WordPress Sicherheit: So Schützt du deine Website vor unerwünschten Zugriffen

von | 09.10.2017 | 2 Kommentare

Für dich als Webseitenbetreiber, sollte die Sicherheit deiner WordPress Webseite von höchster Priorität sein. Besonders dann, wenn Kundendaten gesammelt werden, kann eine gehackte Internetseite üble Folgen nach sich ziehen. Aus diesem Grund sind zusätzliche Sicherheitsmaßnahmen zu treffen. Wie du die Sicherheit deiner WordPress Website erhöhen kannst, erfährst du in diesem Beitrag.
Vorweg soll erwähnt werden, dass eine Website nie zu 100% geschützt werden kann. Sicherheitslücken können nur geschlossen werden, wenn es welche gibt – und diese wird es wahrscheinlich immer geben. Bei kleinen Webseiten ist die Wahrscheinlichkeit gehackt zu werden zwar geringer, als bei den Big Playern, jedoch längst nicht ausgeschlossen. Besonders für Shop-Betreiber ist das Thema Sicherheit von großem Interesse, da meist sensible Daten auf den Servern gespeichert werden. Der Markt bietet zig verschiedenste Möglichkeiten um eine Website zusätzlich zu schützen. In diesem Beitrag möchte ich auf einige – vor allem kostenlose – Möglichkeiten eingehen, die auch für Laien schnell umzusetzen sind.

Inhalt

Grundlagen: WordPress Sicherheit

WordPress Sicherheit: Schritt für Schritt

Regelmäßige WordPress und Plugin Updates

Wer sich nicht erst seit gestern mit WordPress beschäftigt, dem sind die Hinweise zu anstehenden Updates im Dashboard bereits aufgefallen. Durch Updates werden nicht nur neue Funktionen eingeführt, auch entdeckte Sicherheitslücken können geschlossen werden.
Zudem bietet WordPress die Möglichkeit Themes und Plugins zu installieren, die zumeist von Drittanbietern entwickelt und gewartet werden. Diese Plugins sind nicht selten schlecht codiert oder einfach veraltet und stellen somit eine potenzielle Schwachstelle im System dar. Um das Risiko möglichst zu minimieren, solltet ihr zum einen Abstand von Plugins nehmen, die über einen längeren Zeitraum nicht geupdatet wurden. Zum anderen empfiehlt es sich Wordpress, Plugin und Theme Updates nicht auf die lange Bank zu schieben. Regelmäßige Updates sind für die Sicherheit einer Website extrem wichtig.

Sicheres Webhosting

Jede Datei, die auf einer Website zu sehen ist, wird auf den Servern deines Webhosting-Anbieters gespeichert. Es liegt auf der Hand, dass eine Server-Angriff fatale Folgen für jede Website haben kann. Demnach spielt die Wahl des Webhosting-Anbieters eine wichtige Rolle für die Sicherheit der eigenen Website. Gute Hosting-Anbieter nehmen zusätzliche Sicherheitsmaßnahmen vor, um ihre Server vor Angriffen bestmöglich abzusichern. Wir von Wplo haben uns für Strato entschieden, da uns das Gesamtpaket überzeugt hat. Nicht nur wegen den zusätzlichen Sicherheitsmaßnahmen, auch der unkomplizierte Kontakt zu den Servicemitarbeitern und die automatischen Backups, waren für uns ausschlaggebend. Sollte doch mal etwas passieren, besteht die Möglichkeit, die Daten aus einem der angelegten Backups wiederherzustellen. Deswegen gilt: Augen auf bei der Wahl des richtigen Anbieters.

Passwort und Benutzernamen

Einer der wohl häufigsten Gründe, die dazu führen, dass eine Website gehackt wird, sind gestohlene Zugangsdaten. Dabei lässt sich diese Gefahr durch die Verwendung starker Passwörter und Benutzernamen ganz einfach verhindern. Klar, diese sind schwer zu merken, aber lohnt sich das Risiko wirklich? Wer im World Wide Web aktiv sein möchte, sollte daher unbedingt großen Wert auf die Stärke seiner Anmeldeinformationen legen. Das gilt nicht nur für den Zugang zu WordPress. Auch für den Hosting-Account, FTP-Zugänge oder die eigene E-Mail-Adresse. Ein starkes Passwort sollte aus mehr als acht Zeichen bestehen, Buchstaben, Zahlen und wenn möglich Sonderzeichen enthalten. Damit trägst du maßgeblich zum Schutz deiner Website bei!
Ebenso wichtig ist die bedachte Weitergabe des Administratoren-Zugangs. Unter Benutzer > Neu hinzufügen, gibt es die Möglichkeit weitere Zugänge mit beschränkten Rechten anzulegen.

Neuen Benutzer mit WordPress hinzufügen

Sollten weitere Autoren an deinem Blog arbeiten, kannst du hier deren Rolle definieren, statt deine Anmeldeinformationen weiterzugeben. Die Administratoren-Rolle ist zu jeder Änderung berechtigt und sollte daher nur weitergegeben werden, wenn es absolut notwendig ist.

Solltest du dich richtigerweise für einen starken Benutzernamen entschieden hast, kann dieser auf deine Leser kryptisch wirken. Denn der Benutzername taucht nicht nur im Meta-Text deiner Beiträge auf, sondern auch dann, wenn du einen Kommentar verfasst. Um das zu ändern kannst du unter Benutzer > Alle Benutzer einen Spitznamen hinzufügen.

Namen des Autors ändern mit WordPress

Die Verwendung eines Spitznamens hat wesentliche Vorteile. Zum einen kann dein Benutzername jetzt nicht mehr aus dem Meta-Text deiner Beiträge entnommen und für Anmeldeversuche missbraucht werden. Ein weiterer Vorteil ist eher ästhetischer Natur. Es wird jetzt möglich einen Namen zu wählen, der dir gefällt, ohne den Sicherheitsaspekt zu vernachlässigen.

Autorennamen mit WordPress ändern

 

Admin als Benutzernamen ändern

WordPress lässt sich mittlerweile auf verschiedene Arten installieren. In einem unserer Beiträge haben wir die 1-Click Installation bereits vorgestellt. Je nachdem für welchen Weg der Installation ihr euch entschieden habt, bestand entweder die Möglichkeit einen individuellen Benutzernamen festzulegen, oder aber, der Benutzername wurde systemseitig mit „Admin“ festgelegt. Solltest du diesen Standard beibehalten, werden Hacker es umso einfacher haben, an deine Zugangsdaten zu gelangen. Wieso? Weil viele Angriffe sich genau darauf stützen. Der Standard-Anmeldename „Admin“ wird genutzt um sich in das System zu loggen. Es fehlt nur noch das richtige Passwort, welches durch automatisiertes Ausprobieren geknackt werden soll. Dieses Sicherheitsrisiko lässt sich durch das Hinzufügen eines Neuen und dem Löschen des alten Benutzers beheben.
Ein neuer Benutzer kann unter Benutzer > Neu hinzufügen erstellt werden. Achte unbedingt unter Rolle den Administrator auszuwählen. Wurde ein neuer Administrator erstellt, kann der bisherige gelöscht werden.

Anmeldeversuche begrenzen

Eine äußerst sinnvolle Sicherheitsmaßnahme ist die Beschränkung der Login-Versuche. Da WordPress hier von Haus aus keine Beschränkung vorsieht, können unendlich viele Anmeldeversuche ohne Restriktion durchgeführt werden. Bei sogenannten Brute-Force-Attacken versuchen Hacker durch automatisiertes Ausprobieren verschiedenster Kombinationen an deine Zugangsdaten zu gelangen. Um diese Gefahr zu unterbinden, gibt es Plugins wie Login LockDown. Mit dem Plugin lässt sich die Anzahl getätigter Anmeldeversuche limitieren.

Unter Max Login Retries wird definiert, wie viele Anmeldeversuche innerhalb von 5 Minuten (Retry Time Periode Restriction) hintereinander stattfinden dürfen, bis die Anmeldung über die jeweilige IP Adresse für 60 Minuten (Lockout Length) gesperrt wird.

Nach der Installation kannst du das Plugin unter Einstellungen > Login LockDown konfigurieren. Übrigens könnt ihr euch das Plugin sparen, wenn ihr ohnehin plant ein Security Plugin wie Wordfence zu installieren.

Noch Fragen? Verbesserungsvorschläge oder Anregungen? Schreibt es uns in die Kommentare.

Aktuelle Beiträge

WordPress: Link auf Nofollow setzen

WordPress: Link auf Nofollow setzen

Wie setzte ich Links auf Nofollow? Wann sollen Links auf Nofollow gesetzt werden und was bedeutet Nofollow eigentlich? In diesem Beitrag zeige ich, wie es mir WordPress geht.

2 Kommentare

  1. Mario

    Toller Beitrag, danke dafür!
    Aber eine Frage zu der Plugin-Geschichte, wäre da noch.
    Wie erkenne ich, welche Plugins regelmäßig aktualisiert werden?

    Gruß
    Mario

    Antworten
    • wplo

      Hi Mario,

      wenn du die WordPress Plugin Suche nutzt, findest du unter der „Jetzt installieren“ Schaltfläche „Weitere Details“. Dort klickst du drauf und wählst die Registerkarte „Changelog“. Hier findest du alle Angaben zu vergangenen Aktualisierungen.

      Antworten

Einen Kommentar abschicken

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.