WordPress Sicherheit

WordPress Sicherheit: So sicherst du WordPress effektiv ab

Ein Gastbeitrag von WordPress-Experte Andreas Hecht

Die große Beliebtheit von WordPress ist Fluch und Segen zugleich. Auf der einen Seite sorgt sie für eine riesige Auswahl an Themes und Plugins. Auf der anderen Seite stehen die Sicherheitsmängel des CMS und die daraus resultierende Summe an Websites, die gehackt werden können.

Der Sicherheitsdienstleister Wordfence zählte allein im Mai 2017 die unglaubliche Anzahl von einer Milliarde Brute-Force-Attacken auf WordPress-Websites. Dabei geht es darum, die Zugangsdaten zum Adminbereich herauszufinden, indem immer neue Kombinationen von Benutzername und Passwort ausprobiert werden. Die Angriffe laufen dabei vollautomatisch ab.

Als User bekommst du diese Angriffe im Allgemeinen nicht mit. Doch du kannst sie in deinen Server-Logs deutlich sehen. Vielleicht wunderst du dich auch, dass deine Website plötzlich so langsam geworden ist. Das passiert bei wirklich heftigen Angriffen.

#WordPress Sicherheit: Sicherheitslücken erkennen und beheben! @AndreasHecht_HH Klick um zu Tweeten

Du solltest dein WordPress absichern

Dein Auto schließt du doch auch ab, warum nicht deine Website? Wenn du einen Shop betreibst oder eine Mehr-Autoren-Website besitzt, dann bist du sogar verpflichtet, die sensiblen Daten deiner Benutzer oder Kunden zu schützen. Davon abgesehen wäre es doch schade, womöglich die Arbeit von einigen Jahren zu verlieren. Investiere daher etwas Zeit in die Absicherung deines WordPress.

WordPress-Sicherheit: die Sicherheitslücken

Um WordPress effektiv absichern zu können, musst du zuerst verstehen, über welche Bereiche deine Website gehackt werden kann. Vier Bereiche sind hier besonders gefährdet:

1 – Der WordPress Core

WordPress gilt grundsätzlich als sicher, wenn es immer zeitnah aktualisiert wird. Alte Versionen des CMS jedoch können sehr einfach gehackt werden, weil mit jeder neuen Version von WordPress auch die Sicherheitslücken der vorigen Version bekannt gegeben werden.

2 – Die Plugins

WordPress-Plugins sind immer ein Sicherheitsrisiko. Das liegt daran, dass jedermann ohne große Kontrolle der Code-Qualität ein Plugin schreiben und in das offizielle Plugin-Verzeichnis hochladen kann. Du kannst also entweder ein sehr gut programmiertes Plugin bekommen oder aber ein miserabel programmiertes. Gute Programmierer schließen bereits mit ihrem Code potenzielle Sicherheitslücken.

Davon abgesehen sind veraltete Plugins ein großes Problem, weil sich auch in ihnen mit der Zeit Sicherheitslücken finden werden. Nutze daher nur Plugins, die ständig gepflegt und weiterentwickelt werden.

Was macht das Plugin Blog2Social so sicher?

  • ein hoher Anspruch an die Qualität des verwendeten Codes
  • ständige Updates für eine optimale Sicherheit
  • persönliche Daten für soziale Netzwerke werden nicht gespeichert
  • Support für alle Fragen und Anliegen

Ergänzung vonBlog2Social

3 – WordPress-Themes

Auch Themes können Sicherheitslücken aufweisen. Zum Beispiel können sie für manche Funktionen auf Drittanbieter-Funktionalitäten zurückgreifen, die dann irgendwann Sicherheitslücken aufweisen. Man denke da an das Timthumb-Script für das Zuschneiden von Bildern.

4 – Zu einfache Passwörter

Viele User verwenden viel zu einfache Passwörter und spielen den Hackern dadurch in die Hände. Dein Benutzername kann von jedem halbwegs intelligenten Menschen innerhalb einer halben Minute herausgefunden werden. Nur dein Passwort sorgt daher für den Erfolg oder Misserfolg eines Hacks. Nutze daher ein wirklich starkes Passwort für deinen Adminzugang.

WordPress-Sicherheit: Das kannst du tun

1 – Sorge für ein Backup

Ein jederzeit aktuelles Backup ist das Wichtigste überhaupt! Ist das nicht gegeben, brauchst du nicht weiterzulesen. Es reicht übrigens keinesfalls, einfach ein kostenloses Backup-Plugin zu installieren und dann zu denken, dass du ja ein Backup gemacht hast.

Wo wird das Backup gespeichert? Und vor allem: kannst du es selbst wieder einspielen, hast du die Fachkenntnisse dafür? Wenn nicht, hast du im Fall eines Falles ein ernstes Problem.

Ich nutze bereits seit etlichen Jahren den Dienstleister VaultPress für meine Website-Backups. Es werden tägliche Backups erstellt, die nicht auf dem eigenen Server gespeichert werden. Die Backups lassen sich mit nur zwei Klicks wiederherstellen. Auch einzelne Dateien kann man wieder einspielen. Ich kann dir diesen Backup-Dienst uneingeschränkt empfehlen.

VaultPress kostet monatlich 3,50 USD. Jeder einzelne Cent lohnt sich.

2 – Nutze ein sicheres und starkes Passwort

Ein schwaches Passwort ist die größtmögliche Sicherheitslücke. Schließe sie. Besser heute als morgen. Ein sicheres Passwort ist die wirksamste Methode gegen das Hacking. Da kann Dein Benutzername auch »Admin« heißen. Wenn Dein Passwort sicher ist, stehst Du jede Brute-Force-Attacke locker durch. Doch was ist wirklich sicher?

Passwort123? Schütze deinen #Blog mit einem sicheren Passwort. Tipps von @AndreasHecht_HH Klick um zu Tweeten

Ein sicheres Passwort ist mindestens 15-stellig und sollte aus Buchstaben, Groß- und Kleinschreibung, Zahlen und Sonderzeichen bestehen. Es gibt gute Generatoren dafür im Netz, doch du kannst auch die WordPress-Funktion (Benutzer => Dein Profil) nutzen.

Abbildung1: Ein neues Passwort generieren
Abbildung 1: Ein neues Passwort generieren
Abbildung2: Ein sicheres Passwort
Abbildung 2: Ein sicheres Passwort

Dieses neue Passwort ist wirklich sicher und nur unter größtem Aufwand zu knacken.

3 – Nutze eine 2-Faktor Authentifizierung für den Adminzugang

Der Administratorbereich ist das Herz und die Lunge deines WordPress. Wer hier Zugang hat, kann alles Denkbare mit deiner Website anstellen. Zum Beispiel kann ein Hacker Schadsoftware über deine Website verbreiten, sie komplett löschen oder verunstalten. Daher ist es besonders wichtig, diesen sensiblen Bereich besonders zu schützen.

Am wirkungsvollsten ist eine sogenannte 2-Faktor Authentifizierung. Gleich zwei Faktoren sorgen dafür, dass nur berechtigte User Zugriff auf dein Dashboard bekommen können.

Ich habe allerbeste Erfahrungen mit dem SecSign ID Plugin gemacht.

SecSign bietet eine 2048-Bit Verschlüsselung und nutzt für den Zugang entweder ein Smartphone oder eine Apple Watch.

SecSign bietet eine 2048-Bit Verschlüsselung und nutzt für den Zugang entweder ein Smartphone oder eine Apple Watch.

Das Prinzip ist einfach: Auf deiner Website gibst du deinen zuvor generierten Benutzernamen ein und es erscheint ein Bild. Danach rufst du die App auf deinem Smartphone auf, gibst deine vierstellige ID ein und klickst danach auf das Bild, dass auf der Website angezeigt wird. Dadurch wird der Adminbereich freigegeben und du wirst eingeloggt.

Das Video macht das Prinzip deutlich:

Abbildung3: Das YouTube Video zeigt dir das einfache Prinzip
Abbildung 3: Das YouTube Video zeigt dir das einfache Prinzip

Da die meisten Menschen heute stets ihr Handy in der Nähe haben, ist diese Art des sicheren Zugangs ideal.

Hier kannst du mehr über SecSign ID erfahren.

4 – Nutze eine sicherheitsoptimierte .htaccess Datei

Die Serversteuerungsdatei .htaccess ist ein wichtiges Werkzeug gegen das Hacken einer WordPress-Website. Eine gut durchdachte Datei verbietet den Zugriff auf wichtige WordPress-Dateien und Ordner, schaltet bekannte Sicherheitslücken ab und schützt die Website durch eine „Firewall“ gegen das Einschleusen von Schadcode.

Ein weiterer Pluspunkt einer wirklich guten .htaccess ist ein wirksames Browser-Caching, durch das deine Website noch richtig schnell wird. Ich nutze seit Jahren eine von mir stets weiterentwickelte Datei, die auch in allen meinen Kundenprojekten zum Einsatz kommt. Dir empfehle ich ebenfalls diese .htaccess zu nutzen.

Abbildung4: Ein Ausschnitt aus der .htaccess Datei
Abbildung 4: Ein Ausschnitt aus der .htaccess Datei

Der obere Bereich der Datei beschäftigt sich mit dem optimalen Browser-Caching aller Ressourcen einer WordPress-Website. Der mittlere Bereich ist der hervorragenden 6G-Firewall von WordPress-Altmeister Jeff Starr vorbehalten. Die Firewall wehrt das Einschleusen von Code über URLS und Formulare ab.

Der untere Bereich sperrt wichtige Dateien und Ordner von WordPress gegen den Zugriff von außen ab. Darunter befindet sich noch der Standard-Code von WordPress. Solltest du eine spezielle Konfiguration oder gar eine Multisite einsetzen, so muss der unterste Teil durch deinen bisherigen Code ersetzt werden. Er ist gekennzeichnet durch #BEGINN WordPress.

Wichtig:

Bevor du an deiner .htaccess Datei Änderungen vornimmst, solltest du ein Backup dieser Datei erstellen.

5 – Mache Updates. Sofort und immer

Viele Sicherheitslücken lassen sich durch sehr zeitnahe Updates von WordPress, den Plugins und den Themes schließen. Sobald du eine Benachrichtigung im Adminbereich bekommst, solltest du die Updates sofort ausführen. Halte die Software stets auf dem neuesten Stand. Je länger du mit den Updates wartest, desto unsicherer wird dein WordPress und desto eher kann es gehackt werden.

Du bist dir nicht sicher, ob deine Plugins oder dein Theme mit der neuesten Version von WordPress kompatibel ist? Kein Problem, du kannst es gefahrlos testen. Erstelle dir für solche Zwecke eine sogenannte Staging-Seite. Das ist eine eins zu eins Kopie deiner Website. Mit dem Plugin „WP Staging“ ist das mit nur wenigen Klicks erledigt.

Auf dieser Kopie deiner Website kannst du nun die Updates von WordPress, den Plugins und den Themes testen.

Auf dieser Kopie deiner Website kannst du nun die Updates von WordPress, den Plugins und den Themes testen. So kannst du im Anschluss vollkommen sicher sein, das alles miteinander kompatibel ist.

#Updates nicht vergessen! Optimale Sicherheit durch aktuelle #Plugins! @AndreasHecht_HH Klick um zu Tweeten

Fazit

Mit wenig Aufwand und Arbeit kannst du sicher sein, dass deine Website nur noch von absoluten Spezialisten gehackt werden kann. Doch keine Angst, diese Spezialisten werden an deiner Website kein Interesse haben. Allen anderen Hackern signalisierst du sehr deutlich: Du kommst hier nicht rein!

 

Mehr Beiträge zum Thema Sicherheit:

Bewerte diesen Beitrag
[Gesamt: 3 im Durchschnitt: 5]
Andreas Hecht
ist WordPress-Entwickler und bietet dir WordPress-Sicherheit für deine Website. Zudem entwickelt er WooCommerce Shops mit Ladezeiten von unter einer Sekunde. Auf seinem Blog veröffentlicht er unter anderem nützliche WordPress-Snippets.
Andreas Hecht on FacebookAndreas Hecht on GithubAndreas Hecht on GoogleAndreas Hecht on LinkedinAndreas Hecht on RssAndreas Hecht on Twitter

4 thoughts on “WordPress Sicherheit: So sicherst du WordPress effektiv ab”

    1. Hallo,

      danke für den Kommentar! Die Passwörter, die von WordPress vorgeschlagen werden, sind mittlerweile richtig gut und dürfen durchaus als sehr sicher betrachtet werden. Ich selbst nutze sie ebenfalls. Da mir Safari auf meinem MacBook zu langsam ist, habe ich keinerlei Erfahrung mit den vorgeschlagenen PWs..

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Wir freuen uns über Deine 5-Sterne-Bewertung auf WordPress.org

Berichte Anderen über Deine Erfahrung mit Blog2Social

Gastautor werden bei Blog2Social? – Richtlinien für Gastbeiträge

Schreibe einen Testbericht

Berichte von Deinen Erfahrungen mit Blog2Social

Mehr über Social Media Automatisierung auf Social Media Examiner

Blog2Social auf Social Media Examiner

Kategorien

Jobs und Karriere