen standhalten, besteht darin, sie nur von seriösen Quellen herunterzuladen. Dazu gehören WordPress.org und Premium-Anbieter. Das Herunterladen von zwielichtigen Entwicklern, die schädlichen Code in ihren Designs und Plugins verstecken, könnte Ihre Website gefährden.

Wenn Sie sich nicht sicher sind, ob eine Website, von der Sie herunterladen möchten, sicher ist, suchen Sie nach Testimonials und Rezensionen, um sicherzustellen, dass das gewünschte Produkt von guter Qualität ist.

Stellen Sie außerdem sicher, dass alle von Ihnen verwendeten Plugins und Designs gut unterstützt und regelmäßig aktualisiert werden. Wenn ein Plugin oder Theme lange Zeit nicht aktualisiert wurde, enthält es wahrscheinlich ungepatchte Sicherheitslücken oder sogar schlechten Code, der Sie anfällig für Hacks machen könnte.

Behalten Sie schließlich nur Plugins und Themes, die Sie tatsächlich benötigen und verwenden. Je mehr Sie haben, desto höher ist das Risiko, gehackt zu werden. Überprüfen Sie daher regelmäßig Ihre Liste mit Plugins und Themes und deaktivieren und löschen Sie alle, die Sie nicht benötigen.

3. Halten Sie WordPress Core, Themes und Plugins auf dem neuesten Stand

WordPress ist Open-Source-Software und wird von einer weltweiten Gemeinschaft von Freiwilligen entwickelt und gepflegt. Mit jeder neuen Version werden alle Sicherheitslücken gepatcht.

Standardmäßig installiert WordPress automatisch kleinere Updates (z. B. WordPress 4.9.4). Aber für Hauptversionen (z. B. WordPress 4.9) liegt es an Ihnen, manuell auf die neueste Version zu aktualisieren.

Stellen Sie sicher, dass auf Ihrer Website immer die neueste Version von WordPress ausgeführt wird.

Diese Kernaktualisierungen sind entscheidend für die Sicherheit und Leistung Ihrer Website. Stellen Sie also sicher, dass Sie Ihre Website sichern und alle Kernaktualisierungen anwenden, sobald sie verfügbar sind.

Ebenso ist es wichtig, alle Plugins und Themes regelmäßig zu aktualisieren, damit Sie immer die aktuellsten und sichersten Softwareversionen verwenden.

4. Verwenden Sie nicht „Admin“ als Benutzernamen

Verwenden Sie nicht „admin“ als Benutzernamen für Ihre Website. Frühere Versionen von WordPress verwendeten „admin“ als Standard-Benutzernamen, was es Hackern leichter machte – ein Puzzleteil weniger, das während eines Brute-Force-Angriffs erraten werden musste.

Aber neuere Versionen von WordPress haben dies geändert und geben Benutzern die Möglichkeit, während der Installation ihren eigenen Benutzernamen einzugeben. Einige Leute entscheiden sich jedoch immer noch dafür, „admin“ zu verwenden, anstatt sich einen ursprünglichen Benutzernamen auszudenken. Einfach nicht.

Sie möchten es böswilligen Angreifern erschweren, in Ihre Website einzudringen, damit Angriffe länger dauern und Sie oder Ihr Hosting-Provider Angriffe erkennen und stoppen können, bevor sie erfolgreich sind.

5. Verwenden Sie ein sicheres Passwort

Erstellen Sie immer sichere und eindeutige Passwörter für Ihr WordPress-Administratorkonto, Ihre Datenbank, Ihr Hosting-Konto, Ihre E-Mail-Adresse und alle FTP-Konten. Wie Benutzernamen sind Passwörter ein weiteres Puzzleteil, das Hacker erraten können, und je stärker Ihr Passwort ist, desto schwieriger machen Sie es Hackern, sich erfolgreich auf Ihrer Website anzumelden.

Während der Installation wird WordPress versuchen, Ihnen ein sicheres Passwort aufzuzwingen und Sie auffordern, ein Kontrollkästchen zu aktivieren, wenn Sie ein schwaches Passwort eingeben. Während Sie vielleicht Ihr eigenes Passwort erstellen möchten, können Tools wie Secure Password Generator ein starkes Passwort für Sie erstellen.

Mit dem Secure Password Generator können Sie einzigartige und zufällige Passwörter erstellen.

6. Verwenden Sie die Zwei-Faktor-Authentifizierung

Selbst mit einem starken Benutzernamen und Passwort sind Brute-Force-Angriffe für viele Websites immer noch ein Problem. Hier kann die Zwei-Faktor-Authentifizierung helfen.

Die Zwei-Faktor-Authentifizierung fügt dem Anmeldeprozess einen weiteren Schritt hinzu und zwingt die Benutzer, zusätzlich zur Eingabe ihrer üblichen Anmeldedaten einen an ihr Mobiltelefon gesendeten Code einzugeben. Dies kann automatische Angriffe vereiteln und sicherstellen, dass Ihre Website nicht Opfer von Hackern wird.

Plugins wie iThemes Security können eine Zwei-Faktor-Authentifizierung implementieren. Es gibt auch kostenlose Plugins wie die Zwei-Faktor-Authentifizierung, die Ihrer Website diese zusätzliche Sicherheitsebene hinzufügen können.

Mit dem kostenlosen Zwei-Faktor-Authentifizierungs-Plug-in können Sie ganz einfach eine weitere Schutzebene hinzufügen, wenn Sie sich bei Ihrer Website anmelden.

7. Anmeldeversuche begrenzen

Standardmäßig können Sie so oft versuchen, sich bei Ihrem WordPress-Konto anzumelden, wie Sie möchten. Während dies praktisch für Sie sein kann, wenn Sie vergesslich sind und Ihr Passwort nicht immer gleich beim ersten oder sogar dritten Versuch richtig verstehen, ist es auch praktisch für Hacker, die Brute-Force-Angriffe ausführen – es gibt ihnen eine unbegrenzte Anzahl von Versuchen zu knacken Ihre Kombination aus Benutzername und Passwort.

Dies kann leicht behoben werden, indem die Anzahl der fehlgeschlagenen Anmeldeversuche, die ein Benutzer auf Ihrer Website unternehmen kann, begrenzt wird. Mit kostenlosen Plugins wie WP Limit Login Attempts können Sie Anmeldeversuche einschränken und IP-Adressen vorübergehend blockieren.

8. Installieren Sie ein SSL-Zertifikat

Die Installation eines SSL-Zertifikats auf Ihrer Website ist ein Muss, insbesondere wenn Sie einen E-Commerce-Shop haben. Nicht nur, weil es Hackern erschwert wird, vertrauliche Informationen zwischen Benutzerbrowsern und Ihrem Server abzufangen, sondern weil Google jetzt darauf besteht, dass alle Websites einen haben sollten.

Ab Juli 2018 mit der Veröffentlichung von Chrome 68 werden Webseiten, die ohne HTTPS geladen werden, als „nicht sicher“ gekennzeichnet. Dies bedeutet, dass Benutzer, die versuchen, auf Websites ohne SSL-Zertifikat zuzugreifen, eine Warnung erhalten, dass die Website nicht vertrauenswürdig ist.

Diese Ankündigung ist eine große Sache, da laut Cloudflare mehr als die Hälfte der Webbesucher diese Warnungen sehen werden.

Let's Encrypt ist eine kostenlose Zertifizierungsstelle, die SSL-Zertifikate für Websitebesitzer bereitstellt.

Ein SSL-Zertifikat zu erhalten wird immer einfacher. Let's Encrypt bietet kostenlose Open-Source-Zertifikate an, während Hosting-Unternehmen eines im Allgemeinen kostenlos (und manchmal sogar kostenlos) bereitstellen.

9. Datenbankpräfix ändern

Standardmäßig verwendet WordPress wp_ als Präfix für alle Tabellen in der Datenbank Ihrer Website. Das bedeutet, dass Hacker, wenn Sie die Standardeinstellung verwenden – was allgemeines WordPress-Wissen ist – leicht erraten können, wie Ihre Tabelle heißt, was sie anfällig für SQL-Injektionen macht.

Eine einfache Möglichkeit, dies zu beheben, besteht darin, das Präfix mithilfe eines zufälligen Zeichenfolgengenerators in etwas Zufälliges zu ändern, z. B. 5jiqtu69dg_ . Um das Präfix deiner Tabelle zu aktualisieren, öffne die Datei wp-config.php im Stammverzeichnis des Dateiverzeichnisses deiner Website und finde diese Zeile:

 $table_prefix = 'wp_';

In meinem Beispiel würden Sie die Zeile wie folgt ersetzen:

 $table_prefix = '5jiqtu69dg_';

Als Nächstes müssen Sie das in Ihrer Datenbank verwendete Präfix aktualisieren. Während Sicherheits-Plugins wie iThemes Security Ihnen dabei helfen können, dies schnell und einfach zu tun, können Sie hier lernen, wie Sie es manuell über phpMyAdmin tun.

10. Schützen von wp-config.php- und .htaccess-Dateien

Die Datei wp-config.php deiner Website, die sich normalerweise im Stammordner deiner Website befindet, enthält wichtige Informationen über deine WordPress-Installation, einschließlich Name, Host, Benutzername und Passwort für deine Datenbank. In der Zwischenzeit ist .htaccess eine versteckte Datei, die die Serverkonfiguration auf Verzeichnisebene festlegt, hübsche Permalinks aktiviert und Weiterleitungen ermöglicht.

Es ist einfach, den Zugriff auf diese kritischen Dateien zu verhindern. Füge einfach Folgendes zu deiner .htaccess-Datei hinzu, um wp-config.php zu schützen:

 <Dateien wp-config.php>
Befehl zulassen, verweigern
abgelehnt von allen
</Dateien>

Alternativ kannst du deine wp-config.php-Datei einfach in ein höheres Verzeichnis verschieben, da WordPress dort automatisch danach sucht.

Um ungewollte Zugriffe auf .htaccess zu unterbinden, muss lediglich der Dateiname im Code geändert werden:

 <Dateien .htaccess>
Befehl zulassen, verweigern
abgelehnt von allen
</Dateien>

11. Fügen Sie Sicherheitsschlüssel hinzu

WordPress-Sicherheitsschlüssel und Salts verschlüsseln Informationen, die in Browser-Cookies gespeichert sind, und schützen Passwörter und andere sensible Informationen. Es gibt insgesamt vier Sicherheitsschlüssel: AUTH_KEY , SECURE_AUTH_KEY , LOGGED_IN_KEY und NONCE_KEY .

Diese Authentifizierungsschlüssel sind im Grunde eine Reihe von Zufallsvariablen und erschweren das Knacken Ihrer Passwörter. Ein unverschlüsseltes Passwort wie „Wordpress“ ist für Angreifer ohne großen Aufwand zu knacken. Aber ein langes und zufälliges Passwort wie „L2(Bpw 6#:S.}tjSKYnrR~.Dys5c>+>2l2YMMSVWno4`!%wz^GOBf};uj*>-tkye“ ist viel schwieriger zu knacken.

Das Hinzufügen von Sicherheitsschlüsseln und Salzen ist ein manueller Vorgang und einfach durchzuführen. So geht's:

1. Holen Sie sich einen neuen Satz Sicherheitsschlüssel und Salts. Sie können sie hier zufällig generieren.
2. Als nächstes aktualisiere deine wp-config.php-Datei. Öffnen Sie Ihre Datei und scrollen Sie nach unten, bis Sie den folgenden Abschnitt finden, und ersetzen Sie die alten Werte durch Ihre neuen Schlüssel und Salts:

 /**#@+
 * Eindeutige Authentifizierungsschlüssel und Salze.
 *
 * Ändern Sie diese in verschiedene einzigartige Phrasen!
 * Sie können diese mit dem {@link https://api.wordpress.org/secret-key/1.1/salt/ WordPress.org secret-key service} generieren
 * Sie können diese jederzeit ändern, um alle vorhandenen Cookies ungültig zu machen. Dadurch müssen sich alle Benutzer erneut anmelden.
 *
 * @seit 2.6.0
 */
define('AUTH_KEY', 'eindeutige Variablen hier hinzufügen');
define('SECURE_AUTH_KEY', 'eindeutige Variablen hier hinzufügen');
define('LOGGED_IN_KEY', 'eindeutige Variablen hier hinzufügen');
define('NONCE_KEY', 'eindeutige Variablen hier hinzufügen');
define('AUTH_SALT', 'eindeutige Variablen hier hinzufügen');
define('SECURE_AUTH_SALT', 'eindeutige Variablen hier hinzufügen');
define('LOGGED_IN_SALT', 'eindeutige Variablen hier hinzufügen');
define('NONCE_SALT', 'eindeutige Variablen hier hinzufügen');

/**#@-*/

3. Speichern Sie Ihre wp-config.php-Datei. Sie werden automatisch von Ihrer WordPress-Site abgemeldet und müssen sich erneut anmelden.

12. Deaktivieren Sie die Dateibearbeitung

WordPress verfügt über einen internen Code-Editor für Plugin- und Designdateien. Dies ist zwar nützlich für Administratoren, die schnell Änderungen an Dateien vornehmen möchten, bedeutet aber auch, dass Hacker und hochrangige Benutzer auch Dateiänderungen vornehmen können. Sie finden diese Funktion, indem Sie in Ihrem WordPress-Adminbereich zu Darstellung > Editor gehen.

Du kannst die Dateibearbeitung in deiner wp-config.php-Datei deaktivieren. Öffnen Sie einfach Ihre Datei und fügen Sie diese Codezeile hinzu:

 define('DISALLOW_FILE_EDIT', true);

Du kannst deine Plugins und Themes weiterhin über FTP oder cPanel bearbeiten, nur nicht im WordPress-Adminbereich.

13. Verhindern Sie, dass PHP-Dateien ausgeführt werden

Ein gängiger Ordner für Hacker zum Hochladen von Malware in WordPress ist wp-content/uploads, aber auch wp-includes/ . Um zu verhindern, dass Dateien in diesen Ordnern ausgeführt werden, erstellen Sie eine neue Textdatei in einem Texteditor und fügen Sie diesen Code ein:

 <Dateien *.php>
abgelehnt von allen
</Dateien>

Als nächstes speicherst du diese Datei als .htaccess und lädst sie per FTP oder cPanel in deine Ordner /wp-content/uploads und wp-includes/ hoch.

14. Deaktivieren Sie XML-RPC selektiv

XML-RPC oder XML Remote Procedure Call ist eine API, die dabei hilft, Web- und mobile Apps mit Ihrer WordPress-Site zu verbinden. Es war in WordPress 3.5 standardmäßig aktiviert, aber es hat sich seitdem herausgestellt, dass es Brute-Force-Angriffe erheblich verstärkt.

Wenn ein Hacker beispielsweise 500 verschiedene Passwörter auf Ihrer Website ausprobieren wollte, müsste er normalerweise 500 separate Anmeldeversuche unternehmen. Aber mit XML-RPC könnte der Hacker die Funktion system.multicall verwenden, um eine große Anzahl von Kombinationen aus Benutzernamen und Passwörtern in einer einzigen HTTP-Anforderung auszuprobieren.

Während es einfach wäre, diese Funktion für Ihre Website einfach vollständig zu deaktivieren, würde dies bedeuten, dass die Funktionalität für Plugins wie Jetpack verloren geht. Stattdessen empfiehlt es sich, XML-RPC mithilfe speziell entwickelter Plugins selektiv zu implementieren und zu deaktivieren.

Bonus: So suchen Sie nach Schwachstellen

Es gibt verschiedene Möglichkeiten, wie Sie Ihre Website auf Schwachstellen überprüfen können: mit einem Online-Site-Scanner oder mit einem Plugin.

Mit diesen kostenlosen Online-Tools brauchen Sie nur die URL Ihrer Website einzugeben, und sie beginnen, Ihre Website auf bekannte Schwachstellen zu scannen:

WordPress Security Scan – Dieses Tool sucht passiv nach grundlegenden Sicherheitsproblemen. Für erweiterte Tests müssen Sie auf einen Premium-Plan upgraden.

Sucuri SiteCheck – Überprüfen Sie Ihre Website auf bekannte Malware, Blacklist-Status, Website-Fehler und veraltete Software. Mit einem Premium-Upgrade bietet dieses Tool Malware-Bereinigung, DDoS-/Brute-Force-Schutz, Entfernung von Blacklists und Sicherheitsüberwachung.

WPScan – Mit diesem auf GitHub gehosteten Blackbox-Scanner für WordPress-Schwachstellen können Sie Ihre Website mit Core, Plugins und Designs auf bekannte Schwachstellen scannen. Sie müssen das Terminal verwenden, um diese Anwendung auszuführen. Es ist kostenlos für den persönlichen Gebrauch und wird von Sucuri gesponsert.

Bonus: Beste WordPress-Sicherheits-Plugins

Die Installation eines Sicherheits-Plugins auf Ihrer WordPress-Seite fügt eine weitere Verteidigungslinie gegen mögliche Angriffe hinzu. Sie bieten eine breite Palette von Funktionen zum Schutz Ihrer Website – einschließlich Website-Scans – und können Sie benachrichtigen, wenn Ihre Website kompromittiert wurde.

Hier sind die Top 3 Plugins:

Wordfence

Wordfence-Sicherheits-Plugin.

WordFence ist ein äußerst beliebtes kostenloses Sicherheits-Plugin mit mehr als 2 Millionen aktiven Installationen und einer verfügbaren Premium-Option. Es verfügt über einen „Threat Defense Feed“, der die neuesten Firewall-Regeln, Malware-Signaturen und bösartigen IP-Adressen abruft und Ihre Website-Site behält.

Eine Firewall für Webanwendungen identifiziert und blockiert bösartigen Datenverkehr, während eine Echtzeit-IP-Blacklist alle Anfragen von bösartigen IPs blockiert und so Ihre Website schützt und gleichzeitig die Last reduziert.

Dieses Plug-in schützt vor Brute-Force-Angriffen, indem es Anmeldeversuche einschränkt, starke Kennwörter erzwingt und andere Sicherheitsmaßnahmen für die Anmeldung einsetzt. Wenn es irgendeine Art von Infektion auf Ihrer Website findet, werden Sie per E-Mail benachrichtigt. Sie können den Datenverkehr zu Ihrer Website auch in Echtzeit überwachen, um zu überprüfen, ob sie angegriffen wird.

Sucuri

Sucuri-Sicherheits-Plugin.

Für ein kostenloses Sicherheits-Plugin bietet das Sicherheits-Plugin von Sucuri eine umfassende Reihe von Funktionen, einschließlich der Überwachung von Sicherheitsaktivitäten, damit Sie alle an Ihrer Website vorgenommenen Änderungen im Auge behalten können, Dateiintegritätsüberwachung, Remote-Malware-Scanning, Blacklist-Überwachung und Maßnahmen zur Sicherheitshärtung.

Ein Abschnitt „Sicherheitsmaßnahmen nach dem Hack“ des Plugins führt Sie durch die drei wichtigsten Dinge, die Sie nach einer Kompromittierung tun sollten. Sie können auch Sicherheitsbenachrichtigungen aktivieren, sodass Sie sofort benachrichtigt werden, wenn eine Infektion auf Ihrer Website gefunden oder kompromittiert wird.

Wenn Sie auf die Premium-Version upgraden, erhalten Sie Zugriff auf eine Website-Firewall für zusätzlichen Schutz.

iThemes-Sicherheit

iThemes-Sicherheits-Plugin.

Während die kostenlose Version von iThemes Security dabei hilft, WordPress zu sperren, häufige Lücken zu schließen und Benutzeranmeldeinformationen zu stärken, bietet die Pro-Version so ziemlich jede Sicherheitsmaßnahme, die Sie benötigen könnten.

Es gibt Zwei-Faktor-Authentifizierung, Planung von Malware-Scans und Benutzeraktionsprotokollierung, sodass Sie nachverfolgen können, wann Benutzer Inhalte bearbeiten, sich an- oder abmelden. Sie können Sicherheitsschlüssel und Salts aktualisieren, den Kennwortablauf festlegen und Google reCAPTCHA zu Ihrer Website hinzufügen.

Weitere Funktionen sind der Online-Dateivergleich, die WP-CLI-Integration und die temporäre Rechteerweiterung, sodass Sie temporären Administrator- oder Editorzugriff auf Ihre Website gewähren können.

Fazit

Es gibt keinen richtigen Weg, um Ihre WordPress-Site vor Sicherheitsbedrohungen zu schützen. Das Beste, was Sie tun können, ist, WordPress Core, Themes und Plugins auf dem neuesten Stand zu halten und eine Reihe verschiedener Lösungen zu implementieren, die Schwachstellen patchen, kritische Dateien schützen und Benutzer zwingen, ihre Anmeldeinformationen zu stärken.

Die Planung regelmäßiger Backups ist ebenfalls ein Muss. Sie wissen nie, wann Ihre Website einem Angriff zum Opfer fallen könnte, daher ist es wichtig, dass Sie bereit sind und einen Plan haben, um Ihre Website im Notfall schnell wiederherzustellen.

Die Investition in ein solides Sicherheits-Plugin, mit dem Sie Ihre Website auf Schwachstellen scannen, Aktionen überwachen und Sie warnen können, wenn etwas nicht stimmt, wird auch dazu beitragen, Ihre Website zu härten und sicherzustellen, dass sie gut vor Bedrohungen geschützt ist.