WordPress Sicherheit

7 wichtige Regeln für mehr WordPress Sicherheit

Veröffentlich von Timothy Scherman
1 Stern2 Sterne3 Sterne4 Sterne5 Sterne (1 Stimmen, Durchschnitt: 5,00 von 5)
Loading...

Inhalte​

Spam E-Mails
Gehackte WordPress Instanzen werden meist zum Versand von Spam E-Mails verwendet

Das Thema WordPress Sicherheit nimmt jedes Jahr an Bedeutung zu. Studien zur Folge basieren mittlerweile über 30% aller Webseiten auf WordPress. Es ist damit die absolute Nummer 1 unter den Content Management Systemen und erfreut sich einer stetig steigenden Beliebtheit. Aber nicht nur Webseitenbetreiber setzen mehr und mehr auf WordPress. Auch Hacker haben diesen Umstand längst erkannt und so steigt jedes Jahr die Anzahl an gehackten WordPress-Instanzen. Meist erfolgen die Angriffe automatisiert durch sog. Crawler, welche beispielsweise nach bekannten WordPress Sicherheitslücken in Plug-Ins scannen und diese zum Eindringen in die Webseite nutzen.

Dabei geht es den Hackern in aller Regel um den Versand von Spam Nachrichten oder das Ausspähen von sensiblen Kundendaten. Aber auch für das wichtige Google Ranking kann eine unsichere WordPress Umgebung zum Problem werden. Dann nämlich, wenn über die eigene Domain massenhaft Spam-Nachrichten verschickt werden und die Domain auf einer sog. Blacklist von Google oder Norton landet. Dies kann dann im schlimmsten Fall zur Deindexierung sämtlicher URLs innerhalb der Googlesuche führen.

Glücklicherweise lässt sich dieses Worstcase-Szenario durch einige wenige Verhaltensregeln und die Installation eines zusätzlichen WordPress Sicherheits Plug-Ins vermeiden. Lassen Sie uns im Folgenden die wichtigsten Regeln für mehr WordPress Sicherheit näher betrachten:

 

Sicherheitsregeln im Umgang mit WordPress:

 

1. Regelmäßige Updates

51% aller gehackten WordPress-Instanzen gehen auf das Konto von veralteten Plug-Ins. Achten Sie also unbedingt darauf, dass Sie, wenn möglich wöchentlich, zumindest aber monatlich, ihre Plug-Ins und auch WordPress an sich updaten.[/vc_column_text][/vc_column][/vc_row][vc_row css=“.vc_custom_1570792561752{border-top-width: 1px !important;border-right-width: 1px !important;border-bottom-width: 1px !important;border-left-width: 1px !important;background-color: #f0f7fe !important;border-left-color: #878787 !important;border-left-style: dotted !important;border-right-color: #878787 !important;border-right-style: dotted !important;border-top-color: #878787 !important;border-top-style: dotted !important;border-bottom-color: #878787 !important;border-bottom-style: dotted !important;}“][vc_column][vc_column_text]Tipp: Durch das Einfügen der folgenden Codezeile in ihre wp-config.php können Sie WordPress so einstellen, dass es sich automatisch updated. Achten Sie jedoch darauf, dass es bei WordPress Updates immer auch zu Komplikationen in Bezug auf Design oder Funktionalität von Plug-Ins und Themes kommen kann.

 

2. Sicheres Hosting wählen

Hostpress sicheres WordPress HostingDie meisten WordPress Instanzen laufen einem sog. Managed Hosting, d.h. das der Server und seine Peripherie von einem Hostinganbieter gewartet, upgedatet und gesichert wird. Wenn Sie auf ein extrem kostengünstiges Hosting zurückgreifen sparen sie in aller Regel an der Sicherheit und am Support. Ich empfehle Ihnen auf jeden Fall einen Qualitätsanbieter zu wählen. So ersparen Sie sich oft unnötigen Ärger und erhalten schnelle Unterstützung bei auftretenden Problemen. Zu empfehlen sind die Anbieter HostPress und WPEngine, welche sich ausschließlich auf das Hosten von WordPress spezialisiert haben. Wenn Sie eine deutschsprachige Webseite betreiben oder planen, dann empfehle ich Ihnen auf Grund des Serverstandorts Hostpress als Hoster. Wenn es etwas günstiger sein soll, dann kann ich DomainFactory uneingeschränkt empfehlen. Hier werden u.a. schadhafte Plug-Ins automatisch nach einem Malewarebefall blockiert und man erhält in einem solchen Fall eine freundliche E-Mail vom Support.

 

3. Nutzen Sie sichere Passwörter

Keepass WordPress Sicherheit mit Passwortmanager
Mit der Nutzung eines Passwortmanagers erhöhen Sie ihre WordPress Sicherheit

Es scheint wie eine Binsenweisheit, aber nach wie vor nutzen immer noch sehr viele Webmaster unsichere Passwörter wie beispielsweise das sehr beliebte Passwort „12345“ zur Sicherung des Admin-Bereichs ihrer WordPress Instanz. Ich empfehle Ihnen folgendes:

  • Nutzen Sie einen Passwortmanager wie beispielsweise KeePass zur Generierung und Verwaltung ihrer sicheren Passwörter. KeePass hat den Vorteil, dass wenn Sie die Datenbankdatei in der Cloud ablegen, Sie von jedem Gerät aus auf dieselbe Datenbank zugreifen können und stets ihre sicheren Passwörter griffbereit haben.
  • Nutzen Sie niemals Admin als Benutzername für einen Log-In mit Administratorrechten. So erschweren Sie es Angreifern sich mit Hilfe von BruteForce Angriffen (Automatisiertes Ausprobieren unzähliger Passwortkombinationen) Zugang zu Ihrer Webseite zu veschaffen.
  • Reduzieren Sie die Anzahl an Benutzern mit Administratorrechten und löschen Sie nicht mehr benötigte Admin-Zugänge.
 
 

4. Installieren Sie Themes und Plug-Ins nur aus sicheren Quellen

Kostenlose Themes und Plug-Ins sind ein häufig genutztes Einfalltor für Scriptbezogene Angriffe auf WordPress Webseiten. Achten Sie vor der Installation unbedingt darauf, dass der Anbieter vertrauenswürdig ist. Unter WordPress.org finden Sie Themes und Plug-Ins denen Sie vertrauen können. Aber auch hier sollten Sie unbedingt vor der Installation prüfen wann beispielsweise ein Plug-In sein letztes Update erfahren hat. Installieren Sie nur Plug-Ins die regelmäßig upgedatet werden. Lesen Sie sich unbedingt auch die Bewertungen des jeweiligen Plug-Ins durch und achten Sie auf die Gesamtpunktzahl an Sternen.

 

5. Erstellen Sie regelmäßig Backups

Updraft Plus Sicherheits Plug-In WordPress
Ich empfehle Ihnen UpdraftPlus für die Erstellung von WordPress Sicherheits-Backups zu verwenden

Um vollkommen auf der sicheren Seite zu sein und bei möglichen Problemen stets eine funktionierende Version ihrer Webseite wiederherstellen zu können sollten Sie auf jeden Fall in regelmäßigen Abständen BackUps vornehmen. Ich nutze hierzu standardmäßig das Plug-In UpdraftPlus. Mit Updraft Plus können sie genau definieren wie oft ein Backup vorgenommen werden soll und auch wie viele Backups aufbewahrt werden sollen. Darüber hinaus können Sie UpdraftPlus so konfigurieren, dass es die erstellten Backups automatisch auf einen Cloudspeicher hochläd. So sind Sie selbst im Falle eines kompletten Serverausfalls in der Lage eine funktionierende Version ihrer Seite wiederherzustellen.

Tipp

 Falls ihre Webseite einmal komplett zerschossen sein sollte und Sie keine Möglichkeit mehr haben ins UpdraftPlus Dashboard zu gelangen um eine Wiederherstellung anzutriggern, so bieten die meisten Premium Hostinganbieter an, eine ihrer automatisch erstellten Backups kostenpflichtig wieder aufzuspielen. Viele Hostinganbieten bewahren meist einige Tage bis Wochen zurückliegende Backups auf. Bei Hostpress können Sie ein Backup bequem mittels Chat oder Telefon beauftragen. Bei DomainFactory kann die Wiederherstellung sogar aus dem Benutzermenü heraus in Auftrag gegeben werden.

6. Entfernen Sie ungenutzte Themes und Plug-Ins

Umso länger man eine WordPress Instanz nutzt, umso größer ist die Chance, dass sich über die Zeit Karteileichen angesammelt haben. Um potenziellen Angreifern den Weg über veraltete Themes und Plug-Ins zu versperren sollten Sie unbedingt nicht mehr genutzte Plug-Ins nicht nur deaktivieren, sondern komplett vom System löschen. Nicht genutzte Themes entfernen Sie am einfachsten in dem Sie sich per FTP (File Transfer Protocol) verbinden die entsprechenden Themes aus dem Ordner z.B.  /home/user/public_html/wp-content/themes/ komplett herauslöschen.

7. Installieren Sie ein WordPress Sicherheits-Plugin

Um Ihre WordPress-Instanz zusätzlich zu sichern sollten Sie unbedingt eines der gängigen WordPress Security Plug-Ins zumindest in der kostenlosen Variante installieren. Absolut zu empfehlen ist das Plug-In Wordfence. Wordfence stattet Ihre Webseite mit einer Firewall und einem Security Scanner aus. Die Firewall identifiziert und blockiert automatisch bösartig anmutenden Webseitentraffic und scannt gleichsam in regelmäßigen Abständen die wichtigsten Kerndateien von WordPress auf einen eventuellen Malewarebefall. Der Security Scanner führt einen WordPress Sicherheitscheck durch.

Das Plug-In können Sie kostenlos unter https://www.wordfence.com/ herunterladen.

Tipp

Wordfence ist vom Start weg so konfiguriert, dass es ihnen bei jeder unwichtigen Kleinigkeit eine E-Mail sendet. Dies kann mit unter zu mehreren E-Mails pro Tag führen, in denen Sie auf eine blockierte IP-Adresse oder etwas anderes Profanes hingewiesen werden. Ich empfehle Ihnen sich nur bei absolut kritischen Ereignissen einen Benachrichtigungsemail senden zu lassen und die tägliche E-Mail Zusammenfaßung zu deaktivieren. Unter Wordfence > All Options > Email Alert Preference können Sie die E-Mail-Benachrichtigungen soweit herunterdrosseln, dass Sie nur bei absolut kritischen Ereignissen eine Nachricht erhalten.

Autor

SEO Experte: Timothy M. Scherman

Timothy ist Gründer & Geschäftsführer der Schild Roth SEO Agentur GmbH. Seit über 7 Jahren berät und betreut er hauptberuflich verschiedene Unternehmen im Bereich SEO, Webdesign & Online Marketing. Zuvor war er bereits als Marketingberater, Google Trainer und Dozent für Online Marketing tätig. Zum Kundenstamm der Agentur zählen mittlerweile Unternehmen aus verschiedenen Branchen, Steuerberater & Ärzte aus ganz Deutschland.

Schreibe einen Kommentar

Anderen Lesern gefiel auch

Lesern, denen dieser Artikel gefallen hat gefielen auch die folgenden Artikel