WordPress ist ein wirklich tolles Blog- und CMS-System, das leider in Bezug auf Sicherheit nicht völlig ausgereift ist. Durch die Anpassung von Standardeinstellungen und mit Hilfe einiger Plugins kann man seine Webseite vor Angriffen jedoch sehr gut schützen. Einige wichtige Tipps zur Optimierung der WordPress Sicherheit habe ich für dich zusammengestellt.
WordPress Security Tipps
- 1. WordPress Sicherheit durch Updates
- 2. Nutze „Admin“ nicht als Benutzername
- 3. Starke Passwörter verwenden
- 4. Login-Bereich umbenennen
- 5. Anzahl der Login-Versuche beschränken
- 6. WordPress Login-Bereich schützen
- 7. Tabellen-Präfix ändern
- 8. Bearbeitung von Theme-Files über das Admin-Panel verbieten
- 9. Sicherheitsschlüssel ändern
- 10. FTP Dateiberechtigungen überprüfen
- 11. Backup
- 12. SSL nutzen
- 13. Firewall
1. WordPress Sicherheit durch Updates
WordPress stellt regelmäßig Updates zur Verfügung, Diese bringen nicht nur neue Features, sondern beheben auch die bekannt gewordenen Sicherheitslücken. Durch ein Update auf die aktuelleste Version verringerst Du also das Risiko von Angriffen.
Das gilt natürlich auch für Plugins. Diese solltest du auch regelmäßig aktualisieren. Wie du dabei am besten vorgehst, erkläre ich dir in meinem WordPress Update Guide.
2. Nutze „Admin“ nicht als Benutzername
Admin ist der erste Benutzername, mit dem ein Angreifer versuchen wird deine Webseite zu hacken. Lösche am besten den Benutzer „Admin“ und lege einen neuen Administrator an.
So gehts’s:
- Logge Dich zuerst mit dem bestehenden Admin-Account ein.
- Anschließend legst du einen neuen Benutzer an. Natürlich musst du ihm noch die Rolle „Administrator“ zuweisen.
- Jetzt kannst du dich mit deinem neuen Admin-Account anmelden und den alten Admin-Benutzer löschen.
3. Starke Passwörter verwenden
Passwörter wie „12345“ sind noch immer sehr verbreitet und für Hacker leicht zu erraten. Daher solltes du starke Passwörter verwenden, was die Sicherheit schon mal um einiges erhöhen wird.
Ein sicheres Passwort sollte mindestens 8 Stellen haben, Sonderzeichen (%, #,…) und Zahlen beinhalten.
4. Login-Bereich umbenennen
Der WordPress-Adminbereich ist standardmäßig unter www.meineseite.de/wp-admin erreichbar. Um diesen Zugang zu schützen, kannst du Ihn einfach mit dem Plugin WPS Hide Login umbenenn. So wird er dann beispielsweise unter www.meineseite.de/meine-anmeldung erreichbar sein.
5. Anzahl der Login-Versuche beschränken
WordPress bietet leider keine Möglichkeit, die Anzahl der Login-Versuche zu begrenzen. Um Brute-Force Attacken vorzubeugen, empfiehlt sich die Installation des Plugin Limit Login Attempts Reloaded.
Dort kannst du in den Einstellungen die Anzahl der Anmeldeversuche festlegen. Zusätzlich können auch IP-Adressen gesperrt werden. Wenn Du möchtest, kannst du dich auch per Email über fehlgeschlagene Login-Versuche informieren lassen.
6. WordPress Login-Bereich schützen
Die beste Methode den Login-Bereich abzusichern, ist ein serverseitiger Schutz. Dadurch wird die Anmeldeseite selbst durch Benutzername und Passwort geschützt.
Nachteil: Du musst diesen Schutz über die .htaccess-Datei einrichten. Und du musst dir zusätzliche Login-Daten merken.
Dafür ist man aber vor Brute-Force-Attacken auf den Login-Bereich recht gut geschützt.
Wie Du den WP Login mit dieser Methode absichern kannst, habe ich in diesem Tutorial genau beschrieben.
7. Tabellen-Präfix ändern
Bei der Installation von WordPress werden alle Tabellen nach dem Muster „wp_“ benannt. Dies kann man ganz einfach über die Konfigurations-Datei wp-config.php ändern.
Ersetze den Standard-Präfix durch einen neuen:
$table_prefix = 'wp_';
$table_prefix = 'y2rmd_';
8. Bearbeitung von Theme-Files über das Admin-Panel verbieten
Hat ein Hacker sich Zugang zum Admin-Panel verschafft, kann er über den Design- und Plugin-Editor problemlos Änderungen vornehmen. Und natürlich Malware installieren.
Diese Option kann man ganz einfach mit einer Code-Zeile in der Datei wp-config.php deaktivieren.
define('DISALLOW_FILE_EDIT',true);
9. Sicherheitsschlüssel ändern
Wenn sich ein Benutzer in WordPress einloggt, werden automatisch Cookies mit Benutzerinformationen generiert. Damit diese nicht manipuliert werden können, sollte man auf jeden Fall die Sicherheitsschlüssel in der Datei wp-config eintragen.
define('AUTH_KEY', 'put your unique phrase here');
define('SECURE_AUTH_KEY', 'put your unique phrase here');
define('LOGGED_IN_KEY', 'put your unique phrase here');
define('NONCE_KEY', 'put your unique phrase here');
define('AUTH_SALT', 'put your unique phrase here');
define('SECURE_AUTH_SALT', 'put your unique phrase here');
define('LOGGED_IN_SALT', 'put your unique phrase here');
define('NONCE_SALT', 'put your unique phrase here');
Ersetze ‚put your unique phrase here‘ durch einen zufällig generierten Sicherheitsschlüssel. Den kannst Du auf der Seite https://api.wordpress.org/secret-key/1.1/ erstellen lassen.
10. FTP Dateiberechtigungen überprüfen
Hast du schon deinen FTP Zugang eingerichtet? Wenn ja kannst du darüber auf dem Webserver für Dateien und Ordern bestimmte Rechte (lesen, schreiben, ausführen) festsetzen. Am besten weist du den Ordnen 775 und den Dateien 644 zu.
11. Backup
Die WordPress-Datenbank und die Inhalte solltest du in regelmäßigen Abständen sichern. Am einfachsten kannst du das über eines der vielen WordPress Backup Plugins einrichten. Ich nutze dafür am liebsten das Tool UpdraftPlus. Zusätzlich kannst du auch die komplette Seite mit Duplicator klonen.
Wie wichtig regelmäßige Backups sind und wie man WordPress mit UpdraftPlus sichert, habe ich in der Anleitung WordPress Backup mit UpdraftPlus erstellen erklärt.
12. SSL nutzen
Stelle WordPress auf HTTPS um. Durch die SSL-Verschlüsselung wird die Datenübertragung abgesichert. Dadurch werden nicht nur Formulareingaben, sondern auch die Login-Daten zum Adminbereich verschlüsselt.
13. Firewall
Für WP gibt es zahlreiche Firewall-Plugins. Ich nutze hier am liebsten NinjaFirewall.
Damit lässt sich WordPress gut und zuverlässig absichern. Zudem ist das Plugin DFGVO-konform nutzbar und wirkt sich kaum auf die Ladezeiten aus.