WordPress ist für Hacker ein sehr beliebtes Ziel, denn einmal gibt es unzählige WordPress-Installationen weltweit, deren Zahl stetig ansteigt und durch Themes und Plugins von Drittanbietern entstehen regelmäßig Sicherheitslücken.
Daher sollte man schon gleich beim Aufsetzen des Systems einige wichtige Punkte beachten, um WordPress so gut wie möglich (auch wenn es kaum eine hundertprozentige Sicherheit geben wird) abzusichern.
Diese Schritte will ich im Folgenden erläutern und auch einige Plugins vorstellen, die die Installation sicherer machen.
Installation von WordPress: Secret Keys, Tabellen-Präfix und Passwort
Bei der WordPress-Installation muss die wp-config-sample.php mit den individuellen Datenbank-Parametern angepasst werden und in die wp-config.php umbenannt werden. Aber in diese Datei lassen sich auch Sicherheitsschlüssel für die neue Website oder den neuen Blog einbinden, diesen Schritt führen viele leider nicht aus, obwohl es ganz schnell umgesetzt ist.
Unterhalb der Datenbank-Parameter findet sich in der wp-config-sample.php ein Link (https://api.wordpress.org/secret-key/1.1/salt/), über den sich die erforderlichen Keys generieren lassen. Diese werden dann per Copy und Paste gegen die leeren Angaben hinter den acht define-Zeilen ausgetauscht.
Ein weiterer wichtiger Schritt für mehr Sicherheit ist die Änderung des Standard-Präfixes der WordPress-Tabellen, das normalerweise wp_ lautet. Auch dieses Präfix lässt sich in der wp-config-Datei ändern (steht unterhalb der Sicherheitsschlüssel). Wird das Präfix verändert, fangen in der Datenbank die Tabellen eben nicht mehr mit wp_ an, sondern mit den Buchstaben oder Zahlen bzw. der Bezeichnung, die du gewählt hast.
Der dritte entscheidende Punkt für mehr Sicherheit sind die Anmeldedaten für das WordPress-Backend, die du bei der Installation festlegen musst. Bitte wähle als Benutzernamen keinen üblichen wie demo, admin, test123 oder sowas Ähnliches. Bei automatischen Angriffen auf deinen Blog (sogenannte Brute-Force-Attacken) werden diese Standardbenutzernamen immer wieder ausgewählt, ist dann das Passwort auch nicht sicher, ist die Seite schnell mal gehackt.
Dabei solltest du auch beachten, dass dein Benutzername nirgendwo in deinem Blog in einem Archiv wie dem Autorenarchiv auftaucht oder bei den Blogposts, denn das ist etwas, was an WordPress nicht optimal ist, das Anzeigen des Benutzernamens in der Autoren-URL, die so aussieht: http://deinewebsite.com/author/benutzername. Denn wenn der Benutzername leicht zugänglich ist, weil er beispielsweise von jedem User in den Blogartikeln oder sonstwo einsehbar ist, kommen die Hacker dem illegalen Login einen Schritt näher. Unter diesem Link findest du eine Möglichkeit, deinen Autorennamen zu verbergen.
Eine weitere Möglichkeit, deinen Admin-Benutzernamen zu verbergen, ist, mit einer anderen Benutzerrolle zu bloggen, Bilder hochzuladen und weitere Inhalte einzustellen. Dazu legst du einen Benutzer mit der Rolle “Redakteur” an. Dieser hat standardmäßig keinen Zugriff auf empfindliche Bereiche in der WordPress-Installation wie Plugins, Einstellungen, Themes usw. Somit hätten auch Hacker nur begrenzte Optionen, an der Seite was zu ändern.
Als Passwort solltest du eines entwerfen, das WordPress mit der Sicherheitsstufe “Stark” bewertet, also mindestens 7 bis 8 Stellen lang und außer Klein- und Großbuchstaben sowie Zahlen sollte es möglichst Sonderzeichen enthalten.
Ebenfalls empfehlenswert: Die Dateien license.txt sowie liesmich.html und readme.html aus dem Rootverzeichnis von WordPress zu löschen, in den beiden letztgenannten steht die WordPress-Version drin, die nicht jeder wissen muss.
Mit diesen befolgten Schritten ist deine WordPress-Installation mal schon sicherer als viele andere im Web. Aber es gibt noch weitere Punkte, die du beachten solltest, um es Hackern so schwer wie möglich zu machen, deine Seite zu knacken.
Limit Login Attempts: Falsche Anmeldeversuche beschränken
Solange du dieses Plugin nicht installiert hast, wirst du nicht wissen, wie oft versucht wird, über die Login-Seite deine Website anzugreifen. Mit Limit Login Attempts machst du diese Versuche sozusagen sichtbar.
Im Plugin-Verwaltungsbereich kannst du einstellen, nach wie vielen Anmeldeversuchen die Login-Seite für die IP, die den Loginversuch vorgenommen hat gesperrt wird. Außerdem kannst du dich per Mail benachrichtigen lassen, ob ein unrechtmäßiger Loginversuch vorgenommen wurde.
Sollte eine Brute-Force-Attacke erfolgen, wo automatisch verschiedene Kombinationen von Benutzernamen und Passwörtern ausprobiert werden, können gelegentlich mehrere 100 gesperrte Loginversuche an einem Tag auflaufen. Das ist mir schon einige Male mit diesem Blog passiert.
WordPress-Plugins und -Themes: Auf Qualität achten
Gerade WordPress-Themes und Plugins von Drittanbietern verursachen häufig entscheidende Sicherheitslücken, über die Hacker einfallen können. Daher solltest du nicht unnötig viele Plugins auf deinem Blog installieren, nur weil sie vielleicht cool sind, sondern sie sollten schon für deine Website nützlich sein. Denn je mehr Plugins installiert sind, desto größer ist die Wahrscheinlichkeit, dass sich manche Plugins einander “ins Gehege kommen” und die Schnelligkeit der Seite verringern sowie Fehler und Ausfälle produzieren.
Verwende nur Plugins, die auch im offiziellen WordPress-Verzeichnis aufgeführt sind. Denn dort muss sich jeder Plugin-Entwickler registrieren, der der WordPress-Community ein Plugin zur Verfügung stellen möchte. Wird an dem Plugin Fehler festgestellt, wird die Community dies melden, indem die verschiedenen User dazu Kommentare und Bewertungen abgeben.
Daher achte auch auf die Bewertungen und die Zahl der Downloads, wenn du ein neues kostenloses Plugin herunterlädst.
Das gleiche gilt für kostenlose WordPress-Themes: Verwende nur die aus dem offiziellen WordPress-Theme-Directory.
Kostenpflichtige Plugins und Themes, die du auf verschiedenen Plattformen wie beispielswiese Themeforest kaufen kannst, haben den Vorteil, dass die Entwickler einen Support zur Verfügung stellen, wo du Fehler oder sonstige Probleme melden kannst. Außerdem sind diese Programmierer auf einen guten Ruf bedacht, sodass sie sich mit ihren Produkten in den allermeisten Fällen die größte Mühe für hohe Qualität geben.
Tipp: Mit diesen Plugins kannst du dein neues Theme auf Malware – also bösartigen Code – prüfen:
Auf Aktualität der Software achten
Ein weiterer wichtiger Punkt für eine sichere WordPress-Website ist die Aktualität der einzelnen Anwendungen. Die Release-Zyklen für WordPress sind ja recht kurz, sodass im Jahr mehrere Update anstehen, das gleiche gilt auch für viele Plugins sowie Themes.
Sobald eine neue Version oder Unterversion von WordPress ansteht, solltest du darauf updaten, ebenso deine Theme-Versionen und Plugins. Denn in den neuesten Updates werden meist Sicherheitslücken der vorherigen Versionen beseitigt. Am besten sicherst du vor jedem großen Update von WordPress deine Website-Daten sowie -Datenbank, falls doch mal was schief gehen sollte, kannst du auf eine funktionierende Website-Version zurückgreifen.
Neue Updates werden im Dashboard von WordPress immer angezeigt, sodass du sie so gut wie nicht übersehen kannst.
Regelmäßige Backups durchführen
Regelmäßig gesicherte Seiten sind ebenfalls ein guter Schutz gegen Hacker-Angriffen. Denn sollte die Seite wirklich mal durch einen Hacker infiziert oder zerstört worden sein, kannst du ein Backup deiner Seite verwenden, um sie wieder herzustellen. Wie oft du diese Backups durchführst, hängt auch davon ab, wie oft du neuen Inhalt veröffentlichst. Wer jede Woche Blogartikel verfasst, sollte wenigstens einmal oder gar zweimal in der Woche eine Komplettsicherung machen. Ansonsten sind Zeitintervalle von zwei Wochen ebenfalls eine Option.
Du kannst diese Sicherungen manuell durchführen, indem du die Daten vom Webserver mit einem FTP-Client wie beispielsweise FileZilla auf deinen Rechner runterlädst und du anschließend noch die Datenbank sicherst (geht meist über PHPMyAdmin im Kundenaccount deines Providers) oder du nutzt ein Backup-Plugin wie BackWPup. Damit kannst du deine Daten und Datenbank in unterschiedlichen Formaten u. a. per Mail lokal auf deinen PC, in deine Dropbox oder deinen Google-Cloud-Account sichern. Für ausschließliche Sicherungen in die Dropbox gibt es ein eigenes Backup-Plugin für WordPress – WordPress Backup to Dropbox, für ausschließliche Sicherungen der Datenbank das Plugin WP-DBManager.
Admin-Bereich absichern
Ganz wichtig: Den Admin-Bereich vor Hackern absichern, denn es findet jeder schnell heraus, welches CMS du für deine Website benutzt. Und bei WordPress lautet der Login-Link immer: www.deinewebsite.com/wp-admin oder …/wp-login.php.
Wer die Login-URL verschleiern will, kann dies mit dem Plugin Rename wp-login.php machen. Nach der Installation des Plugins lässt sich die Login-Seite nach deinen eigenen Vorstellungen umbenennen, beispielsweise in www.deinewebsite.com/meineneueloginseite942 oder wie auch immer. Mit dieser Umbenennung wird kaum noch jemand auf deine Login-Seite gelangen.
Ein anderes Plugin – der Google Authenticator – sichert den Login-Bereich so ab, dass neben den üblichen Zugangsdaten noch ein weiterer Zugangscode im Login-Formular eingegeben werden muss, eine sogenannte Zwei-Wege-Authentifizierung.
Wer das Plugin “Google Authenticator” verwendet, benötigt die entsprechende App für sein Smartphone (gibt es für iOS wie für Android), über die immer wieder ein neuer Login-Code generiert wird. Ist zwar etwas aufwändig, da man immer sein Smartphone zur Hand haben sollte, wenn man sich in seinen Blog einloggen will, aber das Plugin macht das Einloggen doch sehr sicher.
Zwei weitere Plugins, um den Admin-Bereich vor illegalen Login-Versuchen abzusichern:
Eine andere interessante Sicherheitsmaßnahme ist die serverseitige Absicherung der wp-login.php, indem man beim Apache-Webserver eine .htaccess- und .htpasswd-Datei erstellt. Wie das geht, steht in diesem Beitrag.
Antispam-Plugins gegen Spamkommentare
Falls du auf deinem Blog Kommentare zulässt, solltest du dir ein Antispam-Plugin auf deinem Blog installieren, um die vielen Spamkommentare, die tagtäglich ankommen, herauszufiltern. Denn über Kommentare kann auch schädlicher Code versendet und in den Blog eingeschleust werden.
Ein gutes Antispam-Plugin ist beispielsweise Antispam-Bee. Das standardmäßig mitgelieferte Antispam-Plugin Akismet verlangt eine Anmeldung bei dem Pluginanbieter, wobei Daten weitergegeben werden, was ich nicht so gut finde.
Sicherheitsplugins verwenden
Um die Sicherheit zu optimieren, kannst du noch andere praktische Plugins verwenden, wie beispielsweise das Plugin Better WP Security. Damit lassen sich Sicherheitslücken in deiner WordPress-Installation prüfen, aufspüren und auswerten. Die Auswertung zeigt an, was du genau an Schritten umsetzen sollst, um die Lücken zu schließen. Eine Alternative zu diesem Plugin ist das Ultimate Security Checker Plugin.
Über das Plugin Bulletproof Security kann die .htaccess-Datei im WordPress-Adminbereich geändert werden, um die Sicherheitseinstellungen zu optimieren. Und du kannst die augenblickliche WordPress-Version vor den Augen anderer verbergen.
Weitere wichtige Sicherheitsplugins und -websites sind:
- http://isithacked.com/– Dies ist eine Website und KEIN Plugin. Nach dem Eingeben der Website-URL testet isithacked, ob deine Website gehackt oder infiziert wurde.
- Wordfence Security
- Anti-Malware and Brute-Force Security by ELI
Fazit
Wie diese Übersicht zeigt, lässt sich WordPress doch sehr gut absichern. Vor allem die Login-Seite bzw. der Admin-Bereich sollte bei der Absicherung an erster Stelle stehen, genauso die regelmäßige Sicherung der Website-Dateien und der Datenbank. Unabdingbar sind ein außergewöhnlicher Nutzername, den niemand einsehen kann und ein sicheres Passwort.
Wer die hier aufgeführten Schritte befolgt, dürfte in den allermeisten Fällen keine Probleme mit Hacker bekommen, aber ganz sicher ist man dennoch nicht vor solchen Attacken. Sollte man wirklich mal Opfer werden, sollte man auf ein aktuelles Backup seiner Website zurückgreifen können, um seinen Internetauftritt wieder zum Laufen zu bringen.
Es gibt sicherlich noch weitere Optimierungen bezüglich der WordPress-Sicherheit: Wer interessante Möglichkeiten kennt, sollte sich nicht scheuen, sie über das Kommentarfeld mitzuteilen.