wordpress absichern
Zuletzt aktualisiert:   - Sonia Rieder -  11 Kommentare

WordPress ist ein wirklich tolles Blog- und CMS-System, das leider in Bezug auf Sicherheit nicht völlig ausgereift ist. Durch die Anpassung von Standardeinstellungen und mit Hilfe einiger Plugins kann man seine Webseite vor Angriffen jedoch sehr gut schützen. Einige wichtige Tipps zur Optimierung der WordPress Sicherheit habe ich für dich zusammengestellt.

WordPress Security Tipps

1. WordPress Sicherheit durch Updates

WordPress stellt regelmäßig Updates zur Verfügung, Diese bringen nicht nur neue Features, sondern beheben auch die bekannt gewordenen Sicherheitslücken. Durch ein Update auf die aktuelleste Version verringerst Du also das Risiko von Angriffen.

Das gilt natürlich auch für Plugins. Diese solltest du auch regelmäßig aktualisieren. Wie du dabei am besten vorgehst, erkläre ich dir in meinem WordPress Update Guide.

wordpress sicherheit - updates

2. Nutze „Admin“ nicht als Benutzername

Admin ist der erste Benutzername, mit dem ein Angreifer versuchen wird deine Webseite zu hacken. Lösche am besten den Benutzer „Admin“ und lege einen neuen Administrator an.

So gehts’s:

  • Logge Dich zuerst mit dem bestehenden Admin-Account ein.
  • Anschließend legst du einen neuen Benutzer an. Natürlich musst du ihm noch die Rolle „Administrator“ zuweisen.
  • Jetzt kannst du dich mit deinem neuen Admin-Account anmelden und den alten Admin-Benutzer löschen.

3. Starke Passwörter verwenden

Passwörter wie „12345“ sind noch immer sehr verbreitet und für Hacker leicht zu erraten. Daher solltes du starke Passwörter verwenden, was die Sicherheit schon mal um einiges erhöhen wird.

Ein sicheres Passwort sollte mindestens 8 Stellen haben, Sonderzeichen (%, #,…) und Zahlen beinhalten.

starke passwörter

4. Login-Bereich umbenennen

Der WordPress-Adminbereich ist standardmäßig unter www.meineseite.de/wp-admin erreichbar. Um diesen Zugang zu schützen, kannst du Ihn einfach mit dem Plugin WPS Hide Login umbenenn. So wird er dann beispielsweise unter www.meineseite.de/meine-anmeldung erreichbar sein.

WPS Hide Login
Mit WPS Hide Login benennst du den Admin-Login einfach um.

5. Anzahl der Login-Versuche beschränken

WordPress bietet leider keine Möglichkeit, die Anzahl der Login-Versuche zu begrenzen. Um Brute-Force Attacken vorzubeugen, empfiehlt sich die Installation des Plugin Limit Login Attempts Reloaded.

Limit Login attempts für mehr sicherheit

Dort kannst du in den Einstellungen die Anzahl der Anmeldeversuche festlegen. Zusätzlich können auch IP-Adressen gesperrt werden. Wenn Du möchtest, kannst du dich auch per Email über fehlgeschlagene Login-Versuche informieren lassen.

login

6. WordPress Login-Bereich schützen

Die beste Methode den Login-Bereich abzusichern, ist ein serverseitiger Schutz. Dadurch wird die Anmeldeseite selbst durch Benutzername und Passwort geschützt.

Nachteil: Du musst diesen Schutz über die .htaccess-Datei einrichten. Und du musst dir zusätzliche Login-Daten merken.

Dafür ist man aber vor Brute-Force-Attacken auf den Login-Bereich recht gut geschützt.
Wie Du den WP Login mit dieser Methode absichern kannst, habe ich in diesem Tutorial genau beschrieben.

Zusatz-Login per htaccess
Vorgeschalteter Login

7. Tabellen-Präfix ändern

Bei der Installation von WordPress werden alle Tabellen nach dem Muster „wp_“ benannt. Dies kann man ganz einfach über die Konfigurations-Datei wp-config.php ändern.

Ersetze den Standard-Präfix durch einen neuen:

$table_prefix  = 'wp_';
$table_prefix  = 'y2rmd_';

8. Bearbeitung von Theme-Files über das Admin-Panel verbieten

Hat ein Hacker sich Zugang zum Admin-Panel verschafft, kann er über den Design- und Plugin-Editor problemlos Änderungen vornehmen. Und natürlich Malware installieren.
Diese Option kann man ganz einfach mit einer Code-Zeile in der Datei wp-config.php deaktivieren.

define('DISALLOW_FILE_EDIT',true);

9. Sicherheitsschlüssel ändern

Wenn sich ein Benutzer in WordPress einloggt, werden automatisch Cookies mit Benutzerinformationen generiert. Damit diese nicht manipuliert werden können, sollte man auf jeden Fall die Sicherheitsschlüssel in der Datei wp-config eintragen.

define('AUTH_KEY', 'put your unique phrase here');
define('SECURE_AUTH_KEY', 'put your unique phrase here');
define('LOGGED_IN_KEY', 'put your unique phrase here');
define('NONCE_KEY', 'put your unique phrase here');
define('AUTH_SALT', 'put your unique phrase here');
define('SECURE_AUTH_SALT', 'put your unique phrase here');
define('LOGGED_IN_SALT', 'put your unique phrase here');
define('NONCE_SALT', 'put your unique phrase here');

Ersetze ‚put your unique phrase here‘ durch einen zufällig generierten Sicherheitsschlüssel. Den kannst Du auf der Seite https://api.wordpress.org/secret-key/1.1/ erstellen lassen.

10. FTP Dateiberechtigungen überprüfen

Hast du schon deinen FTP Zugang eingerichtet? Wenn ja kannst du darüber auf dem Webserver für Dateien und Ordern bestimmte Rechte (lesen, schreiben, ausführen) festsetzen. Am besten weist du den Ordnen 775  und den Dateien 644 zu.

11. Backup

Die WordPress-Datenbank und die Inhalte solltest du in regelmäßigen Abständen sichern. Am einfachsten kannst du das über eines der vielen WordPress Backup Plugins einrichten. Ich nutze dafür am liebsten das Tool UpdraftPlus. Zusätzlich kannst du auch die komplette Seite mit Duplicator klonen.

Wie wichtig regelmäßige Backups sind und wie man WordPress mit UpdraftPlus sichert, habe ich in der Anleitung WordPress Backup mit UpdraftPlus erstellen erklärt.

WordPress Backup Plugin UpdraftPlus

12. SSL nutzen

Stelle WordPress auf HTTPS um. Durch die SSL-Verschlüsselung wird die Datenübertragung abgesichert. Dadurch werden nicht nur Formulareingaben, sondern auch die Login-Daten zum Adminbereich verschlüsselt.

13. Firewall

Für WP gibt es zahlreiche Firewall-Plugins. Ich nutze hier am liebsten NinjaFirewall.

NinjaFirewall

Damit lässt sich WordPress gut und zuverlässig absichern. Zudem ist das Plugin DFGVO-konform nutzbar und wirkt sich kaum auf die Ladezeiten aus.