Hier erkläre ich dir, wie du WordPress absichern und gegen Hackerangriffe schützen kannst. Und zwar so, dass es auch deine Oma verstehen würde. Zumindest wenn sie einen Computer hat und weiß, dass Google kein Staubsauger ist. WordPress sicher machen ist keine Hexerei. Im Folgenden werde ich dir genau das erklären – die wesentlichen Punkte, auf die es wirklich ankommt.
Gleichzeitig werde ich auch mit den ganzen Gerüchten aufräumen, die im Bezug auf die WordPress Sicherheit in der Blogsphäre herumschwirren. Viele Empfehlungen sind tatsächlich schlicht falsch oder lenken vom Wesentlichen ab. Und auch das beliebteste WordPress Sicherheitsplugin Wordfence schadet fast mehr, als es bringt. Ich bin sogar selber auf einige Halbwahrheiten hereingefallen, die auf anderen Blogs verbreitet werden. Doch dazu werde ich später mehr erzählen…
WordPress absichern mit Updates
Regelmässige Updates bieten den effektivsten Schutz vor Hackern
Die häufigsten WordPress Sicherheitstipps drehen sich rund um das Absichern des Logins. Doch es ist einfach Fakt, dass die meisten Angreifer nicht durch die Vordertür kommen. So wie auch die meisten Einbrecher in der realen Welt lieber dort in ein Haus einsteigen, wo sie am einfachsten rein kommen.
Auch ich werde dir noch empfehlen, dass du ein sicheres Passwort für deinen Login wählen musst. Doch das Allerwichtigste ist, dass du alle Plugins, Themes und den WordPress Core regelmässig aktualisierst und auf dem neusten Stand haltest.
Dazu klickst du im WordPress Admin Interface auf DASHBOARD > AKTUALISIERUNGEN. Dort kannst du dann WordPress und alle Plugins und Themes aktualisieren, wenn es eine neuere Version gibt.
Vor jedem Update solltest du unbedingt ein WordPress Backup erstellen. Denn wenn bei der Aktualisierung ein Fehler auftritt, kannst du so schnell und einfach alles wieder zurücksetzen. Bitte überspringe diesen Schritt nicht! Denn er kann dir unter Umständen eine Menge Zeit und Nerven sparen. Trust me on this one…
Verwende nur aktuelle Plugins, die weiterentwickelt werden
Wenn die Entwicklung eines Plugins eingestellt wurde, dann werden auch keine Sicherheitslücken mehr geschlossen. Abgesehen davon, können auch Probleme mit neuen WordPress Versionen auftauchen, wenn die Entwickler ein Plugin nicht mehr aktuell halten.
Im WordPress Dashboard kannst du unter PLUGINS alle installierten anzeigen lassen. Und mit einem Klick auf DETAILS ANSEHEN erfährst du, wann die letzte Aktualisierung veröffentlicht wurde. Wenn diese mehrere Monate oder sogar Jahre her ist, dann deaktiviere und lösche dieses Plugin lieber und schau dich nach einer Alternative um.
Dasselbe gilt natürlich auch für das Theme, das du verwendest.
Lösche unnötige Plugins und Themes
Wenn du ein Plugin oder ein Theme nicht verwendest, dann lösche es. Und installiere nur Plugins, die du auch wirklich benötigst. Weniger ist hier eindeutig mehr. Denn jedes Plugin bedeutet ein gewisses Sicherheitsrisiko. Abgesehen davon erhöht auch jedes Plugin potenziell die Ladezeit deiner Website. Also verwende nur das, was du auch wirklich brauchst.
Um ein Theme zu löschen, das du nicht verwendest, klickst du einfach unter DESIGN > THEMES auf das Bild der überflüssigen Designvorlage. Dann kannst du rechts unten LÖSCHEN anklicken und das Theme entfernen.
Plugins müssen zuerst deaktiviert werden. Dann erscheint der Link zum Löschen. Wenn du ein Plugin nicht wirklich brauchst, dann verzichte lieber darauf. Die Performance deiner Website wird es dir danken…
Wähle ein sicheres Login Passwort
Der einfachste Tipp mit dem du WordPress sicher machen kannst
Ich habe ja schon erwähnt, dass die meisten Hacker nicht durch die Vordertüre kommen. Aber das bedeutet natürlich nicht, dass du deine Haustüre offen lassen sollst, indem du ein Standard Passwort für deinen Login benutzt.
Geh bitte auch nicht davon aus, dass deine Website klein und unbedeutend ist und sich deshalb sowieso kein Hacker dafür interessiert. Die meisten Angriffe stammen von Bot Programmen, die automatisch nach Sicherheitslücken suchen. Wenn du ein zu einfaches Passwort verwendest, werden sie dich besuchen. Und wenn sie rein kommen, werden sie vielleicht sogar deine Website verwenden, um andere WordPress Websites zu hacken. Oder sie werden Spam E-Mails mit deiner Website versenden. Im Internet solltest du deine Haustür mit einem guten Schloss verschließen. Und das machst du, indem du ein Passwort verwendest, das mindestens aus 11 Zeichen besteht.
So änderst du dein Passwort
Klicke einfach im Dashboard auf BENUTZER, um die Benutzer anzuzeigen, die momentan angelegt sind. Dann klickst du auf den Benutzernamen und ganz unten auf der folgenden Seite auf PASSWORT GENERIEREN.
Erhöhte Sicherheit schaffen Passwörter, die in keinem Wörterbuch stehen, möglichst viele Zeichen lang sind und auch Zahlen oder sogar Sonderzeichen enthalten.
Der Mythos mit dem Standardbenutzernamen
Es wird oft empfohlen, dass der Standardbenutzernamen unbedingt geändert werden muss. Diese Empfehlung macht in der Theorie Sinn, denn wenn der Benutzername unbekannt ist, dann ist es nicht möglich den Login durch das Probieren von allen möglichen Passwörtern zu knacken.
Doch in der Praxis kann der Benutzername bei WordPress sehr einfach ausgelesen werden. Insofern bietet also die Änderung des Standardbenutzernamens keinen wirklichen Schutz. Und es besteht eben die Gefahr, dass sich jemand sicher fühlt, weil er keinen Standardbenutzernamen wie „admin“ verwendet.
Wie finde ich ein sicheres Passwort, an das ich mich leicht erinnern kann?
Denke dir einen Satz aus, den du dir gut merken kannst. Beispielsweise „Heute ist der schönste Tag in meinem Leben“. Dann nimmst du einfach die Anfangsbuchstaben dieses Satzes als dein Passwort und fügst noch eine Zahlenkombination und ein Sonderzeichen dazu. Das Passwort aus diesem Beispiel wäre: „HidsTimL1968#“.
Wichtig ist auch, dass du nicht überall im Internet dasselbe Passwort verwendest. Denn wenn jemand dein Passwort kennt, könnte er sich so überall im Internet einloggen, wo du registriert bist. Wenn du dich zum Beispiel bei einem Forum registrierst, kann oft der Administrator dieses Forums auf dein Passwort zugreifen. Wenn du dann bei Facebook oder anderen Diensten dieselbe E-Mail-Adresse und das gleiche Passwort verwendest, hätte er bereits Zugriff auf deine privaten Informationen.
Zwei-Faktor-Authentifizierung
Mit dem Google-Authenticator Plugin kannst du die Sicherheit deines Logins sogar noch weiter steigern. Es richtet eine sogenannte „Zwei-Faktor-Authentifizierung“ mittels der Google Authentifizierungsapp für dein Smartphone ein. Somit ist WordPress nicht mehr nur durch ein Passwort geschützt, sondern der Login muss zusätzlich per Smartphone bestätigt werden.
Wirklich sinnvoll ist eine Zwei-Faktor-Authentifizierung aber vor allem, weil es die Serverlast verringert, da Hacker blockiert werden, die systematisch versuchen sich mit allen möglichen Passwort Kombinationen einzuloggen.
Aktiviere automatische Backups
Die effektivste Vorsorgeversicherung, falls doch etwas schief läuft
Eine 100%ige Absicherung von WordPress wird es nie geben. Deshalb solltest du neben regelmässigen Updates und einem sicheren Passwort auch eine Vorsorgeversicherung anlegen. Und das machst du mit automatischen Backups. Denn wenn deine Website trotz aller Vorsichtsmaßnahmen gehackt wird, kannst du so deine Website mit einem Klick wiederherstellen.
Wie auch bei einer Versicherung denkst du dir jetzt vielleicht, dass du diesen Schutz nicht brauchst. Doch im Fall der Fälle wirst du unendlich dankbar sein, wenn du mit Backups vorgesorgt hast.
Automatische Backups mit ManageWP
ManageWP ist ein Tool für das Management von WordPress Websites. Du kannst mit wenigen Klicks all deine WordPress Webseiten verbinden und dann unter anderem auch von einer Plattform aus all deine WordPress Sites updaten.
Durch die WPScan Vulnerability Database informiert dich MangeWP sogar, wenn deine Website wegen einer bekannten Sicherheitslücke in Gefahr ist.
Und du kannst eben auch sehr einfach automatische Backups einrichten. Ein automatischer Backup im Monat ist kostenlos und für tägliche automatische Backups bezahlst du 2$ / Monat.
Kostenlose automatische Backups mit UpdraftPlus
Mit dem Plugin UpdraftPlus kann man sogar völlig kostenlos automatische Backups einrichten. Die Daten der Website werden dann automatisch bei Dropbox oder anderen Filehostern gespeichert und können mit wenigen Klicks vollständig wiederhergestellt werden. UpdraftPlus ist das beliebteste Backup Plugin für WordPress und wird momentan auf über einer Million Websites verwendet. Und auch die durchschnittliche Bewertung von 4,9 Sternen spricht für sich.
Manuelle Backups mit All in One WP Migration
Mit dem All in One WP Migration Plugin kannst du mit einem Klick ein vollständiges Backup von deiner WordPress Website erstellen. So kannst du eine Sicherungskopie auf deinem Computer speichern, bevor du Updates durchführst. Und wenn dann etwas schief läuft, kannst du deine ursprüngliche Website mit wenigen Klicks wiederherstellen. Mit dem Plugin kannst du übrigens auch super mit WordPress auf einen anderen Server umziehen.
WordPress Sicherheitsplugins
Mit welchen Plugins du WordPress absichern kannst
Das beliebteste WordPress Sicherheitsplugin heißt Wordfence. Es wird momentan auf über 2 Millionen Websites verwendet und in der Plugin Bibliothek von WordPress mit 5 Sternen bewertet. In der Praxis schadet es allerdings fast mehr als es bringt. Näheres dazu kannst du auf der Website des WordPress Sicherheitsexperten Damian Schwyrz nachlesen.
Auch ich habe dieses Plugin früher empfohlen, weil ich mich von der Beliebtheit und der guten Bewertung täuschen ließ – bis mich Damian eines besseren belehrt hat. Das größte Problem von Sicherheitsplugins wie Wordfence ist vor allem, dass sich Anfänger mit Ihnen sicher fühlen und meinen sie müssten keine regelmäßigen Updates machen, da sie ja ein Sicherheitsplugin installiert haben.
In der Praxis kann sich das sehr gefährlich auswirken. Denn Wordfence kann nur die einfachsten Angriffe abwehren und verspricht tatsächlich viel mehr, als es halten kann. Oft enthalten Sicherheitsplugins sogar selbst Sicherheitslücken, die von Hackern ausgenutzt werden können. Und sie beanspruchen einiges an Rechenkapazität, was zu einer langsamer ladenden Website führen kann.
Ninja Firewall – das effektivste Sicherheitsplugin
Das empfehlenswerte Sicherheitsplugin ist das eher weniger bekannte Plugin Ninja Firewall. Um es richtig und effizient einzustellen, muss man allerdings wissen, was man tut. Wer seine Website so gut wie möglich vor Angriffen absichern will, sollte also am besten einen Sicherheitsexperten engagieren.
Schutz gegen Kommentar Spam
Wenn WordPress standardmässig installiert ist und Kommentare aktiviert sind, dauert es nicht lange, bis eine ganze Flut von Spamkommentaren eintrudelt. Auch dafür sind automatisierte Bots verantwortlich, die im Internet automatisch auf allen möglichen Webseiten Kommentare mit Werbung hinterlassen.
Der einfachste Weg, um dagegen vorzugehen, ist die Installation des Plugins Antispam Bee. Es erkennt verdächtige Kommentare und markiert diese automatisch als Spam. Dies kann einem viel Arbeit und Ärger ersparen und ermöglicht es dir, dass du dich auf die ehrlichen Kommentare deiner Besucher konzentrieren kannst.
E-Mail-Adresse vor Spam schützen
Spam Bots sind Programme, die das ganze Internet automatisch nach E-Mail-Adressen durchsuchen. Wenn so ein Spam Bot deine E-Mail-Adresse findet, beispielsweise auf deiner Kontakt Seite oder auf deiner Impressum Seite, dann speichert er sie automatisch und verkauft sie mit den anderen E-Mail-Adressen, die er gesammelt hat, an Firmen weiter, die dann Spam E-Mails mit nerviger Werbung an dich verschicken.
Das Plugin Email Address Encoder blockiert solche Spam Bots, indem es deine E-Mail-Adresse im Quellcode verschlüsselt.
Sicherheitstipps für Fortgeschrittene
So kannst du WordPress noch sicherer machen
SSL Zertifikat einrichten
WordPress absichern kannst du auch mit der Installation eines SSL Zertifikats. Beim Webhoster ONE sind SSL Zertifikate kostenlos integriert und bei AllInkl sind sie ab dem PrivatPlus Paket inkludiert.
Wenn du auf deiner Website SSL Zertifikate aktivierst, werden alle Verbindungen zu deiner Website verschlüsselt übertragen. Deshalb kann beispielsweise nicht mehr dein Passwort abgefangen werden, wenn du dich bei WordPress in einem öffentlichen WLAN Netzwerk einloggst. SSL Verbindungen erhöhen aber auch die WordPress Sicherheit, weil viele Bots noch nicht damit umgehen können.
Websites mit SSL Verbindung werden übrigens auch von Google besser bewertet und bevorzugt gelistet. Schon alleine deshalb lohnt es sich also, in ein SSL Zertifikat zu investieren.
Implementierung von sicheren Dateirechten
Eine Methode die WordPress sicherer macht ist außerdem die Deaktivierung von Schreibrechten von PHP. Diese Methode ist für Fortgeschrittene, denn sie blockiert auch automatische Updates und erfordert die Eingabe der FTP Zugangsdaten wenn neue Plugins und Themes installiert werden oder Updates durchgeführt werden sollen. Mehr über die Implementierung von sicheren Dateirechen findest du im Blog von Ernesto.
Zumindest für bestimmte Ordner von Caching Plugins müssen Schreibrechte aktiviert bleiben, damit diese ordnungsgemäß funktionieren. Ich empfehle auch die Aktivierung von Schreibrechten in den Ordnern „upload“, „wp-content“ und für Sitemap Dateien.
Schutz von sensiblen Bereichen per .htaccess
Es ist möglich den Login und die admin-ajax.php Datei per .htaccess zu blockieren. In der Praxis kann insbesondere die Deaktivierung der Ajax Funktion aber dazu führen, dass diverse Plugins nicht ordnungsgemäß funktionieren. Und die Deaktivierung des Logins ist nicht gerade benutzerfreundlich.
Der beste Schutz für den Login ist einfach ein sicheres Passwort. Wenn der Server wegen häufigen Bot-Angriffen belastet ist, finde ich es sinnvoller eine 2-Faktor-Authentifizierung einzurichten, als den Login per .htaccess zu sperren. Denn dadurch werden diese Angriffe ebenfalls blockiert.
PHP im Uploads-Ordner deaktivieren
Der Uploads-Ordner ist für Angriffe besonders gefährdet, da hier alle Dateien von WordPress hochgeladen werden. Es macht also Sinn, wenn man in diesem Ordner die Ausführung von PHP-Dateien deaktiviert. Dazu fügt man einfach den folgenden Code in der .htaccess Datei des Upload-Ordners ein:
<Files *.php>
Deny from All
</Files>
Fazit und Zusammenfassung
Die wichtigsten Sicherheitstipps auf einen Blick
Das wirklich Wesentliche nochmal kurz und bündig zusammengefasst:
1. Updates, Updates, Updates
Regelmässige Updates sind der effektivste Schutz gegen Hackerangriffe. Und außerdem die ausschließliche Verwendung von aktuellen WordPress Plugins und Themes, die regelmäßig aktualisiert werden und von seriösen Entwicklern stammen. Wenn du Einsteiger bist, dann solltest du dich vor allem daran halten und deine Website ist bereits ausreichend geschützt.
2. Verwende ein sicheres Passwort
Die häufigsten WordPress Sicherheit Tipps drehen sich rund um die Absicherung des Logins. Doch eigentlich genügt dafür schlicht die Verwendung eines sicheren Passworts. Konzentriere dich auf das, was wirklich wichtig ist – regelmäßige Updates. Denn die häufigsten Sicherheitsprobleme gehen von veralteten Plugins und WordPress Versionen aus, die schon lange nicht mehr aktualisiert wurden.
3. Installiere automatische Backups
Außerdem kann ich dir nur empfehlen, automatische Backups einzurichten. Denn so kannst du jederzeit mit einem Klick den ursprünglichen Zustand deiner Website wiederherstellen. Mit MangeWP kannst du sehr schnell und einfach automatische Backups einrichten und sogar mehrere WordPress Websites gleichzeitig mit nur einem Klick aktualisieren. Ich verwende den Service selbst für mich und die Websites meiner Kunden und kann ihn dir nur empfehlen – schon alleine, weil er dich daran erinnert regelmäßig alles auf deiner WordPress Website up2date zu halten.
Auch wenn du alles andere nicht beachtest, sind diese 3 Punkte ein Must-Have. Damit bist du meiner Meinung nach bereits ausreichend geschützt und das Hacken deiner Website ist nur durch einen erheblichen Aufwand möglich. Wie bereits erwähnt, wird es nie einen 100%igen Schutz geben – bei keinem Content Management System. Doch wenn der Aufwand und die Kosten erheblich höher sind, als der Nutzen, bist du immer auf der sicheren Seite.
Vielen Dank an Damian Schwyrz und Ernesto Ruge, die mir mit ihren Empfehlungen dabei geholfen haben, diesen Artikel noch besser zu machen. Das Beste an WordPress ist meiner Meinung nach die geniale Community, die sich gegenseitig unterstützt und dazu pusht, noch bessere Lösungen zu entwicklen. Und auch dieser Artikel hat von diesem Community-Spirit profitiert.
Wenn du auch Anregungen oder Verbesserungsvorschläge im Bezug auf die WordPress Sicherheit hast, dann hinterlasse bitte einen Kommentar. Und auch wenn dir dieser Artikel geholfen hat, darfst du es uns gerne wissen lassen. Jedes Feedback ist wertvoll, auch wenn es negativ sein sollte.
Ansonsten wünsche ich dir viel Spaß und Erfolg beim Absichern von WordPress…
Liebe Grüße,
Thomas Rümmele
PS: Rock on!
