8 WordPress Security Tipps – So schützt du deinen Blog vor Hackern!

8 WordPress Security Tipps - So schützt du deinen Blog vor Hackern!Sicherheit erfordert immer in Vorleistung zu gehen. Egal ob es der stabile Zaun um mein Grundstück ist oder das sündhaft teuere Alarmsystem, ich investiere in die Security, ohne zu wissen, ob dies überhaupt jemals wirklich notwendig ist.

Doch selbst in den sichersten Gegenden wird irgendwann, irgendwo eingebrochen und selbst der kleine Blog oder das gemeinnützige Projekt, was nur Gutes erreichen will, wird angegriffen. Vor allem dann, wenn es auf Basis von WordPress läuft.

Warum WordPress ein Sicherheitsproblem hat und warum es so wichtig ist, den eigenen Blog zu schützen, verrate ich euch heute ein wenig genauer. Außerdem gebe ich euch acht wertvolle Tipps mit auf den Weg, mit denen ihr euren Blog entsprechend absichern und schützen könnt.

WordPress und das Sicherheitsrisiko

Zunächst einmal: WordPress hat für sich genommen gar kein Sicherheitsproblem. Es ist nur leider besonders anfällig, aufgrund seiner Bauweise. Zum einen sorgt die Verbreitung von WordPress dafür, dass es für Hacker entsprechend interessant ist. Knacken sie einen Blog, funktioniert derselbe Trick häufig auch bei vielen anderen.

Dann gibt es da noch die Sache mit den Plugins und Themes. Theoretisch könnte jeder, nachdem er ein Tutorial gelesen hat, ein eigenes Plugin entwickeln. Das wäre dann aber nicht sauber programmiert, nicht sicher und vermutlich auch nicht zeitgemäß, weil das Tutorial unter Umständen veraltet war. Gleiches gilt für Themes.

Weil eine einzige Sicherheitslücke in WordPress außerdem bedeutet, dass alle Blogs dieselbe Schwachstelle besitzen, werden WordPress Websites automatisch gescannt und immer wieder attackiert. Dabei werden gezielt Blogs gesucht, die das letzte Update nicht installiert haben, oder die bestimmte Plugins nutzen, welche bereits bekannte Sicherheitslücken aufweisen.

Lange Rede kurzer Sinn: WordPress ist permanent unter Attacke, wird also jeden Tag, immer und immer wieder angegriffen. Das lässt sich nicht verhindern, nur einschränken und mit ein paar Vorsichtsmaßnahmen regulieren.

8 WordPress Security Tipps

1. Firewall installieren

Das erste was Nutzer von WordPress tun sollten, ist eine Firewall zu installieren. Eine Firewall sorgt schon einmal dafür, dass bösartige Anfragen geblockt werden oder bestimmte User Agents keinen Zugriff mehr erhalten.

Eine Firewall, in diesem Fall eine WAF (Website Application Firewall) kostet in der Regel Geld und wird ständig erneuert und erweitert. Es geht dabei um das Ausschließen bekannter Angriffe, um das Schließen aktueller Sicherheitslücken und so weiter. Sie erfordert also Pflege und muss richtig konfiguriert sein, weshalb die Angebote meistens im Abo laufen.

Sucuri erledigt das beispielsweise sehr gut. Ninja Firewall ist eine kostenlose Alternative, zumindest in der Grundversion. Wer das Thema selbst versteht, kann auch eine .htaccess Firewall, wie die 7G Firewall einsetzen, muss dann aber alles selbst entscheiden.

8 WordPress Security Tipps - So schützt du deinen Blog vor Hackern!

Im Idealfall sorgt eine Firewall dann für mehr Sicherheit und gleichzeitig für mehr Performance, weil viele automatisierte Angriffe von vornherein abgeblockt werden können. Das schafft freie Ressourcen für echte Besucher, selbst dann noch, wenn die Firewall selbst welche benötigt.

2. .htaccess einrichten

Hier gibt es keinen direkten Hinweis, denn die .htaccess ist umfangreich und richtet sich nach euren eigenen Bedürfnissen und Einstellungen. Enthalten sein sollten Befehle, um die wp-config.php und die .htaccess vor direktem Zugriff zu schützen. Diese Code muss in die .htaccess Datei.

<Files wp-config.php>
order allow,deny 
deny from all
</Files>

<Files .htaccess>
order allow,deny 
deny from all
</Files>

Und dann gibt es da noch die sogenannten Security Header, die heutzutage auch nicht fehlen sollten. Da das Thema allerdings wieder etwas umfangreicher ist, um selbige auch richtig zu verstehen, habe ich dazu einen eigenen Artikel verfasst, welchen ihr ebenfalls hier im Blog findet.

3. Admin umbenennen

Wie am Anfang des Artikels bereits erwähnt, laufen bei WordPress viele automatisierte Angriffe ab. Das betrifft auch die Benutzernamen. Da WordPress als Standard immer einen Admin anlegt bzw. viele Nutzer als Name erst einmal Admin wählen, wird dieser Nutzername auch für die Angriffe verwendet.

Um dies zu umgehen, reicht es schon, wenn der Admin in eurem WordPress Blog so gar nicht existiert. Das reduziert bereits das Risiko, auch wenn es natürlich noch andere Wege gibt, die User-ID etc. herauszufinden.

Erstellt einfach einen neuen Admin-Nutzer, wählt einen Wunschnamen und löscht anschließend den Admin, der entfernt werden soll. Achtet darauf, beim Löschen auszuwählen, dass die Beiträge des Admins erhalten bleiben sollen und auf den neu angelegten Benutzer übertragen werden, damit keine Inhalte verloren gehen.

4. Login-Versuche reduzieren

Ob der Admin nun existiert oder nicht, die Login-Versuche sollten immer reduziert werden. So gelingen keine Brute-Force-Attacken, weil der Zugriff nach einer bestimmten Anzahl an Versuchen einfach untersagt wird. Unendlich ausprobieren, bis das richtige Passwort eingegeben wird, funktioniert dann nicht.

Als Plugin kommt bei mir immer Limit Login Attempts Reloaded zum Einsatz. Einfach umgesetzt, simpel einzustellen und es erledigt genau das, was es vorher verspricht. Ohne Kopfschmerzen und ohne dabei unzählige Möglichkeiten zu bieten.

5. Zwei-Faktor-Authentifizierung

Wann immer möglich, sollte heutzutage die Zwei-Faktor-Authentifizierung aktiviert werden. Die sorgt im Grunde nur dafür, dass ihr euch noch anderweitig authentifizieren müsst, um Zugriff zu erhalten.

Selbst wenn also jemand euren Nutzernamen und euer Passwort kennt, so benötigt er dann trotzdem noch Zugriff auf eine weitere Methode, um sich in WordPress einzuloggen. Hacker haben diese Möglichkeit in der Regel nicht und ihr erfahrt gleichzeitig, dass jemand versucht hat sich einzuloggen, da ihr die Nachricht erhaltet.

Es gibt unzählige Plugins, die mal den Google Authenticator nutzen, dann wieder nur die Authentifizierung per E-Mail. Hier muss jeder selbst entscheiden, was er nutzen möchte und für sicher genug empfindet. Die Plugins findet ihr im offiziellen Plugin-Verzeichnis von WordPress.

6. WordPress Updates installieren

Es klingt so einfach, doch immer wieder verzichten Blogger auf ein Update ihres WordPress Blogs. Warum? Weil bestimmte Themes, Plugins oder eigene Programmierungen, unter Umständen nicht kompatibel mit der neuen Version sind oder sein könnten.

Aus Angst davor, wird dann lange gewartet und getestet, bevor das WordPress Update schlussendlich installiert wird. Genau das sorgt aber dafür, dass der Blog verstärkt angegriffen wird, weil Angreifer oft herausfinden können, dass er noch mit einer alten Version läuft.

Also versuchen sie, bekannte Sicherheitslücken der Version für sich zu nutzen, um sich Zugriff zu dem WordPress Blog zu verschaffen.

Immer aktuell bleiben, egal ob es um WordPress selbst oder Themes und Plugins geht, ist ein wichtiges Thema, in Hinsicht auf die Sicherheit des CMS.

7. Inaktive Nutzer ausloggen

Sich am Morgen einloggen und dann bis zum Abend eingeloggt bleiben? Für viele praktisch und deshalb Standard. Gerade wenn ihr externe Autoren habt, könnt ihr euch nicht darauf verlassen, dass diese alles für die Sicherheit tun.

Das Plugin Inactive Logout schützt davor, nahezu unendlich lang eingeloggt zu bleiben. Je nach Einstellung, meldet es die Nutzer also ab, sobald sie für eine gewisse Zeit inaktiv waren. So kann kein Fremder Zugriff erlangen, nur weil ein Autor vergessen hat, sich im System auszuloggen.

Eine kleine Erweiterung, um die Sicherheit innerhalb von WordPress weiter zu erhöhen und das Risiko zu minimieren, dass Fremde sich Zugriff verschaffen, sollte sich jemand im eingeloggten Zustand von seinem Computer entfernen.

8. Starkes Hosting, für ein starkes Fundament

Wenn ein Server zusammenbricht, ist es einfacher Schwachstellen zu finden und auszunutzen. Ebenso, wenn ein Hoster automatische WordPress-Installationen anbietet, die unter Umständen alle einen bestimmten Fehler enthalten.

Achtet darauf, immer ein etwas stärkeres Hosting zu wählen, als ihr aktuell benötigt. So bleibt die Website schnell und sicher. Nutzt, wenn nicht unbedingt nötig, auch keine One-Click-Installationen von WordPress, sondern installiert es am besten einfach selbst und in einem eigenen Verzeichnis, ohne Rückschluss auf WordPress.

Achtet darauf, einen seriösen, großen Hoster zu wählen. Der Hoster ist euer Fundament. Wenn der Server sicher konfiguriert wurde und die Leistung stimmt, steht eure Website schon einmal gut da. Unterschätzt das nicht. Viele sparen beim Hosting und wundern sich dann, warum das Ein-Euro-Paket am Ende doch nicht so schnell und sicher war, wie erhofft.

Nutzt ihr WordPress für eure Firmenwebsite?

Ergebnis anschauen

WordPress Security im Blick behalten

Wenn es um das Thema Sicherheit geht, dann geht es nicht darum jegliches Risiko auszuschließen. Das gelingt nie und wird auch nicht möglich sein. Es geht darum, die Risiken zu minimieren.

Mit den Tipps und Tricks von oben sorgt ihr für mehr WordPress Security und somit auch dafür, dass gängige Lücken und bekannte Schwachstellen geschlossen werden. Die Firewall ist dabei mit am wichtigsten und wer kann, investiert in einen Service wie Sucuri, der sich beständig um neue Updates und Regeln für die Firewall kümmert.

Zumindest solltet ihr das Thema WordPress Security niemals unterschätzen. Wer glaubt ihm passiert schon nichts, weil sein Blog klein und unbedeutend zu sein schein, der irrt sich gewaltig.

Wie bereits gesagt: Viele WordPress Blogs werden automatisiert angegriffen. Sich abzusichern ist nicht nur notwendig, wenn ihr eine gewisse Größe erreicht habt, sondern auch, wenn ihr eine winzige kleine Website besitzt.

5 Gedanken zu „8 WordPress Security Tipps – So schützt du deinen Blog vor Hackern!“

  1. Ich habe damals lange Zeit Typo3 genutzt und da ist mir tatsächlich mal jemand ins System eingebrochen. Ich hatte wohl nicht schnell genug aktualisiert. WordPress hatte ich mir auch angeschaut, aber der Aufwand so ein CMS am Laufen zu halten ist mir irgendwie zu hoch.

    Jetzt nutze ich nur noch Static Site Generators, damit muss ich nur noch den Webserver schützen (nginx + firewall + fail2ban) und natürlich regelmässige System-Updates machen, was im Debian ja ganz einfach ist.

    Alles was ich nicht in statischen Seiten umsetzen kann (Formulare, Forum, …) baue ich mir selbst und kabel es einfach an, sodass es immer getrennt bleibt. Das meiste baue ich in Java/SpringBoot. Das einfach alles in einem Docker laufen lassen, dann hat man einen weiteren Schutz.

    Also was ich eigentlich sagen wollte: Auch wenn heute jeder denkt er muss WordPress nutzen, für manche Sachen tut es auch einfach eine statische HTML Seite. Das spart auch langfristig Arbeit und Ärger – aber man ist natürlich bei manchen Dingen eingeschränkt.

    Antworten
    • Bin ich voll bei dir und bin selbst ebenfalls ein Fan solcher Minimallösungen. WordPress ist eben einfach und Anfänger rüsten alles mit ein paar Plugins nach. Was Nachteil ist, ist auch Vorteil.

      Antworten
  2. Man sollte für die Sicherheit auch mal schauen wie alt manche Plugins doch sind, ich sehe nicht selten Plugins die seit Ewigkeiten nicht mehr weiterentwickelt werden. Und vorallem sollte man sich wirklich immer zweimal überlegen ob man für alles ein Plugin braucht, weniger ist hier mehr 🙂

    Antworten
    • Sehr wichtiger Punkt. Allgemein können Plugins bei WordPress eine Sicherheitslücke sein, weil du eben nie genau weißt, wer sie entwickelt hat und mit wie viel Erfahrung.

      Antworten

Schreibe einen Kommentar