WordPress ist ein wirklich tolles Blog- und CMS-System, das leider in Bezug auf Sicherheit nicht völlig ausgereift ist. Durch die Anpassung von Standardeinstellungen und mit Hilfe einiger Plugins kann man seine Webseite vor Angriffen jedoch sehr gut schützen. Einige wichtige Tipps zur Optimierung der WordPress Sicherheit habe ich für Sie zusammengestellt.

1. WordPress Sicherheit durch Updates

WordPress stellt regelmäßig Updates zur Verfügung, die bekannt gewordene Sicherheitslücken beheben. Durch ein Update auf die aktuelleste Version minimieren Sie so das Risiko von Angriffen.
wordpress sicherheit - updates

2. Nutzen Sie “Admin” nicht als Benutzername

Admin ist der erste Benutzername, mit dem ein Angreifer versuchen wird Ihre Webseite zu hacken. Löschen Sie also den Benutzer “Admin” und legen Sie einen neuen Administrator an:

  • Loggen Sie sich mit dem bestehenden Admin-Account ein
  • Legen Sie anschließend einen neuen Benutzer an und weisen Sie ihm die Rolle Administrator zu
  • Melden Sie sich nun mit Ihrem neuen Admin-Account ein und löschen Sie den alten Admin-Benutzer

 

3. Starke Passwörter verwenden

Passwörter wie “12345” sind noch immer sehr verbreitet und für Hacker leicht zu erraten. Achten Sie darauf starke Passwörter zu verwenden. Diese sollten mindestens 8 Stellen haben, Sonderzeichen (%, #,…) und Zahlen beinhalten.
starke passwörter

4. Login-Bereich umbenennen

Der WordPress-Adminbereich ist standardmäßig unter www.meineseite.de/wp-admin erreichbar. Um diesen Zugang zu schützen, können Sie Ihn einfach mit dem Plugin Rename wp-login.php umbenenn. So wird er dann beispielsweise unter www.meineseite.de/meine-anmeldung erreichbar sein.

5. Anzahl der Login-Versuche beschränken

WordPress bietet leider keine Möglichkeit, die Anzahl der Login-Versuche zu begrenzen. Um Brute-Force Attacken vorzubeugen, empfiehlt sich die Installation des Plugin Limit Login Attempts.
Dort können Sie in den Einstellungen die Anzahl der Anmeldeversuche festlegen. Zusätzlich können auch IP-Adressen gesperrt werden. Wenn Sie möchten, können Sie sich auch per Email über fehlgeschlagene Login-Versuche informieren lassen.
login

6. WordPress Login-Bereich schützen

Die beste Methode den Login-Bereich abzusichern, ist ein serverseitiger Schutz. D.h. die Anmeldeseite selbst wird durch Benutzername und Passwort geschützt. Nachteil: Man muss diesen Schutz über die .htaccess-Datei einrichten. Und man muss sich zusätzliche Login-Daten merken.
Dafür ist man aber vor Brute-Force-Attacken auf den Login-Bereich recht gut geschützt.
Wie Sie den WP Login mit dieser Methode absichern, habe ich in diesem Tutorial genau beschrieben.

Zusatz-Login per htaccess

Vorgeschalteter Login

7. Tabellen-Präfix ändern

Bei der Installation von WordPress werden alle Tabellen nach dem Muster “wp_” benannt. Dies kann man ganz einfach über die Konfigurations-Datei wp-config.php ändern.

Ersetzen Sie den Standard-Präfix durch einen neuen:

$table_prefix  = 'wp_';
$table_prefix  = 'y2rmd_';

8. Bearbeitung von Theme-Files über das Admin-Panel verbieten

Hat ein Hacker sich Zugang zum Admin-Panel verschafft, kann er über den Design- und Plugin-Editor problemlos Änderungen vornehmen und Malware installieren.
Diese Option kann man ganz einfach mit einer Code-Zeile in der Datei wp-config.php deaktivieren.

define('DISALLOW_FILE_EDIT',true);

9. Sicherheitsschlüssel ändern

Wenn sich ein Benutzer in WordPress einloggt, werden automatisch Cookies mit Benutzerinformationen generiert. Damit diese nicht manipuliert werden können, sollte man auf jeden Fall die Sicherheitsschlüssel in der Datei wp-config eintragen.

define('AUTH_KEY', 'put your unique phrase here');
define('SECURE_AUTH_KEY', 'put your unique phrase here');
define('LOGGED_IN_KEY', 'put your unique phrase here');
define('NONCE_KEY', 'put your unique phrase here');
define('AUTH_SALT', 'put your unique phrase here');
define('SECURE_AUTH_SALT', 'put your unique phrase here');
define('LOGGED_IN_SALT', 'put your unique phrase here');
define('NONCE_SALT', 'put your unique phrase here');

Ersetzen Sie ‘put your unique phrase here’ durch einen zufällig generierten Sicherheitsschlüssel. Diesen können Sie auf der Seite http://api.wordpress.org/secret-key/1.1/ erstellen lassen.

10. FTP Dateiberechtigungen überprüfen

Auf Ihrem Webserver können Sie für Dateien und Ordern bestimmte Rechte (lesen, schreiben, ausführen) festsetzen. Weisen Sie Ordnen 775  und Dateien 644 zu.

11. Backup

Sichern Sie die WordPress-Datenbank und die Inhalte in regelmäßigen Abständen! Am einfachsten können Sie dies über Backup Plugins wie  beispielsweise UpdraftPlus einrichten. Zusätzlich können Sie auch die komplette Seite mit Duplicator klonen.
Wie wichtig regelmäßige Backups sind und wie man WordPress mit UpdraftPlus sichert, habe ich in der Anleitung WordPress Backup mit UpdraftPlus erstellen erklärt.

WordPress Backup Plugin UpdraftPlus

12. SSL nutzen

Stellen Sie WordPress auf HTTPS um. Durch die SSL-Verschlüsselung wird die Datenübertragung abgesichert. D.h. nicht nur Formulareingaben, auch die Login-Daten zum Adminbereich werden verschlüsselt.

 

Weiterführende Informationen zum Thema WordPress Sicherheit:

Hardening WordPress