WordPress Sicherheit – Top 10: Admin-Einstellungen, Datenbank-Präfix, Versions-Aktualität, SSL und .htaccess. All diese Sicherheits-Vorkehrungen werden umso wichtiger, je mehr Traffic man hat.
10 Tipps für Ihre WordPress Sicherheit
Denn je mehr Traffic man hat, desto mehr muss man Hacker abwehren. Das hört sich schlimm an, wird aber ungefährlich, wenn man die folgenden Einstellungen trifft und immer wieder aktualisiert.
WordPress Sicherheit #1: Admin-Benutzername
Schon bei der Installation sollte man hier den Benutzernamen von Admin in einen anderen verändern. Aus Sicht eines Hackers bestehen hier drei Angriffspunkte: ID, Benutzername und Passwort. Also sollte man auch gleichzeitig ein sicheres Passwort wählen und nach der Anmeldung der ersten Benutzer einen neuen Admin erstellen, damit dieser nicht die ID 1 hat. Ein absolutes DON’T ist als Benutzernamen Admin zu vergeben.
WordPress Sicherheit #2 – Datenbank-Präfix ändern
Ein weiterer Schritt, der bereits bei der Erstinstallation erfolgt, ist die Änderung des Datenbank-Präfixes. Das geschieht spätestens bei Anlage der WordPress-Config-Datei: wp-config.php. Nachdem man dort alle Sicherheitsangaben gemacht hat, findet man etwas weiter unten die Möglichkeit, das Präfix abzuändern. Das hat nicht nur sicherheitstechnische Vorteile, sondern führt auch dazu, dass man in derselben Datenbank mehrere WordPress-Installationen mit verschiedenem Präfix installieren kann.
WordPress Sicherheit #3 – Passwörter
Einmal abgesehen davon, dass man die Passwörter regelmäßig ändern sollte, muss man sichere Passwörter wählen. Das bedeutet, dass man keine Wörter aus Wörterbüchern, keine Namen und keine reinen Zahlenkombinationen. Man sollte mindestens 8 Zeichen wählen, die aus Buchstaben, Zahlen und Sonderzeichen bestehen. Diese kann man sich randomisiert über einen Offline-Passwort-Generator erstellen lassen.
10 Tipps für sichere WordPress Passwörter:
- Verwende möglichst lange Passwörter, mindestens 12 Zeichen – je länger desto besser
- Verwende eine Kombination aus Buchstaben, Ziffern und Sonderzeichen für extra Schutz.
- Vermeide offensichtliche Informationen wie Namen, Adressen und Geburtsdaten im Passwort.
- Vermeide Wörter, die im Wörterbuch stehen, denn sie sind leicht zu erraten
- Ändere dein Passwort regelmäßig, am besten alle 3 Monate oder falls du vermutest das es in die falschen Hände geraten könnte.
- Verwende einen Passwort-Manager, um deine Passwörter zu speichern und zu generieren.
- Vermeide es, das gleiche Passwort für mehrere Konten zu verwenden
- Deaktivieren Sie den Zugriff für ungenutzte Benutzerkonten
- Verwenden Sie eine 2-Faktor-Authentifizierung
- Vermeide unverschlüsselte Verbindungen und verwenden Sie eine SSL-Verschlüsselung.
WordPress Sicherheit #4 – Admin und Autor unterscheiden
Beim Schreiben von Artikeln sollte man nie unter seinem Admin-Namen schreiben. Man legt also einen weiteren Autor mit möglichst wenig Rechten an, den man dann beim Schreiben des Artikels im Backend auswählen kann. Das macht unter anderem deshalb, weil WordPress mit Mouseover-Effekt den Benutzernamen anzeigt, auch wenn man ihn wie oben beschrieben verändert hat.
WordPress Sicherheit #5 – SSL
Man sollte ein Login über SSL einführen, da ein Hacker sonst Anmeldeinformationen sehen könnte. Wenn man später einen Shop betreiben möchte, braucht sowieso SSL. Also kann man sich auch von Anfang an darum kümmern und von SSL-Sicherheitsvorteilen profitieren. Professionelle Provider bieten SSL in ihren Tarifen an. Man aktiviert mod_rewrite und erzeugt dann mit der .htaccess-Datei eine Weiterleitung zum SSL-Login:
# Weiterleitung zum SSL-Login
RewriteEngine on
RewriteRule admin$ https://ssl-proxy-adresse/wp-login.php
Um ein SSL-Zertifikat auf deiner WordPress-Website zu implementieren, kannst du auch ein Plugin nuzten:
- Kaufe ein SSL-Zertifikat von einem vertrauenswürdigen Zertifizierungsstelle. Es gibt sowohl kostenlose als auch kostenpflichtige Optionen, von denen einige automatisch von deinem Hosting-Provider installiert werden können.
- Installiere das SSL-Zertifikat auf deinem Server. Das hängt davon ab, welche Art von Server du hast, aber die meisten Hosting-Provider bieten Anleitungen oder automatisierte Tools zur Installation von SSL-Zertifikaten an.
- Konfiguriere deine WordPress-Website, um HTTPS zu verwenden. Du kannst das kostenlose plugin „Really Simple SSL“ verwenden, um deine Website auf HTTPS umzustellen. Das plugin übernimmt die Arbeit, um die Umstellung auf SSL automatisch und ohne Probleme durchzuführen.
- Verifiziere deine SSL-Installation. Es gibt online Tools wie SSL Server Test von Qualys SSL Labs, die dir helfen können, deine Installation zu überprüfen und sicherzustellen, dass alles ordnungsgemäß eingerichtet ist.
- Optimiere deine Website für HTTPS. Um sicherzustellen, dass deine Website auch weiterhin schnell lädt, solltest du interne Links auf HTTPS umstellen und ggf. die entsprechenden Anpassungen an deinen CDN oder Caching-Einstellungen vornehmen.
WordPress Sicherheit #6 – Config-Datei und Admin-Bereich sichern
Bestimmte Dateien werden nur von WordPress benutzt. Andere sollten keinen Zugriff auf diese Daten haben. Besonders sicher sollte die Datei wp-config.php sein, denn darin liegen alle Zugangsdaten. Über die .htaccess-Datei wird die wp-config.php gesichert, indem man das folgende dort hineinschreibt:
# Zugriffsschutz wp-config.php
Order deny,allow
deny from all
WordPress Sicherheit #7 – Regelmäßige Aktualisierungen
Ab dem Moment, wo eine neue WordPress-Version herauskommt, versuchen Hacker Sicherheitslücken zu finden. Je mehr Zeit man ihnen gibt, desto gefährlicher wird es. Daher sollte man seine WordPress-Installation immer auf dem neuesten Stand haben.
WordPress Sicherheit #8 – Plugins
Bevor man ein Plugin installiert, sollte man im Plugin-Forum von WordPress schauen, ob es Sicherheitsbedenken gibt. Nach der Installation sollte man darauf achten, dass man das Plugin immer wieder aktualisiert. Prinzipiell ist man sicherer, wenn man weniger Plugins betreibt. Außerdem wird die Website dadurch schneller.
5 nützlicher WordPress Sicherheitsplugins
- Wordfence Security: Dieses Plugin bietet eine Firewall, Login-Sicherheit, Malware-Scanning und viele weitere Funktionen, um deine WordPress-Website vor Hackern und Malware zu schützen. Es bietet auch eine zusätzliche Option für eine zwei-Faktor-Authentifizierung.
- Sucuri Security: Dieses Plugin bietet Schutz vor Malware, Hackern und DDoS-Angriffen, sowie eine Firewall und einen Malware-Scanner. Es bietet auch die Möglichkeit regelmäßige Sicherheitsüberprüfungen durchzuführen.
- iThemes Security: Dieses Plugin bietet eine Vielzahl von Sicherheitsfunktionen wie Passwort-Stärkung, 2-Faktor-Authentifizierung, Malware-Scanning und Schutz vor Brute-Force-Angriffen. Es hat auch eine Pro-Version mit zusätzlichen Funktionen.
- All In One WP Security and Firewall: Dieses Plugin bietet eine Vielzahl von Sicherheitsfunktionen, einschließlich Firewall, Malware-Scanning, Login-Sicherheit und Schutz vor Brute-Force-Angriffen. Es hat auch eine einfache Benutzeroberfläche zur Verwaltung von Einstellungen.
- Login Lockdown: Dieses Plugin ist spezialisiert auf Login-Sicherheit und blockiert automatisch IP-Adressen, die zu viele fehlerhafte Anmeldeversuche durchführen. Es protokolliert auch alle Anmeldeversuche, so dass man sehen kann, welche IP-Adressen versucht haben, auf die Website zuzugreifen.
Dies sind nur einige Beispiele, es gibt viele weitere Sicherheits-Plugins im WordPress-Repository zur Verfügung und es ist wichtig die Sicherheit der Website stetig zu überwachen und gegebenenfalls weitere Schutzmaßnahmen einzuführen.
WordPress Sicherheit #9 – Spam Registrierungen
Man sollte durch Captcha Spam-Registrierungen vermeiden, bzw. wenn sie dann doch vorkommen regelmäßig löschen. Die Gefahr besteht hier darin, dass man irgendwann bei der Veränderung von Rechten der Mitglieder, ungewollt Rechte an Spammer vergibt, indem man en bloque Rechte verändert.
WordPress Sicherheit #10 – Was ist dein Top-Tipp?
Welche Erfahrungen hast Du gemacht? Hast Du noch weitere Sicherheitsvorkehrungen, die Du triffst und die in der WordPress Sicherheit Top10 auftauchen sollen?