In jüngster Zeit machen immer wieder Hackerangriffe auf sich aufmerksam. Ob Webseiten des Bundes oder Unternehmen, immer wieder hören wir von Datendiebstahl und Hacker Angriffen. Sie suchen daher nach WordPress-Sicherheitstipps und dem ultimativen WordPress-Sicherheitsleitfaden? Lesen Sie weiter. Wir haben ein paar Dinge für Sie zusammengestellt die Ihnen helfen.
Warum muss ich mich um die Sicherheit von WordPress kümmern?
WordPress Sicherheit ist eine der größten Sorgen für jedermann im Moment. Jedes Jahr werden Tausende von mit WordPress erstellten Websites gehackt, verlieren Daten, verlieren den Zugriff auf die Website. Sind es mehr als andere Technologie? Absolut gesehen sicherlich, denn jede zweite Webseite wurde mit WordPress erstellt. Ist WordPress jedoch unsicherer als andere System? Nein, aber wir wollen mithelfen das unsere Kunden und Leser des Blogs sichere Webseiten haben.
Seien wir ehrlich. Es gibt kein 100% sicheres System auf der Welt. Deshalb brauchen Sie einen WordPress-Sicherheitsleitfaden!
Es wird immer einige Risiken in Ihrem System geben. Sie müssen jedoch vorbeugende Maßnahmen ergreifen und Risiken abschwächen, um sicherzustellen, dass Ihre Website nicht anfällig für Angriffe ist.
Die meisten Websites werden in der Regel aufgrund schlechter Systemadministration gehackt, da sie nicht die neueste WordPress-Version verwenden, schwache Benutzernamen/Passwörter verwenden und viele andere Fälle. Es kann auch schon mal am User gelegen haben…
Angriffe auf WordPress-Websites haben in den letzten Jahren deutlich zugenommen
Das branchenbekannte Sicherheitsunternehmen Sucuri hat eine detaillierte Analyse der am häufigsten angegriffenen Content-Management-Systeme des Jahres 2018 veröffentlicht. Es überrascht nicht, dass WordPress an der Spitze steht und etwa 80 % der gesamten Angriffe absorbiert hat, wenn WordPress mehr 50% Marktanteil hat.
Es ist also ratsam, sich um die Sicherheit von WordPress zu kümmern, bevor es zu spät ist. Nichts ist schlimmer, als morgens aufzuwachen und festzustellen, dass man keinen Zugriff auf die eigene Website hat. Unser WordPress-Sicherheitsleitfaden wird Ihnen helfen, Angriffe zu stoppen und Schwachstellen auf Ihrer Website zu beheben.
In diesem Beitrag finden Sie einige der besten WordPress-Sicherheitstipps, um die Anfälligkeit Ihrer WordPress-Installation zu verringern.
WordPress-Sicherheitsleitfaden
Wir haben unseren WordPress-Sicherheitsleitfaden in mehrere Teile unterteilt. Wir hoffen unsere WordPress-Sicherheitstipps helfen Ihnen nicht nur zum ruhigen Schlaf sondern auch zu einer reibungslosen Webpräsenz.
Datenbank-Sicherheit
Eine Datenbank ist das Wichtigste bei der Erstellung einer neuen Website. Wenn Sie also eine neue Website erstellen, müssen Sie über die Sicherheitsmaßnahmen nachdenken, die Sie zur Sicherung Ihrer Datenbank ergreifen. Viele von uns bevorzugen den einfachsten Weg, WordPress über das cPanel zu installieren. Wenn Sie sich Sorgen um die Sicherheit machen, werden wir Ihnen immer empfehlen, WordPress manuell zu installieren, indem Sie zuerst die Datenbank erstellen und einen Datenbankbenutzer hinzufügen.
- Tipp: Verwenden Sie einen eindeutigen Datenbanknamen. Wenn Ihre Website z. B. “meineSchule.ch” heißt, dann wählen Sie immer etwas, das nicht mit dem Domainnamen zusammenhängt.
- Fügen Sie dem Datenbanknamen eine Nummer hinzu, um ihn sicherer zu machen.
Sicherheit der Datenbankbenutzer
Beim Hinzufügen des neu erstellten Benutzers ist es ratsam, die Berechtigung “Drop” für den Datenbankbenutzer nicht zuzulassen. Selbst wenn jemand Zugriff auf Ihre Datenbank erhält, kann er die Tabelle nicht löschen. Dies gewährleistet eine hohe Sicherheit für Ihre Website.
Dateiberechtigung
(Wenn Sie sich nicht darum kümmern, zu lernen, was Dateiberechtigung ist, springen Sie zu WordPress Dateiberechtigung)
Wenn Sie ein Unix-basiertes Betriebssystem wie Linux-basierte Distros wie Ubuntu, Linux Mint oder macOS verwenden, wissen Sie vielleicht, dass alle Dateien und Ordner von Unix-basierten Betriebssystemen Dateirechte haben. Diese Berechtigung wird als drei Ziffern geschrieben. Wenn Sie das folgende Bild betrachten, können Sie verstehen, was jede dieser Ziffern bewirkt.
WordPress Dateiberechtigung
Stellen Sie sicher, dass Sie dieser Dateiberechtigungsstruktur folgen, um Ihre Dateiberechtigung auf WordPress zu härten. Sie können den folgenden Befehl ausführen, um die Dateiberechtigung Ihrer .htaccess-Datei zu ändern, nachdem Sie in das entsprechende Verzeichnis gewechselt sind. Ansonsten können Sie einfach mit der rechten Maustaste auf die Datei klicken und die Berechtigung im cPanel-Dateimanager festlegen.
chmod 404 .htaccess
Einige Server zeigen einen Fehler an, wenn die Berechtigung 705 im Stammordner verwendet wird. Verwenden Sie in diesem Fall die Berechtigung 750.
Verhindern von Brute-Force-Angriffen auf WordPress-Websites
Ein kleines Skript kann verwendet werden, um einen Brute-Force-Angriff auf Ihre Website auszuführen. Hacker verwenden heutzutage verschiedene Methoden wie Socks/Proxy/VPN/Tor, um Websites anzugreifen. Daher müssen wir CAPTCHA verwenden, um diese Brute-Force-Angriffe zu stoppen.
- Installieren Sie das Plugin No CAPTCHA reCAPTCHA aus dem WordPress-Repository. Wenn Sie nicht wissen, wie Sie ein Plugin installieren, lesen Sie unsere einfache Anleitung zur Installation von Plugins auf einer WordPress-Website
Sie können entscheiden, wo Captchas angezeigt werden sollen.
Nach erfolgreicher Installation wird das Captcha beim WordPress-Login angezeigt. Melden Sie sich mit dieser Anleitung mit nur einem Klick im WordPress-Dashboard an.
An dieser Stelle ein Pro-WordPress-Sicherheitstipps: Akismet hinzufügen, um Spams zu stoppen
Verwenden SSL-Zertifikate
Es gibt keinen Grund, warum Sie die Vorteile des kostenlosen SSL nicht nutzen sollten, da es eine verschlüsselte Verbindung zwischen Ihnen und dem Server herstellt. Cloudfire kann eine Lösung sein, vielleicht bietet Ihr Webhosting Partner ebenfalls eine Lösung an – manchmal gar kostenlos. Auch ein Kostenpflichtiges SSL Zertifikat kostet nicht die Welt, macht durchaus aber Sinn. Daher gibt es keine Entschuldigung nicht mal auf dem günstigsten Standard zu sein.
Multifaktor-Authentifizierung
Sie können Authentifikatoren von Drittanbietern verwenden, wenn Sie mit Ihrer Kombination aus Benutzername und Kennwort nicht zufrieden sind. Es sind einige Authentifikatoren für WordPress verfügbar. Wie zum Beispiel
- Google Authenticator
Sie können das Google Authenticator-Plugin verwenden, wenn Sie iPhone/Android-Geräte verwenden. Das Plugin wird die Unterstützung für Sie aktivieren.
- EMAIL OTP
OTP bedeutet One Time Password. Wenn Sie möchten, dass Ihre Website vor jeder Anmeldung immer ein Einmal-Passwort an Ihre E-Mail sendet, verwenden Sie das Plugin Secure Login
Automatische Datenbanksicherungen zur Sicherheit einrichten
Wenn Ihre Website jemals kompromittiert wird, benötigen Sie ein Datenbank-Backup, um den vorherigen Zustand Ihrer Website wiederherstellen zu können. Ein gutes Plugin dazu ist UpDraft wo wir oft einsetzen. Jetzt installieren und sofort beginnen, automatische Datenbank-Backups zu erstellen. Nicht bis morgen warten, denn sicher ist sicher und das lieber heute als morgen. Ein WordPress-Sicherheitstipp der sich sofort un unkompliziert umsetzen lässt.
WordPress-Sicherheits-Plugins verwenden
Es gibt eine breite Auswahl “der besten” WordPress-Sicherheits-Plugins. Im Internet werden viele Berichte der Top 10 und so weitere publiziert. Wir haben Wordfence als das beste Sicherheits-Plugin für WordPress bei uns und für unsere Kunden ausgewählt.
Wir empfehlen auch einige andere Plugins, die wir sorgfältig getestet haben und Ihnen gerne weiterempfehlen.
- Wordfence – Das beliebteste WordPress Firewall- und Sicherheits-Plugin. Wordfence aktualisiert ständig seine Schwachstellen-Datenbank, um Sie vor Sicherheitslücken zu schützen. Das Plugin erstellt automatisch eine Blacklist der riskantesten IPs, indem es Firewall-Regeln aktiviert und Malware-Bedrohungen erkennt. Der eingebaute Scanner prüft WordPress-Kerndateien, Themes und Plugins auf bösartigen Code. Wir empfehlen die Verwendung von Wordfence. Dies ist eine
- Sucuri Security – Dies ist ein Auditing, Malware-Scanning und Security Hardening Plugin für Ihre WordPress-Installation. Obwohl die meisten der großartigen Funktionen mit der Premium-Version kommen, die rund $199.99/Jahr kostet
- Jetpack Security – Jetpack enthält einige grundlegende Sicherheitsfunktionen wie IP-Sperren, automatischen DDoS-Schutz, Spamschutz und mehr.
- SecuPress Free-WordPress Security – SecuPress ist ein neues WordPress-Plugin auf dem Markt. Es wurde ursprünglich vom gleichen Autor wie WP Rocket entwickelt. Es ist ein neues Plugin auf dem Markt und die kostenlose Version bietet viele wesentliche Sicherheitsfunktionen. Das Plugin beinhaltet eine Firewall, bietet Malware-Scans und Sicherheitsbenachrichtigungen.
- NinjaFirewall (WP Edition) – NinjaFirewall versucht, ein vollwertiges Firewall-Plugin zu sein. Das Plugin agiert proaktiv. Das Hauptmotto des Plugins ist es, “einen Angriff zu verhindern, bevor er stattfindet“. NinjaFirewall kann jede HTTP- oder HTTPS-Anfrage scannen, reparieren und blockieren, bevor sie WordPress oder eines seiner Plugins erreicht.
Andere WordPress-Sicherheitstipps
Einige andere Sicherheitstricks können Ihre WordPress-Website härten. Wir werden diesen Abschnitt regelmäßig aktualisieren, um mehr und mehr Tipps und Tricks zur Stärkung Ihrer WordPress-Sicherheit hinzuzufügen.
Plugin Updates
Wenn Sie Plugin-Updates über das Admin-Panel stoppen möchten, fügen Sie diesen Code in Ihre wp-config.php-Datei ein
define(‘DISALLOW_FILE_MODS’, true);
Änderungen Admin-Panel
Wenn Sie alle Änderungen über das Admin-Panel unterbinden möchten, fügen Sie diesen Code zu Ihrer wp-config.php-Datei hinzu. Dies ist besonders hilfreich, wenn eine Site gehackt wird.
define( ‘DISALLOW_FILE_EDIT’, true);
Skriptinjection
Wenn Sie verschiedene Arten von Skriptinjektionen in Ihre Website verhindern möchten, fügen Sie diesen Code in Ihre .htaceess-Datei ein.
Optionen +FollowSymLinksRewriteEngine OnRewriteCond %{QUERY_STRING} (\<|%3C).*script.*(\>|%3E) [NC,OR]RewriteCond %{QUERY_STRING} GLOBALS(=|\[|\%[0-9A-Z]{0,2}) [OR]RewriteCond %{QUERY_STRING} _REQUEST(=|\[|\%[0-9A-Z]{0,2})RewriteRule ^(.*)$ index.php [F,L]
Passwort
Verwenden Sie einen starken Benutzernamen/Passwort. Es ist so offensichtlich, aber immer noch verwenden Leute den WordPress-Benutzernamen als “admin” und das Passwort als “admin” oder “1234456″. Bitte NICHT!
Wenn Sie den WordPress-Benutzernamen admin verwenden, dann legen Sie sofort einen neuen Benutzer mit einem neuen Benutzernamen an, machen Sie den neuen Benutzer zum Administrator und löschen Sie das alte “admin”-Konto.
Login in Admin Seite
WordPress Webseiten haben den Standard URL webseite.ch/wp-admin für das Login. Dies weiss jeder Hacker, machen Sie es den Hackern mal ein wenig schwerer in dem Sie diesen URL ändern in webseite.ch/Eintritt oder was anderes eingängliches und wo Sie nicht als Keyword verwenden wollen. Denn die Login-Seite sollte auch einen “do not index” Vermerk für die Suchmaschinen haben. Ein kleiner, simpler aber effizienter WordPress-Sicherheitstipps. Brute Force Attacken werden so drastisch reduziert.
Verwenden Sie aktualisierte WordPress-Plugins und Themes
Pflegen Sie sichere WordPress-Themes und -Plugins. Verwenden Sie außerdem die von WordPress.org bereitgestellten APIs, um direkte Aktionen und Manipulationen zu vermeiden.
Bei der Auswahl von WordPress-Themes und -Plugins muss der Benutzer auf die Sicherheit achten.
Etwa 30% der Hacks erfolgen aus demselben Grund, so dass es definitiv eine gute Entscheidung ist, sich für ein Theme/Plugin zu entscheiden, das rechtzeitig aktualisiert wird.
Außerdem müssen Sie Ihr WordPress-Theme auf Malware überprüfen, bevor Sie ein nulled Theme installieren, um sicherzustellen, dass Ihr Theme vollständig sicher ist und die Sicherheit des WordPress-Themes in keiner Weise beeinträchtigt wird.
Untätige Benutzer in WordPress automatisch abmelden
Eingeloggte Benutzer können sich manchmal vom Bildschirm entfernen, und das stellt ein Sicherheitsrisiko dar. Jemand kann ihre Sitzung entführen, Passwörter ändern oder Änderungen an ihrem Konto vornehmen.
Aus diesem Grund melden viele Bank- und Finanzseiten inaktive Benutzer automatisch ab. Sie können eine ähnliche Funktion auch auf Ihrer WordPress-Website implementieren.
Dazu müssen Sie das Plugin Inactive Logout installieren und aktivieren. Nach der Aktivierung besuchen Sie die Seite Einstellungen ” Inaktive Abmeldung, um die Einstellungen des Plugins zu konfigurieren.
Legen Sie einfach die Zeitdauer fest und fügen Sie eine Logout-Nachricht hinzu. Vergessen Sie nicht, auf die Schaltfläche Änderungen speichern zu klicken, um Ihre Einstellungen zu speichern.
SSL-Zertifikat verwenden
SSL (Secure Socket Layer) ist eine der besten Möglichkeiten für Benutzer, ihr WordPress-Administrationspanel zu sichern. Wir haben es oben schon mal erwähnt. Ein SSL-Zertifikat für Ihre Website erschwert es Hackern, Ihre Daten zu fälschen und wirkt sich auch positiv auf das Google-Ranking Ihrer WordPress-Website aus.
Das ist wirklich vorteilhaft, denn Google hat vor kurzem bekannt gegeben, dass es https als Ranking-Signal verwendet, so dass SSL-Websites in den Suchergebnissen höher eingestuft werden.
Wenn Sie SSL auf Ihrer WordPress-Website installiert haben, können Sie sich sicher anmelden (über HTTPS). Sie können es bei renommierten Unternehmen erwerben oder Ihren Host-Provider bitten, es einzubinden.
Zusammenfassung zur WordPress-Sicherheitstipps
Sie können online nie 100% sicher sein! Aber Sie können einiges tun um so sicher wie möglich zu sein.
Wir können niemals alle Themen für den WordPress-Sicherheitsleitfaden abdecken. Hoffen aber Ihnen einige wesentliche und hilfreiche Punkte gezeigt zu haben. Viel Erfolg.