WordPress-Security –
für sichere Websites

Zu den WordPress Paketen

Ist die Sicherheit von WordPress in Gefahr?

WordPress ist das beliebteste Content-Management-System (CMS) der Welt. Die Einfachheit der Installation, die aktive Community, die leichte Verwaltung: Jeden Tag entscheiden sich unzählige Web-Administratoren für die Umsetzung ihrer Projekte mit WordPress. Das macht die Software aber auch so interessant für Internetkriminelle. Sicherheitslücken in WordPress betreffen daher Millionen Websites. Dabei ist WordPress nicht unsicherer als vergleichbare Angebote: Der Fokus auf den Marktführer ist für Hacker lohnenswerter. Da WordPress Open Source ist und somit viele Augen den Quellcode überprüfen können, ist die Software sogar relativ sicher.

  • WordPress ist das beliebteste CMS der Welt.
  • Aus diesem Grund ist die Software häufiges Ziel von Hacker-Angriffen.
  • Mit ein paar Tricks kann man sich bereits schützen.
  • Plug-ins helfen bei den Sicherheitsmaßnahmen.
  • Auch nach einem Hack ist nicht alles verloren.

WordPress-Security

Einfache Tricks für die WordPress-Security

Auch wenn WordPress ein so großes Angriffsziel ist, muss man nicht zur Konkurrenz abwandern, denn die gute Nachricht ist: Schon mit ein paar Vorkehrungen ist die eigene Website sehr viel sicherer. Die meisten Angreifer suchen sich ungeschützte Websites und überspringen gesicherte Online-Auftritte. Was können Sie also für mehr WordPress-Sicherheit tun?


Sichere Passwörter verwenden

Es klingt selbstverständlich, doch viele angehende Webmaster unterschätzen die Wichtigkeit von sicheren Passwörtern. Bei unzureichendem Schutz der Login-Maske, ist ein Zugriff auf Ihre Website zum Log-in in das Backend im Grunde durch jeden möglich. Brute-Force- oder Wörterbuch-Attacken werden gestartet. Die erste Methode prüft sämtliche Zeichenkombinationen nacheinander. Bei einem Wörterbuch-Angriff nutzt der Hacker eine Datei mit typischen Passwörtern. Achtung: Darin sind auch solche Passwörter enthalten, bei denen Buchstaben mit Zahlen oder Sonderzeichen ausgetauscht wurden. Wann ist ein Passwort sicher? Die Länge besteht aus mindestens acht Zeichen. Die Zeichen wiederum beinhalten Buchstaben, Zahlen und Sonderzeichen ohne sinnige Zeichenfolge. Ein solches Passwort lässt sich zwar nur schwer merken, aber eben auch nur sehr schwer knacken.

Neben dem Passwort spielt auch der Anmeldename eine große Rolle. Viele WordPress-Nutzer neigen dazu, einen Standardnamen wie „admin“ zu verwenden. Diesen sollten Sie auf jeden Fall ändern, damit Angreifer direkt zwei Probleme haben: Sie müssen Anmeldenamen und Passwort herausbekommen. Ferner auch den FTP-Zugang und die Datenbank mit guten Passwörtern absichern.


Log-in beschränken

Sie können den Anmeldebereich für die Verwaltung Ihrer WordPress-Website aber auch deutlich stärker schützen. Dies ist mittels Installation einer zusätzlichen Passwort-Abfrage über die .htaccess-Datei möglich. So legen Sie fest, dass auch nur dazu befugte Personen überhaupt zur Anmeldemaske gelangen. Über die Konfigurationsdatei können Sie sogar einstellen, dass nur bestimmte IP-Adressen Zugriff auf den Login-Screen haben.


Updates installieren

Die WordPress-Community ist sehr aktiv. Auf Sicherheitslücken wird dementsprechend schnell reagiert und ein Update veröffentlicht. Sicherheitsrelevante WordPress-Updates werden standardmäßig automatisch installiert. Zu bedenken: Doch auch alle installierten Plug-ins und Themes sollten immer auf dem neuesten Stand sein. Diese Updates werden im Backend (Bereich Dashboard) angezeigt und per Klick installiert. Nutzen Sie Plug-ins mit unregelmäßigen Updates? An dieser Stelle ist die Wahl einer Alternative empfehlenswert. Möglicherweise verfolgen Entwickler das Plug-in Projekt nicht weiter mit dem Ergebnis: Das Potential an Sicherheitslücken wächst.


Backups anlegen

Regelmäßige Backups minimieren das Risiko der Gefährdung durch Angriffe mit Viren und anderer Malware: Wenn Sie regelmäßig die komplette Website sichern, können Sie nach einem Angriff einfach zu einem früheren Speicherstand zurückkehren.


Plug-ins prüfen

Viele WordPress-Hacks greifen gar nicht die ursprüngliche Installation an, sondern konzentrieren sich auf die Sicherheitslücken in Plug-ins. Theoretisch kann jeder Entwickler eine Erweiterung für WordPress erstellen und veröffentlichen. Ein schlecht programmiertes Plug-in kann die Sicherheit der kompletten Website gefährden. Deshalb sollte man bei der Wahl der geeigneten Erweiterung auf zwei Dinge achten:

  • Wählen Sie ein Plug-in, das auch von vielen anderen Websites eingesetzt wird. Populäre Erweiterungen sind vielfach getestet.
  • Achten Sie auf den Zeitpunkt der letzten Aktualisierung. Sollte das Plug-in bereits seit über einem Jahr kein Update erfahren haben, kann es voll von Sicherheitslücken sein.

Ohnehin ist es ratsam, nicht zu viele Plug-ins unbedacht einzusetzen. Abgesehen von der WordPress-Security beeinflussen zu viele Erweiterungen auch die Geschwindigkeit der Website negativ.


WordPress mit Sicherheits-Plug-ins schützen

Spezielle Plug-ins verbessern den Schutz Ihres WordPress Projekts.

  • Jetpack: Das Plug-in von Automattic ist ein Alleskönner und in über 5 Millionen Websites aktiv. Außer Sicherheit beschleunigt es Ladezeiten und vereinfacht die Verwaltung. Zu den Security-Features gehören ein Schutz gegen Brute-Force-Angriffe, ein Malware-Scan und eine optionale Zwei-Faktor-Authentifizierung (2FA).
  • Google Authenticator: Suchen Sie nur einen 2FA-Schutz für ihr Backend, ist dieses Plug-in die richtige Wahl. Legen Sie fest, dass Sie und andere Nutzer ein zweites Sicherheitsmerkmal eingeben müssen, bevor sie das Backend betreten.
  • Wordfence: Diese Erweiterung erstellt eine starke Firewall für Ihre WordPress-Installation. Das nützliche Werkzeug punktet außerdem mit einem Malware-Scanner und 2FA.
  • Limit Login Attemps Reloaded: Eine wirksame Waffe gegen Passwortknacker ist die Beschränkung der Anmeldeversuche. Mit diesem Plug-in können Sie festlegen, wie viele fehlgeschlagene Versuche jeder Nutzer hat, und wie lang die IP-Adresse anschließend gesperrt ist.
  • iThemes Security: Eine weitere All-in-one-Lösung. In der kostenpflichtigen Pro-Version erhalten Sie bei diesem WordPress-Sicherheits-Plug-in zu den üblichen Features weitere interessante Funktionen: Unter anderem einen Passwort-Generator, eine Google-reCaptcha-Funktion gegen Spam und ein Werkzeug, welches eine regelmäßige Neuerstellung von Passwörtern des Nutzers einfordert.

Was bringt ein WordPress-Security-Scan?

Ist Ihre Website wirklich sicher? Im Internet finden Sie verschiedene Anbieter, die einen WordPress-Security-Check durchführen. Dafür müssen Sie in der Regel nur Ihre Domain angeben. Solche Webdienste untersuchen Ihre Website extern und können so Schwachstellen aufdecken, die auch Hacker finden könnten. Außerdem gibt es spezielle Plug-ins, die eine Suche intern durchführen. Die beiden vorgestellten Erweiterungen Wordfence und iTheme Security haben solche Funktionen beispielsweise mit an Bord.


WordPress gehackt: Was nun?

Haben Sie festgestellt, dass Ihre WordPress-Website Opfer eines Angriffs wurde, sollten Sie in einem ersten Schritt alle Passwörter und Anmeldenamen ändern. Denn oft werden die Eigentümer durch Angreifer ausgesperrt. Dann kann ein Zugriff per FTP eventuell noch helfen. Falls Sie auch hier nicht mehr reinkommen, müssen Sie sofort Kontakt zu Ihrem Hosting-Anbieter aufnehmen. Gemeinsam mit diesem können Sie dann das Problem lösen und die Website wieder unter Ihre Kontrolle bringen. Vermutlich hat der Anbieter den Angriff sogar schon selbst festgestellt und kommt auf Sie zu.

Wenn Sie allerdings noch oder wieder Zugriff zum Backend haben, stellen Sie ein altes, nicht infiziertes Backup wieder her. Zuvor empfiehlt es sich aber, eine Kopie von der infizierten Website zu machen. So haben Sie nachträglich die Möglichkeit, offline den Schaden und die Schwachstellen zu untersuchen. In Ihrer Online-Version müssen Sie dann Ihre Sicherheitsvorkehrungen verbessern.


WordPress-Security Fazit

Zusammengefasst: WordPress-Security ist nicht schwer

  • Sichere Zugangsdaten verwenden.
  • Themes und alle Erweiterungen auf dem neuesten Stand halten.
  • Zusätzliche Sicherheits-Plug-ins einsetzen.
  • WordPress auf Sicherheitslücken checken.
  • Regelmäßig Backups anfertigen.