WordPress Security Tipps

wordpress security
Published on August 10, 2020

Published by Cyberjazz Webagentur 
(c) All rights reserved

Checkliste mit 5 Security-Tipps für mehr Sicherheit auf Deiner WordPress Webseite. Inkl. liste der beliebtesten WordPress Security Plugins

WordPress Security – 5 einfache Sicherheitsmaßnahmen für Deine WordPress Webseite

Gibt es bei WordPress Sicherheitsrisiken?

is wordpress secure to use

Jede Webseite im Internet hat kleinere oder größere Sicherheitsrisiken. Die Frage ist daher nicht, ob eine Webseite überhaupt angegriffen wird, sondern wann das sein wird. Denn sobald eine Webseite beliebter wird und immer mehr Besucher anzieht, werden auch automatische Hacker-Bots darauf aufmerksam, die nach Sicherheitslücken suchen. WordPress ist das weltweit größte Content Management System (CMS) und wird für ungefähr 455 Millionen Webseiten auf der ganzen Welt verwendet. Das sind etwa 35% aller Webseiten im Internet. Kein Wunder also, dass WordPress auch ein sehr beliebtes Ziel für Hacker darstellt.

Meine Webseite inkludiert keine wichtigen Informationen: Warum sind Hacker trotzdem daran interessiert?

Es ist ein weit verbreiteter Irrglaube, dass Attacken von Hackern in erster Linie von Menschen durchgeführt werden. Denn für die meisten Hacking-Attacken sind sogenannte automatischen Bots oder Hacking-Skripte verantwortlich, die das Internet nach leichten und minderwertig geschützten Sicherheitslücken durchsuchen. Diese sind im Grunde genommen wie Einbrecher mit Präferenzen für Häuser ohne Sicherheitssysteme, Alarme und andere Schutzmaßnahmen. Natürlich wählen diese Häuser mit leichten Einstiegsmöglichkeiten. So ist es auch bei Webseiten. Nur dass es hier ein Computer-Skript ist, dass nach bekannten Sicherheitslücken sucht. Wenn ein Bot dann eine Webseite findet, die leicht zu hacken ist, injiziert dieser einfach Malware und setzt dessen Suche nach unzureichend geschützten Webseiten dann fort. Eine Webseite, die mit Malware infiziert worden ist, kann danach noch lange Zeit ganz normal funktionieren und somit keine Aufmerksamkeit erregen oder auch direkt Anzeichen dafür zeigen, die bis zur kompletten Zerstörung der Webseite führen können. In weiterer Folge findest Du hier bei uns einige Präventionsmaßnahmen, mit denen auch Deine Webseite kein einfaches Ziel für Hacker darstellt.

Checkliste mit 5 Security-Tipps für mehr Sicherheit auf Deiner WordPress Webseite

Sicherheitstipp 1: Aktualisiere stets Deine Software

Stelle sicher, dass die auf Deiner Webseite verwendete Software stets aktuell ist. Das inkludiert auch WordPress Plugins. Veraltete Software ist wahrscheinlich das größte Sicherheitsrisiko, da diese normalerweise Updates aufgrund von diversen Bugs und Sicherheitslücken im Code bekommt. Hacker wissen ganz genau, welche Plugins und Anwendungen Sicherheitsdefizite haben und fokussieren deren Computer-Skripte auf die Suche nach spezifischen Software Applikationen mit bekannten Sicherheitsrisiken.

Sicherheitstipp 2: Verwende sicheres Server Hosting mit SSL Zertifikat

Secure Hosting mit SSL Zertifikat

Den richtigen Webseite-Hosting-Partner zu finden, kann relativ herausfordernd sein. Viele Leute schauen dabei in erster Linie auf technische Spezifikationen, welche sicherstellen, dass deren Webseite jederzeit einen schnellen und verlässlichen Ladevorgang hat.  Sicherheitskriterien sollten bei der Wahl eines guten Hosting Partners jedoch auch eine hohe Priorität darstellen. Tägliche oder zumindest wöchentliche Backups, Schutz gegen DDoS Attacken sowie SSL Zertifikate müssen unbedingt inkludiert sein. Vermeide zudem Shared Hosting Services. Denn wenn ein Hacker-Bot erfolgreich eine Webseite infiltriert, dann besteht ein hohes Risiko, dass dieselbe Malware auch auf andere Webseiten mit demselben Hosting Service übergreifen kann. Ein SSL Zertifikat ist heutzutage absoluter Standard für jede Webseite, da es diese mit End-to-End Encryption (E2EE) sichert. Google fördert diese zusätzliche Sicherheit zudem auch mittels deren SEO-Ranking-Kriterien.

Sicherheitstipp 3: Ändere das Standard Admin Profil

Wenn Du eine neue WordPress Webseite installierst, dann bekommst Du einen automatischen Admin Benutzernamen inklusive willkürlichem Passwort. Die meisten Nutzer ändern nur das Passwort. Damit geben sie Hackern bereits einen Teil der Login Daten und diese müssen nur noch das Passwort herausfinden. Es gibt tatsächlich Listen mit Millionen an weit verbreiteten Passwörtern im Internet. Somit ist es nur eine Frage der Zeit, bis ein Hacker Bot diese auch auf Deiner Webseite versucht. Solche Angriffe werden auch Brute Force Attacks genannt und werden von Hacker-Bots durchgeführt, die darauf spezialisiert sind, Login Pages zu finden und dann weitgehend verwendete Usernamen sowie Passwörter zu testen.

Bonus Tipp: Wir nehmen einfach mal an, Du hast den Admin Benutzernamen zu etwas Persönlicherem geändert und postest dann in weiterer Folge Content auf Deiner Webseite. Hast Du bereits mitbekommen, dass WordPress den Usernamen des Autors von Texten nennt? Das ermöglicht es einem Hacker-Bot dessen Angriffe mit Brute Force mit dem veröffentlichten Admin Benutzernamen zu starten und somit nur noch nach dem Passwort zu suchen. Um das zu vermeiden, solltest Du auf Dein WordPress User Profile Dashboard gehen und einen Nicknamen wählen, der sich von Deinem Benutzernamen unterscheidet. Nun wird der Nickname beim Urheber von Texten statt Deinem Login Benutzernamen angezeigt.

Sicherheitstipp 4: Verstecke die Login Page von der Standard Login URL

Es ist kein Geheimnis, dass WordPress Webseiten eine vordefinierte URL für Logins haben. Auf einer typischen WordPress Webseite musst Du lediglich /wp-login/ oder /wp-admin/ am Ende der URL hinzufügen. Beide dieser URLs leiten Dich direkt zur Login Page weiter, wo Du Deinen Usernamen und Dein Passwort eingeben kannst. Hacker-Bots sind daher darauf eingestellt, genau nach diesen Login Pages zu suchen, um deren Brute Force Attacken durchzuführen.

Deine Login Page zu verstecken ist somit der beste Weg, um Brute Force Attacken zu vermeiden. Es gibt einige Möglichkeiten, um die WP Login Page vor Hacker-Bots und anderen unverifizierten Loginversuchen zu schützen:

  • Verwende ein Plugin, um Deine Login URL zu maskieren und somit zu verbergen. Am einfachsten geht das mit einem WordPress Security Plugin.
  • Verändere die .htaccess Datei, um Nutzer auf eine andere URL Login Page weiterzuleiten.
  • Erstelle eine .htaccess Datei im wp-admin Ordner, um lediglich spezifische IP-Adressen zuzulassen und alle anderen zu blockieren.

Die letzten beiden Methoden sind etwas komplizierter, werden aber oftmals von jenen Webmastern verwendet, die das Installieren von übermäßig vielen Plugins vermeiden oder zusätzliche Sicherheitsschichten implementieren wollen. Das Hauptziel dieser Methoden ist das Verbergen der Login URL und somit das Kontrollieren des Nutzerzugriffs auf die Webseite. Danach geht es nur noch darum, die Firewall Regeln in der Security Software zu konfigurieren, damit alle Loginversuche auf der Standard WP Login URL sofort blockiert werden. Mehr über Firewall Regeln erfährst Du in weiterer Folge.

Sicherheitstipp 5: Verwende Security Software um Hackern den Eintritt zu verwehren

Es ist äußerst empfehlenswert, irgendeine WordPress Security Software bei der Installation von WordPress mitzuinstallieren. Nicht nur, um gewöhnliche Attacken zu vermeiden, sondern auch zur Dokumentation diverser Vorgänge auf der Webseite. Es gibt eine große Auswahl an WordPress Security Software Plugins, aber keine davon wird Deine Webseite vollständig absichern. Sei Dir daher über die jeweiligen Pros und Cons der Plugins bewusst. Manchmal stellen mehrere Security Plugins eine gute Idee dar, um die besten Ergebnisse zu erzielen.

Hier ist eine Liste der beliebtesten WordPress Security Plugins 2020:
  • Wordfence Security. Wordfence Security Firewall & Malware Scanner.
  • iThemes Security. (formerly Better WP Security).
  • Sucuri Security. Auditing, Malware Scanner and Security Hardening.
  • All in One WP Security & Firewall.
WordPress Security Plugins

Der Großteil dieser WordPress Security Plugins verfügen über kostenlose und auch Premium Versionen. Es ist bei allen Plugins empfehlenswert, ein Upgrade auf Premium durchzuführen. Denn dadurch werden vielzählige zusätzliche Features für den optimalen Schutz Deiner Webseite freigeschaltet. Die unterschiedlichen Premium Versionen der gelisteten WordPress Security Plugins bieten ein hohes Maß an Sicherheit für Deine Webseite. Diese aber einfach nur zu installieren und dann mit den vordefinierten Einstellungen laufen zu lassen ist keine gute Idee. Denn Deine zukünftige WordPress Firewall sollte auch von Dir konfiguriert werden, damit diese die bestmögliche Leistung bringt sowie zusätzliche verbesserte Security Features implementiert werden können.

  • WordPress Brute Force Protection: Limitiere die erlaubte Anzahl an fehlgeschlagenen Loginversuchen für einzelne Nutzer.
  • Strong Password Enforcement: Erlaube Nutzern lediglich starke Passwörter und limitiere die Anzahl an Admin Profilen.
  • Aktiviere die WordPress Two-Factor Authentification (2FA): Diese kann in Verbindung mit mobilen Applikationen wie etwa Google Authenticator, Authy, FreeOTP und Toopher verwendet werden.
  • Verberge Login & Admin: Ändere die vordefinierte URL für Deine WordPress Login Seite, damit diese nicht von Hackern und unverifizierten Nutzern gefunden werden kann.
  • Blockiere fehlgeschlagene Loginversuche: Sperre Nutzer mit zu vielen fehlgeschlagenen Loginversuchen sowie Nutzer, die zu viele 404 Errors erzeugen.

Länder und IP Sperren: Erstelle eine Whitelist mit Ländern und spezifischen IP-Adressen mit Zugang zur Login Seite und blockiere alle anderen Loginversuche.

Die goldene Regel bei Firewalls ist es, nur einer bestimmten Anzahl an IP-Adressen den Zugang zur Login Seite zu erlauben und alle anderen Loginversuche zu verhindern.

Wordfence ist das weltweit populärste WordPress Security Plugin mit über 3 Millionen aktiven Installationen. Damit dieser Post nicht zu lange wird, haben wir einen eigenen äußerst detaillierten Beitrag zur Konfiguration des kostenlosen Wordfence Security Plugins erstellt. Erfahre hier mehr darüber, wie Du die gratis Version des Wordfence Security Plugins konfigurieren kannst.

Wenn Du eine Webseite ohne jegliche Sicherheitsvorkehrungen betreibst, dann ist es jetzt an der Zeit, sofort Maßnahmen zu setzen. Denn Deine Webseite ist vielleicht bereits mit Malware infiziert und zudem auch auf den Blacklists diverser Suchmaschinen vorhanden. Hier kannst Du einen kostenlosen Website Check durchführen, um etwaige Sicherheitsrisiken zu entdecken: https://sitecheck.sucuri.net/


Zusätzliche Sicherheitstipps: Verändere .htaccess Dateien für verbesserte Sicherheit

Diese zusätzlichen Tipps sind für fortgeschrittene Nutzer und können nur mit Zugang zu WordPress Dateien durchgeführt werden, die auf dem jeweiligen Webserver zu finden sind. Die Premium Versionen der gelisteten WordPress Security Plugins inkludieren den Großteil dieser fortgeschrittenen Security Hacks. Solltest Du eine kostenlose Version verwenden, dann stellt ein Upgrade auf Premium eine gute Idee dar, um auch diese erweiterten Features nutzen zu können.

Öffne eine FTP-Session oder verwende das cPanel, um Zugang zu den WordPress Web-Server Dateien zu erlangen. Finde dann die .htaccess Datei im wp-root Verzeichnis.

Gib jetzt die folgenden Code Snippets am Ende der .htaccess Datei ein, um wichtige WordPress Dateien vor Zugriff von unverifizierten Nutzern zu schützen.

# ----------------------------------------------------------
#   Block WordPress files from outside access
# ----------------------------------------------------------

# No access to the install.php
<files install.php>
Order allow,deny
Deny from all
</files>
 
# No access to the wp-config.php 
<files wp-config.php>
Order allow,deny
Deny from all
</files>
 
# No access to the readme.html
<files readme.html>
 Order Allow,Deny
 Deny from all
 Satisfy all
</Files>

# No access to the liesmich.html for DE Edition
<Files liesmich.html>
 Order Allow,Deny
 Deny from all
 Satisfy all
</Files>

# No error log access 
<files error_log>
Order allow,deny
Deny from all
</files>

# No access to the .htaccess and .htpasswd
<FilesMatch "(\.htaccess|\.htpasswd)">
  Order deny,allow
  Deny from all
</FilesMatch>

# No access to includes folder
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /
RewriteRule ^wp-admin/includes/ - [F,L]
RewriteRule !^wp-includes/ - [S=3]
RewriteRule ^wp-includes/[^/]+\.php$ - [F,L]
RewriteRule ^wp-includes/js/tinymce/langs/.+\.php - [F,L]
RewriteRule ^wp-includes/theme-compat/ - [F,L]
</IfModule>

# Disable Directory Browsing
Options All -Indexes

#--------------------------------------
# End of block outside access
#--------------------------------------

Wir hoffen natürlich, dass Du diesen Beitrag toll gefunden hast und Dir unsere WordPress Sicherheitstipps einiges an Mehrwert geboten haben. Teile diese Tipps mit Deinen Freunden und kontaktiere uns einfach, solltest Du irgendwelche Fragen, Wünsche oder Anliegen haben. Danke für Deine Aufmerksamkeit.

Haftungsausschluss: Wir antworten nicht immer auf Kommentare und Fragen zu unseren Beiträgen, schauen uns aber trotzdem gerne Dein Feedback an. Kontaktiere einfach unser Team, wenn Du eine Idee zu einem Thema hast, über dass wir zukünftig berichten sollen oder auch uns auch etwas fragen oder andere Anliegen übermitteln willst. Wir akzeptieren zudem auch deutsche Gastautoren, die professionell verfasste und für uns relevante Beiträge auf unserer Webseite teilen wollen. Unsere Gegenleistung dafür sind hochqualitative SEO Backlinks für ein verbessertes Search Engine Ranking.

Mads Hendriksen

Mads Hendriksen

Leidenschaftlicher Webdesigner und Digitales Marketing Manager. Mir gefällt die Modularität von WordPress sehr gut und ich liebe es, neue Plugins mit erweiterten Funktionen zu testen. Kontaktieren mich, wenn Du auf neue WordPress-Tools stoßen, die wir testen und über die wir schreiben sollten.

Das könnte Sie auch interessieren…

Website Design mit WordPress

Website Design mit WordPress

In diesem Artikel finden Sie einige Gründe, warum Sie die WordPress-Plattform für Ihre nächste Website wählen sollten und warum es wichtig ist, eine professionelle Web-Agentur einzuschalten, bevor Sie beginnen.

read more

0 Comments