Gastartikel: 9 Tipps, um WordPress vor Hackern zu schützen

WordPress SicherheitstippsWeltweit bedienen sich inzwischen über 70 Millionen Webseiten der Dienste von WordPress. Das CMS ist inzwischen längst nicht nur die erste Anlaufstelle für kleinere Privatblogs und Online-Projekte, sondern wird dank der hohen Flexibilität und der vielen Gestaltungsmöglichkeiten auch immer attraktiver für Unternehmen, die sich eine ansprechende unkompliziert Webpräsenz wünschen ohne hohe Kosten. Doch mit der steigenden Popularität wird das CMS auch ein immer ergiebigeres Ziel für Hacker, die sich erhoffen, über Angriffe auf Websites an sensible Daten zu gelangen oder anderweitig Schaden anzurichten. Über Injektionen in die MySQL-Datenbank, geteilte Ordner, Javascript oder PHP-Code sind Hacker dabei sogar in der Lage, Webseiten gänzlich außer Betrieb zu setzen, nachhaltig zu zerstören oder zur Verbreitung von Malware zu verwenden. Wer also vermeiden möchte, dass er irgendwann beim Aufruf der eigenen Webseite von oben stehender Warnung begrüßt wird, nimmt sich am besten die folgenden 9 Tipps für höhere WordPress-Sicherheit zu Herzen:

1. Updates nutzen

Ein Großteil der Hacks hat ihren Ursprung in Sicherheitslücken, die von veralteter Software hinterlassen werden – das gilt sowohl für die WordPress-Installation an sich als auch für sämtliche Plugins, die verwendet werden. Trotz der Open Source-Natur von WordPress, verfügt die Publikationsplattform über eine extrem große und aktive Community, die Sicherheitslücken umgehend stopft, sobald sie auftreten und entsprechende Updates versendet. Wer diese nicht nutzt und sich somit angreifbar macht, ist im Endeffekt selbst schuld, wenn seine Seite infiziert wird.

2. Login-Daten mit Bedacht wählen

WordPress LoginfensterDas Erste, was Hacker versuchen, wenn sie ins Backend einbrechen wollen, ist testen, ob ein Account über den Standarduser „Admin“ läuft. Wer einen solchen verwendet, sollte also zusehen, dass er ihn löscht und stattdessen mit einem Account arbeitet, der seinen eigenen Namen trägt – oder besser noch: Einen Namen, der nicht aus den Inhalten der Webseite hervorgeht. Auch das Passwort sollte gut gewählt sein. Ein bombensicheres Passwort setzt sich optimalerweise aus Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen zusammen, wobei in diesem Zeichensalat keine bestehenden Begriffe zu erkennen sind. Wer sich eine solche komplizierte Aneinanderreihung von Zeichen verständlicherweise nicht merken kann, dem sei zu einem Passwort-Manager geraten.

3. Sichere Verbindung zum Server verwenden

Normale FTP-Zugänge sind inzwischen unsicher geworden. Für Hacker ist es ein Leichtes, Daten über dieses Protokoll abzufangen, wenn sie es darauf anlegen. Deswegen sollten User wann immer es möglich ist auf SFTP oder SSH-Verbindungen zurückgreifen, um ihre Dateien auf den Server zu übertragen sowie ihre Webseite über HTTPS bzw. gegebenenfalls SSL zur Verfügung stellen.

4. Sicheren Webhoster aussuchen

Wer seine WordPress-Installation selbst über einen Webhoster betreibt (was zu empfehlen ist), sollte sich gut überlegen, bei welchem Webhoster er Serverplatz erstehen möchte. Nicht alle Webhoster bieten die gleichen Sicherheitsstandards. Während bei den besten Hostern der Service vom Passwortschutz und täglichen Backups über SMTP- und SSL-Verschlüsselung bis hin zum Spam- und Antivirenschutz reicht, gibt es auch Anbieter, die nichts davon gewährleisten und die Webseiten somit sehr angreifbar machen. Eine Übersicht über die Leistungen verschiedener Webhoster gibt es auf der Vergleichsplattform Netzsieger.de.

5. Datei- und Ordner-Rechte im Auge behalten

WordPress Dateirechte setzenViele WordPress-Nutzer gewähren sämtlichen Dateien und Ordnern gleich nach der Installation die Zugriffsrechte 777, also größtmögliche Rechte, um Komplikationen beim Upload von Dateien zu vermeiden. Man könnte genauso gut auch den roten Teppich für die Hacker ausrollen. Sehr viel sicherer sind die Rechte 644 für Dateien und 750 für Ordner – so ist die Webseite gesichert genug vor dem Zugriff Unbefugter und der User hat trotzdem keine Probleme beim Upload von Dateien.

6. Themes und Plugins nur von vertrauenswürdigen Quellen beziehen

Die Zahl der Viren, die in Themes und Plugins versteckt werden, steigt kontinuierlich – insbesondere in Raubkopien. Daher sollten entsprechende Software-Pakete nur von Anbietern bezogen werden, die als sicher eingestuft werden, z. B. WordPress selbst. Das hat einen positiven Nebeneffekt: Wer Plugins und Themes von etablierten Herstellern bezieht, kann auch sicher sein, dass er kontinuierlich mit Updates versorgt wird und somit Sicherheitslücken geschlossen werden.

7. Security-Plugins verwenden

Eigentlich ein Ratschlag, der auf der Hand liegen sollte, aber doch häufig vergessen oder zumindest nicht weit genug ausgeführt wird, denn das vorinstallierte Aksimet, das sich einigermaßen effizient um die Beseitigung von Spam bemüht, geht lange nicht weit genug, um eine Webseite ausreichend abzusichern. Die Möglichkeiten sind vielfältig: Vom Virenscanner bis zum Backup-Plugin steht alles kostenlos zur Verfügung. Auch Plugins, die Code-Injektionen verhindern, unautorisierte Dateiänderungen im Auge behalten oder sogar die Login-Seite vor Unbefugten verstecken sind frei verfügbar. Im Frontend ist zudem die Installation einer Captcha-Abfrage bei Kommentaren sinnvoll, um sich vor Spambots zu schützen.

8. Die WP-Config-Datei verstecken

wp-config versteckenDie Konfigurationsdatei ist besonders anfällig für Hacks und für gewöhnlich einfach durch anhängen von /wp-config.php an die URL zu finden. Das lässt sich ändern. Die Datei liegt standardmäßig im WordPress-Ordner, doch WordPress erlaubt es, die Datei einen Ordner darüber, außerhalb von WordPress zu lagern, ohne dass die Seite dadurch lahm gelegt wird. Das allein sorgt bereits für höhere Sicherheit. Zwar gibt es zahlreiche weitere Methoden, um die WP-Config-Datei noch besser zu verstecken – Umbenennung, Erstellung einer reduzierten Kopie, Änderung der Datenbank-Präfixe, etc. – aber wenn man die anderen Sicherheitshinweise befolgt, reicht es bereits aus, sie einfach nicht dort zu hinterlegen, wo Hacker sie erwarten, sondern einen Ordner darüber.

9. Regelmäßige Backups erstellen

Wer mal ganz schlimmes Pech hat, kann seine Webseite noch so sehr vor Malware schützen – er fängt sich trotzdem irgendetwas ein, was die Seite unbrauchbar macht und alle Dateien vernichtet. Auch böse Serverabstürze ohne Hacker-Einfluss soll es schon mal geben. Deshalb ist es wichtig für den Fall der Fälle immer ein aktuelles Backup parat zu haben, um die Webseite ohne großen Aufwand wiederherzustellen. Eine ordentliche Backup-Lösung erledigt das in regelmäßigen Abständen automatisch und einige der Plugins sind – als angenehme Zusatzfunktion – sogar außerordentlich hilfreich, wenn man mit seiner Seite auf einen anderen Server umzieht.

kevinhuber

Kevin Huber studiert Journalismus in Berlin und arbeitet als Werkstudent in der Redaktion des Vergleichsportals Netzsieger.de. Seine spärliche Freizeit schlägt er mit der Kunst der musikalischen Klänge, der bewegten Bilder und des geschriebenen Wortes sowie Abenteuern in der großen weiten Welt des Internets tot.

6 Kommentare

  1. Fritzesays:

    Vielen Dank für die Tipps. Ich werde mich jetzt auch mal dransetzen, kann ja nicht schaden.

  2. Sehr schöner Artikel! Eine Ergänzung zur Sicherung der wp-config.php habe ich noch, die ich quasi immer standardmäßig mache per htaccess

    # wp-config.php schützen

    Order deny,allow
    deny from all

    Damit lässt sich die wp-config auch gut sichern.

  3. Schön aufbereiterer Artikel. Mir ist dabei aufgefallen, dass Punkt 7. “Security-Plugins verwenden” keine konkrete Empfehlung ausspricht. Akismet ist aus datenschutzrechtlichen Gründen in Deutschland eine Risiko. Stattdessen hat das WordPress Plugin von Sergey Müller “AntiSpamBee” ähnlich gute Leistungen und ist auch für den deutschen Raum hin rechtssicher.

  4. Christiansays:

    Sehr gute Tipps. Leider ist es recht schwierig sie zu befolgen wenn so um die 50 seiten hat. Da gibt es ständig irgendwelche updates und somit mögliche Sicherheitslücken. Aber vielleicht ist das einfach der Preis den man für die Verwendung von WordPress zahlen muss.

  5. Sehr lesenswerter und hilfreicher Artikel. Vor allem die im Artikel beschriebene Auswahl der Login-Daten sowie die sichere Verbindung zum Server halte ich für essentiell. Als äußerst hilfreich haben sich auch die verfügbaren Security-Plugins herausgestellt. Auf jedenfall sehr gute Aufstellung, weiter so!

  6. Toller Artikel! Vielen Dank für diese hilfreichen Tipps. Damit komme ich doch schon mal ein wenig weiter ;-)

Schreibe einen Kommentar zu Fritze Antworten abbrechen

Deine E-Mail-Adresse wird nicht veröffentlicht. Sie dient nur dem Spamschutz.