So sichern Sie WordPress auf allen Ebenen.

Die Sicherheit bei WordPress ist ein Thema, dass von vielen Benutzern vernachlässigt wird. Dabei sollte jede professionelle Webseite, die mit WordPress geführt wird, dringend nach der Installation mit dem Absichern von WordPress beginnen. Die Standardeinstellungen von WordPress im Auslieferungszustand sind in Punkto Sicherheit verbesserungsbedürftig.

Um WordPress sicherer zu machen, stehen Ihnen verschiedene Werkzeuge zur Verfügung. Ich habe die besten Tipps und Tricks der Experten zusammengetragen und nach ihrer Wichtigkeit kategorisiert. Lernen Sie in diesem Artikel, wie Sie WordPress absichern und das Leben der Hacker erschweren.

WordPress absichern beginnt schon vor der Installation

Viele Blogger konzentrieren sich bei der Absicherung von WordPress lediglich auf die WordPress-Instanz an sich. Doch Hacker greifen immer auf verschiedenen Ebenen an. Daher ist es wichtig, dass man von Grund auf die Sicherheit bei jedem Schritt im Auge hat. Ein sicheres WordPress bringt gar nichts, wenn Hacker sich Zugang zum Server verschaffen. Daher sollten Sie folgendes beachten:

  1. WordPress immer von der Originalquelle laden (wordpress.org).
  2. Ihre Datenbank sollte keinen Fernzugriff über TCP erlauben.
  3. Legen Sie sofern möglich für jede WordPress-Instanz eine eigene Datenbank an. (So sind nicht gleich alle WordPress-Seiten bei einem erfolgreichen Hackerangriff betroffen.)
  4. Sofern möglich, sollten Sie ihre Daten via sftp auf dem Server laden.
  5. Die Datenbank, die Sie für WordPress anlegen, sollte ein sicheres Passwort, ein schwer zu erratenen Benutzernamen und ein nicht offensichtlichen Datenbanknamen erhalten (Die Datenbank von WordPress sollte nicht wordpress oder WP genannt werden).

Ob der Fernzugriff auf ihre Datenbank abgeschaltet ist, erfahren Sie von ihrem Hoster. Ob Sie selbst einen Datenbanknamen vergeben können ist von Hoster zu Hoster verschieden. Aber da kein Hoster seine Datenbank defaultmäßig wordpress nennen wird, wird dieser Punkt Ihnen dann eh abgenommen. Machen wir weiter mit einer sicheren Installation von WordPress.

Die Sicherheit von WordPress durch Installationseinstellungen erhöhen

Für eine sichere Installation von WordPress brauchen Sie lediglich 3 Dinge zu beachten.

  1. Ändern Sie unbedingt den Tabellenpräfix. Standardmäßig ist dieser 'wp_'.
  2. Nennen Sie den Administrator-Account der von WordPress angelegt wird, niemals Admin, Administrator oder irgendein Wort, welches in Wörterbüchern steht.
  3. Vergeben Sie immer sichere Passwörter.

Zu Punkt 1: Warum WordPress bei der Installation nicht selber ein zufälliges Präfix generiert ist eine der ungelösten Fragen der Menschheit. Sie können dort fast alles eingeben. Beachten Sie, dass Sie unterschiedliche Präfixe vergeben, falls Sie mehrere WordPress-Instanzen auf einer Datenbank laufen lassen wollen.

Schritte nach der Installation - WordPress sicherer machen

Um die Sicherheit von WordPress zu erhöhen sollten Sie folgende Schritte direkt nach der Installation ausführen.

  • Einen neuen Benutzer in der Rolle Autor oder maximal Redakteur anlegen.
  • Den Hallo-Welt-Artikel löschen oder dem neu angelegten Benutzer zuweisen.
  • Die ID des Administrators auf eine zufällige Zahl hochsetzen.
  • Das Bearbeiten von Dateien aus dem Dashboard mit dem Eintrag: define(’DISALLOW_FILE_EDIT’, true); in der wp-config.php verbieten. (Gerade dann, wenn Sie diese Funktionalität eh nicht nutzen.)

Zu Punkt 1 und 2: Ein Administrator sollte nie nach außen in Erscheinung treten. Denn sobald ein Administrator einen Artikel verfasst kann man über die URL zur Autorenseite seinen Benutzernamen ermitteln. Damit hat der Hacker schon 50 % des Logins geschenkt bekommen. Zu Punkt 3: Jeder Hacker wird versuchen über die ID 1 Informationen über den Admina-Account zu erlangen. Wenn es einen User mit dieser ID gibt, kann man sich fast zu 100% sicher sein, dass dies ein Administrator ist. Die ID des Administrators können Sie entweder durch nachstehende SQL-Befehle hochsetzen oder Sie nutzen das Plugin von Frank Bültke.

Bitte ersetzen Sie __ durch ihren Tabellenpräfix.

Der erste Befehl setzt die ID des Admins hoch. Der zweite Befehl passt die dazu gehörige Benutzer-ID in der usermeta-Tabelle an. Und der dritte Befehl sorgt durch das hochsetzen des auto_increment-Werts dafür, dass es keine Benutzer-ID-Konflikte gibt.

Sicherheit von WordPress durch Plugins erhöhen

Es gibt zahlreiche Plugins die WordPress sicherer machen. Doch ich bin kein Fan von zu vielen Plugins. Darum nenne ich Ihnen nur die Erweiterungen, die definitiv für ein sicheren WordPress-Betrieb erforderlich sind.

  1. Unterbinden Sie Brute-Force-Angriffe von Hackern, indem Sie die Anzahl der Loginversuche limitieren.
  2. Schützen Sie das Loginfeld mit einem Captcha.
  3. Sorgen Sie dafür, dass die Benutzernamen der Autoren nicht im Frontend zu sehen sind.

In der Regel kann man bei WordPress so viele Loginversuche durchführen, wie man möchte. Und genau dies machen auch Hacker bei einem Brute-Force-Angriff. Sie versuchen zunächst die Benutzernamen von Autoren über das Frontend zu ermitteln. Sobald Sie dass geschafft haben, fangen Sie an das Passwort zu erraten. Durch das Limitieren der Loginversuche unterbinden Sie diese Angriffe. Z. B. sperren Sie eine IP-Adresse oder besser noch den betroffenen Account für 30 Minuten. Ein gutes Plugin für das Limitieren der Loginversuche ist Limit Login Attempts.

Noch besser wäre es, wenn Sie einen automatisierten Angriff auf ihre Loginseite dadurch unterbinden, dass Sie einen Captchaschutz aktivieren. Was Captchas sind, erfahren Sie hier. Ein gutes Captcha-Plugin finden Sie hier.

Sie müssen dafür sorgen, dass der Benutzername der Autoren nie im Frontend zu sehen sind. Dies ist gar nicht so einfach, denn selbst wenn Sie in den Profileinstellungen angeben, dass als öffentlicher Name z. B. der Vorname angezeigt wird, wird im Permalink zur Artikelübersicht des Autors der Benutzername untergebracht z. B. example.com/Autor/Benutzername. Um dies zu verhindern nutzen Sie Plugins wie z. B. Edit Author Slug. Hiermit können Sie dann selbst festlegen, was als Identifikationsstring verwendet werden soll z. B. Vorname-Nachname.

Wordpress über .htaccess absichern

Es gibt zahlreiche Möglichkeiten, um mit einer .htaccess-Datei die Zugriffe von außen auf Dateien und Verzeichnisse zu regulieren. Die meisten benötigen Sie in der Regel nicht, sofern ihr Server standardmäßig gut konfiguriert ist. Eine Anpassung sollten Sie allerdings dringend vornehmen, um Wordpress vor Hackerangriffe abzusichern. Schützen Sie den Zugriff auf die wp-login.php.

Ein Schutz der wp-login.php hat zu Folge, dass ein Hacker nicht direkt auf diese Datei zugreifen kann. Er muss, bevor er damit anfangen kann ihre Loginschnittstelle mit Loginversuchen zu bearbeiten, erst an der ersten HTTP-Authentifizierungsinstanz vorbei kommen. Viele Bots geben schon hier auf, da Sie darauf programmiert sind, Brute Force direkt gegen die Loginschnittstelle abzusetzen.

Mehr Sicherheit durch aktuelle WordPress- und Plugin-Versionen

Bis hier haben Sie jetzt ihr WordPress abgesichert und damit ein gutes Fundament erreicht, doch Sicherheit ist ein kritischer Faktor der ständig im Blickpunkt stehen sollte. Immer wieder werden neue Lücken aufgedeckt, die dann von den Entwicklern behoben und - ganz wichtig - auch nach außen kommuniziert werden.

Das heißt, die Sicherheitslücke ist nach einer Veröffentlichung einer neuen Version eines Plugins oder des WordPress-Kerns noch gefährlicher als vorher, weil jetzt jeder Hackerfreund diese Information bekommt.

Alle Sicherheitsvorgaben von WordPress beachtet und trotzdem gehackt worden?

Wenn Sie alle hier gemachten Sicherheitstipps beachtet haben und trotzdem ihre WordPress-Instanz gehackt worden ist, dann könnte einer der folgenden Ursachen der Grund sein:

  • Gefahrenquelle eigener Computer: Wenn Ihr Computer mit Schadsoftware infiziert ist und so beispielsweise ein Keylogger aktiv Ihre Passwörter mitloggt, dann ist es auch egal wie viele Authentifikationsinstanzen Sie vorschalten.
  • Offene oder unsichere Netzwerke: An Flughäfen oder in Internet-Cafés sollten Sie sich nicht bei ihrer WordPress-Seite einloggen, insbesondere dann nicht, wenn ihr Adminbereich nicht durch SSL geschützt ist, da in solchen Fällen ihr Kennwort in Klartext (plain) über das Netzwerk geschickt wird. Man weiß nie, welche Instanzen ihre Daten zwischenspeichern.
  • Unsichere oder bewusst manipulierte Plugins oder Themes: Testen Sie Plugins immer auf einer Testinstanz, bevor Sie es bei ihrem Hauptprojekt einsetzen. Informieren Sie sich welche Erfahrungen andere mit diesem Plugin gemacht haben. Denn sobald Sie ein Plugin bei sich installieren, so kann dieses Plugin theoretisch alles auf ihrer Seite tun (Datenbank-Passwörter auslesen, Daten in der Datenbank verändern, Daten an fremde Server senden, usw.).

Albtraum! WordPress gehackt worden und was jetzt?

Es ist wahrscheinlich der Albtraum jedes Webmasters, wenn die eigene Internetseite gehackt worden ist. Da hat man Monate oder Jahre an einer Seite gearbeitet und sieht sich jetzt vor den Trümmern der Arbeit wieder. Wenn dies passiert, heißt es kühlen Kopf bewahren. In der Regel kann man alles noch retten, wenn grundsätzliche Backup-Mechanismen existiert haben. Darum möchte ich Ihnen als letzten Tipp ans Herz legen, kümmern Sie sich um ein vernünftiges Backup-Management.

Ein gutes, kostenloses Plugin für das automatisierte Sichern ihrer Datenbank ist wp-db-backup. Man könnte ein ganzen Artikel über das richtige Backup-Management schreiben und es gibt auch zahlreiche ausgefeilte Backup-Plugins, über die es sich zu sprechen lohnt, aber dies würde den Rahmen dieses Artikels sprengen.

Fazit: WordPress ist einer der beliebtesten Open-Source-Plattformen, somit ist es natürlich auch permanent Gegenstand von Hackingversuchen. Setzen Sie die hierbeschriebenen Tipps um, um ihr WordPress gegen Hackerangriffe abzusichern. Doch behalten Sie immer im Hinterkopf, dass es den 100-prozentigen Schutz nicht gibt. Darum ist es sehr wichtig regelmäßig Backups anzulegen, um im Notfall schnell wieder den gewünschten Zustand herzustellen.

Quellen und Plugin-Verzeichnis zum Thema WordPress Sicherheit erhöhen

Angesprochene Plugins

  • Limit Login Attempts, WordPress gegen Hackerangriffe schützen, durch Limitierung von Loginversuche.
  • Edit Author Slug, mehr WordPress-Sicherheit durch das Verbergen des Benutzernamens in der Autoren-URL.
  • wp-db-backup, für Sicherheitskopien der WordPress-Datenbank.

Quellenverzeichnis

Dieser Artikel wurde getagt mit

  • WordPress vor Hacker schützen
  • Wordpress Sicherheit erhöhen
  • Wie WordPress sicherer machen
  • Mehr Sicherheit bei WordPress
  • WordPress absichern

Mohammed Malekzadeh

Mohammed Malekzadeh studierte Informatik mit dem Schwerpunkt Webentwicklung und Wirtschaft mit dem Schwerpunkt Online-Marketing. Auf passion-for-code.de schreibt er über Themen die Ihn bewegen - Softwareentwicklung und Online-Marketing.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *