7 (+4) einfache Regeln für eine wirklich sichere WordPress-Seite

von | 15. Sep 2015 | Sicherheit, WordPress Grundlagen & Tipps | 0 Kommentare

WordPress Sicherheit Grundlagen

Es herrscht viel Verwirrung, Un- und Halbwissen zum Thema Sicherheit in WordPress. Viele Blogger versuchen, mit vielversprechenden Sicherheits-Plugins ihr Gewissen zu beruhigen und sich vor Hackern zu schützen. Dabei ist es eigentlich ganz einfach, WordPress sicher zu machen zu erhalten – wenn du einige wenige Sicherheitshinweise konsequent befolgst.

Update 28.06.2016: Damit meine ich nicht, dass du mit diesen Hinweisen vollkommen sicher vor Angriffen sein wirst. Die ultimative Sicherheit gibt es im IT-Bereich nicht. Aber du kannst den Tipps aus diesem Artikel eine gesunde Basis schaffen, die deine WordPress-Seite vor den häufigsten Attacken schützt.

Wovor muss WordPress überhaupt geschützt werden?

Im Prinzip gibt es in der IT zwei Arten von Sicherheit:

  1. Die Sicherheit vor Angriffen: Dabei geht es um böswillige, bewusste Attacken, z.B. von Hackern, die in deine Seite einbrechen wollen, um sie zu beschädigen oder eigenen, oft illegalen, Inhalt zu verbreiten.
  2. Die Sicherheit vor Unfällen: Im Falle von Websites gehören dazu Server-Schäden, Datenverlust und Schäden, die du aus Versehen verursachst.

Wusstest du, das knapp 26% aller Websites auf der Welt mit WordPress laufen? Das macht WordPress zu einem beliebten Angriffsziel, denn wer es schafft eine Seite zu hacken, hat vermutlich auch Erfolg bei vielen anderen. Gleichzeitig wird WordPress aber ständig weiterentwickelt, unter anderem um Sicherheitslücken zu schließen oder gar nicht erst entstehen zu lassen. Daher ist WordPress eigentlich schon von sich aus ein sehr sicheres System. Dennoch gilt es einige allgemeine Regeln zu beachten.

Übrigens: Hier habe ich die häufigsten Motive und Angriffspunkte von WordPress-Hackern zusammengefasst.

Wie mache ich WordPress sicher?

Viele dieser Hinweise gelten nicht nur für WordPress, sondern für fast alle Internet-Dienste.

  • Verwende sichere Passwörter: Für alle WordPress-Administratoren, die Datenbank und den FTP-Zugang solltest du unterschiedliche, sichere Passwörter verwenden. Sichere Passwörter sind mindestens 8 Zeichen lang (streng genommen sogar 16!) und bestehen aus Klein- und Großbuchstaben, Ziffern und Sonderzeichen. Lass dir z.B. mit dem Passwort-Generator sichere Passwörter generieren.
  • Gehe vertraulich mit deinen Zugangsdaten um. Das beste Passwort nutzt nichts, wenn du es in der Welt verteilst und selten änderst. Daher: Richte für jeden Benutzer einen eigenen Account in WordPress an und lösche oder sperre diesen wieder, wenn er nicht mehr benötigt wird. Das gilt z.B. für Gastautoren oder Support-Mitarbeiter von Themes, Plugins und Hosting.
  • Wähle einen vertrauenswürdigen Hoster: Dein Hoster sollte ein namhaftes Unternehmen sein und am besten in Deutschland, mindestens aber in der EU, ansässig sein. Frage Bekannte nach ihren Erfahrungen und lies diesen Post über spezielles WordPress-Hosting. Seriöse Hoster gehen vertrauensvoll mit deinen Daten um und haben zudem Mechanismen, die Angriffe schon auf Server-Ebene abwehren können.
  • Installiere keine Themes oder Plugins aus fragwürdigen Quellen! Verwende das offizielle WordPress Plugin Repository sowie namhafte Marktplätze (z.B. Themeforest*). Dort werden Plugins und Themes geprüft, bevor sie für den Verkauf freigegeben werden – sie enthalten also mit hoher Wahrscheinlichkeit keinen schadhaften Code.
  • Installiere Limit Login Attempts: Meiner Meinung nach das einzig wirklich notwendige Sicherheitsplugin (es gibt natürlich auch Alternativen). Es verhindert das massenweise Ausprobieren von Passwörtern, da nur eine geringe Anzahl von Anmeldeversuchen erlaubt sind. Es belastet deine Seite nicht und kann hier kostenlos im WordPress Repository heruntergeladen werden.
  • Überprüfe einige Basiseinstellungen von WordPress:
    • unter Einstellungen > Allgemein: deaktiviere die Option „Jeder kann sich registrieren“, wenn du sie nicht wirklich brauchst (für einen Mitgliederbereich o.ä.). Falls du sie brauchst, stelle sicher, dass die Rolle neuer Benutzer „Kunde“ oder „Abonnent“, aber niemals „Administrator“ ist (diese Einstellung findest im Feld darunter).
  • Erstelle regelmäßig ein Backup! Ja, wirklich!

Gewagte These: Sicherheitsplugins (z.B. iThemes Security, All In One WP Security) halte ich für überflüssig. Sie belasten deinen Webserver und können teilweise sogar ein Sicherheitsrisiko darstellen. Ironisch, was?

Sicherheits-Tipps für Fortgeschrittene

Wenn du dich nicht scheust, per FTP Änderungen an deiner WordPress-Seite vorzunehmen, empfehle ich dir außerdem noch folgende Maßnahmen, die die deiner Website Sicherheit erhöhen:

  • Ändere die Sicherheits-Salts in der Datei wp-config.php. Nutze dazu den Salt-Generator von WordPress und ersetze mit dem generierten Code die entsprechende Stelle in der wp-config.php.
  • Verberge die Versionsnummer von WordPress – je weniger ein Angreifer über deine Seite weiß, desto besser. Anhand der WordPress-Version lässt sich auf bekannte Sicherheitslücken schließen. Um sie zu verbergen kannst du folgende Zeile in die functions.php deines aktiven Themes einfügen:
    remove_action(‚wp_head‘, ‚wp_generator‘);
  • Deaktiviere den Theme- und Plugin-Editor: Das Bearbeiten von PHP-Dateien über das WordPress-Backend ist nicht nur ein externes Sicherheitsrisiko, sondern kann auch dazu führen, dass du selbst aus Versehen einen Fehler erzeugst und dich aus deinem Backend aussperrst. PHP-Dateien sollten ausschließlich per FTP bearbeitet werden.
    Um den Editor zu deaktivieren, füge folgende Zeile in die wp-config-Datei ein:

    define( ‚DISALLOW_FILE_EDIT‘, true );

  • Sorge für die richtigen Dateiberechtigungen im WordPress-Verzeichnis. Klicke dazu bspw. in Filezilla mit Rechtsklick auf einen Ordner und ändere die Rechte rekursiv, also für alle enthaltenen Verzeichnisse. Die Berechtigungen sollten lauten:
    • 755 oder 750 für alle Verzeichnisse
    • 644 oder 640 für Dateien
    • 600 für wp-config.php

Fazit

Prinzipiell gilt: WordPress ist ein sehr sicheres, ausgereiftes System. Wenn du verantwortungsvoll damit umgehst, ein paar grundsätzliche Sicherheitshinweise befolgst und wachsam bleibst, hast du wenig zu befürchten.

Du möchtest noch mehr über Sicherheit & Co. erfahren?

Lade dir die kostenlosen Community-Materialien herunter:

  • Checkliste Sicherheit
  • Checkliste Backups
  • 5 typische WordPress Probleme und ihre Lösungen
  • und weitere in Arbeit

Kommentar absenden

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Gleich geschafft...
Bitte bestätige deine Anmeldung mit dem Link in der E-Mail, die wir die gerade geschickt haben.
So löst du 5 typische WordPress Probleme
Der Frühjahrsputz für deine Website
Kostenloses PDF: Schaff Platz für Neues, mehr Sicherheit und Page Speed.
WordPress Support ab 99€/h
Noch ein Schritt zum Download...
Just one more step...
Almost there...
Please confirm your email address by clicking the link in the email we just sent you.
Die Checkliste zum Abhaken für deine Performance-Optimierung
Kostenloses E-Book & noch mehr Ressourcen
Noch ein Schritt zum Download...
Noch ein Schritt zum Download...
Fast geschafft...
Kostenlose Anmeldung zur Challenge und zum Newsletter von HootProof,de und BlogYourThing.com. Du kannst dich jederzeit wieder abmelden. Datenschutz von HootProof & Datenschutz von BlogYourThing