WordPress Sicherheit erhöhen
  • Zuletzt aktualisiert am
  • Webtimiser
  • Wordpress
  • 9

WordPress ist ein wirklich tolles Blog- und CMS-System, das leider in Bezug auf Sicherheit nicht völlig ausgereift ist. Durch die Anpassung von Standardeinstellungen und mit Hilfe einiger Plugins kann man seine Webseite vor Angriffen jedoch sehr gut schützen. Einige wichtige Tipps zur Optimierung der WordPress Sicherheit habe ich für dich zusammengestellt.

1. WordPress Sicherheit durch Updates

WordPress stellt regelmäßig Updates zur Verfügung, Diese bringen nicht nur neue Features, sondern behben auch die bekannt gewordenen Sicherheitslücken. Durch ein Update auf die aktuelleste Version verringerst Du also das Risiko von Angriffen.

wordpress sicherheit - updates

2. Nutze “Admin” nicht als Benutzername

Admin ist der erste Benutzername, mit dem ein Angreifer versuchen wird Deine Webseite zu hacken. Lösche am besten den Benutzer “Admin” und lege einen neuen Administrator an.

So gehts’s:

  • Logge Dich zuerst mit dem bestehenden Admin-Account ein.
  • Anschließend legst Du einen neuen Benutzer an. Natürlich musst Du ihm noch die Rolle “Administrator” zuweisen.
  • Jetzt kannst Du Dich mit Deinem neuen Admin-Account anmelden und den alten Admin-Benutzer löschen.

3. Starke Passwörter verwenden

Passwörter wie “12345” sind noch immer sehr verbreitet und für Hacker leicht zu erraten. Daher solltes Du auf starke Passwörter verwenden. Diese sollten mindestens 8 Stellen haben, Sonderzeichen (%, #,…) und Zahlen beinhalten.

starke passwörter

4. Login-Bereich umbenennen

Der WordPress-Adminbereich ist standardmäßig unter www.meineseite.de/wp-admin erreichbar. Um diesen Zugang zu schützen, können Sie Ihn einfach mit dem Plugin Rename wp-login.php umbenenn. So wird er dann beispielsweise unter www.meineseite.de/meine-anmeldung erreichbar sein.

5. Anzahl der Login-Versuche beschränken

WordPress bietet leider keine Möglichkeit, die Anzahl der Login-Versuche zu begrenzen. Um Brute-Force Attacken vorzubeugen, empfiehlt sich die Installation des Plugin Limit Login Attempts.
Dort kannst Du in den Einstellungen die Anzahl der Anmeldeversuche festlegen. Zusätzlich können auch IP-Adressen gesperrt werden. Wenn Du möchtest, kannst Du Dich auch per Email über fehlgeschlagene Login-Versuche informieren lassen.

login

6. WordPress Login-Bereich schützen

Die beste Methode den Login-Bereich abzusichern, ist ein serverseitiger Schutz. D.h. die Anmeldeseite selbst wird durch Benutzername und Passwort geschützt. Nachteil: Du musst diesen Schutz über die .htaccess-Datei einrichten. Und Du musst Dir zusätzliche Login-Daten merken.

Dafür ist man aber vor Brute-Force-Attacken auf den Login-Bereich recht gut geschützt.
Wie Du den WP Login mit dieser Methode absichern kannst, habe ich in diesem Tutorial genau beschrieben.

Zusatz-Login per htaccess
Vorgeschalteter Login

7. Tabellen-Präfix ändern

Bei der Installation von WordPress werden alle Tabellen nach dem Muster “wp_” benannt. Dies kann man ganz einfach über die Konfigurations-Datei wp-config.php ändern.

Ersetze den Standard-Präfix durch einen neuen:

$table_prefix  = 'wp_';
$table_prefix  = 'y2rmd_';

8. Bearbeitung von Theme-Files über das Admin-Panel verbieten

Hat ein Hacker sich Zugang zum Admin-Panel verschafft, kann er über den Design- und Plugin-Editor problemlos Änderungen vornehmen. Und natürlich Malware installieren.
Diese Option kann man ganz einfach mit einer Code-Zeile in der Datei wp-config.php deaktivieren.

define('DISALLOW_FILE_EDIT',true);

9. Sicherheitsschlüssel ändern

Wenn sich ein Benutzer in WordPress einloggt, werden automatisch Cookies mit Benutzerinformationen generiert. Damit diese nicht manipuliert werden können, sollte man auf jeden Fall die Sicherheitsschlüssel in der Datei wp-config eintragen.

define('AUTH_KEY', 'put your unique phrase here');
define('SECURE_AUTH_KEY', 'put your unique phrase here');
define('LOGGED_IN_KEY', 'put your unique phrase here');
define('NONCE_KEY', 'put your unique phrase here');
define('AUTH_SALT', 'put your unique phrase here');
define('SECURE_AUTH_SALT', 'put your unique phrase here');
define('LOGGED_IN_SALT', 'put your unique phrase here');
define('NONCE_SALT', 'put your unique phrase here');

Ersetze ‘put your unique phrase here’ durch einen zufällig generierten Sicherheitsschlüssel. Den kannst Du auf der Seite https://api.wordpress.org/secret-key/1.1/ erstellen lassen.

10. FTP Dateiberechtigungen überprüfen

Auf dem Webserver kannst Du für Dateien und Ordern bestimmte Rechte (lesen, schreiben, ausführen) festsetzen. Am besten weist Du den Ordnen 775  und den Dateien 644 zu.

11. Backup

Die WordPress-Datenbank und die Inhalte solltest Du in regelmäßigen Abständen sichern. Am einfachsten kannst Du das über Backup Plugins wie beispielsweise UpdraftPlus einrichten. Zusätzlich kannst Du auch die komplette Seite mit Duplicator klonen.

Wie wichtig regelmäßige Backups sind und wie man WordPress mit UpdraftPlus sichert, habe ich in der Anleitung WordPress Backup mit UpdraftPlus erstellen erklärt.

WordPress Backup Plugin UpdraftPlus

12. SSL nutzen

Stelle WordPress auf HTTPS um. Durch die SSL-Verschlüsselung wird die Datenübertragung abgesichert. D.h. nicht nur Formulareingaben, auch die Login-Daten zum Adminbereich werden verschlüsselt.

Weiterführende Informationen zum Thema WordPress Sicherheit:

Hardening WordPress

 

Menü schließen