WP-Sicherheit: WordPress sicher konfigurieren!

Veröffentlicht von

Rund ein Drittel aller Webseiten weltweit laufen über WordPress. Damit zählt die Software zu den beliebtesten Content Management Systemen und zur beliebtesten Blog-Software überhaupt. Klar, dass ein so weit verbreitetes System auch bei Hackern und Cyberkriminellen zu den bevorzugten Angriffszielen zählt. So zählte der Sicherheitsdienstleister WordFence allein in einem Monat rund 1 Milliarde Brute-Force-Angriffe auf WordPress-Seiten, bei denen versucht wird Passwörter oder Schlüssel durch automatisiertes, wahlloses Ausprobieren herauszufinden. Der Nutzer bekommt von diesen Angriffen oft kaum etwas mit.

Wer jedoch einige grundlegende Sicherheitsregeln beachtet, kann sich vor den meisten Angriffen schützen. Zumindest jedoch lässt sich das Risiko eines erfolgreichen Angriffs deutlich reduzieren. Private Webseitenbetreiber und Unternehmen sind daher gut beraten, Ihre WordPress-Seiten abzusichern und häufige Schwachstellen rechtzeitig zu schließen.

WordPress wurde gehackt! Was tun gegen WP-Hacks?

Sollte ein System allerdings doch einmal kompromittiert worden sein, ist schnelles und zielgerichtetes Handeln wichtig. Oft kommt man dann um die Inanspruchnahme professioneller Hilfe nicht umhin. Wer sich näher informieren möchte, findet im Netz eine Menge Wissenswertes zum Thema WordPress von Viren und Malware bereinigen.

Beispielsweise gibt es Antworten auf die Frage: Was tun, wenn WordPress gehackt wurde? Der Leser bekommt hier Infos gegen WP-Hacks sowie wertvolle Tipps, durch welche Maßnahmen man für Sicherheit auf dem eigenen Webspace sorgen kann. Im Ernstfall finden Nutzer hier wirklich professionelle Hilfe. Erfahrenen WordPress-Sicherheits-Experten übernehmen die WordPress Hack Bereinigung. Der Service reicht von der Analyse des WP-Hacks und dem Aufspüren der Sicherheitslücken über die Erstellung von Backups bis hin zur Wiederherstellung bzw. Neuinstallation und Absicherung der Webseite gegen künftige Attacken.

Damit es erst gar nicht erst so weit kommt, dass ein WordPress-System gehackt wird, sollten folgende grundlegende Sicherheitsregeln unbedingt eingehalten werden.

WP-Sicherheit
WordPress-Hacks bereinigen

Tipps für mehr Sicherheit von WordPress-Webseiten

Es gibt zahllose Beiträge, die sich mit dem Thema Sicherheit von WordPress befassen. Einige kann man jedoch nicht oft genug hervorheben, zumal diese auch für Laien ohne Weiteres umsetzbar sind.

Aktuelle WordPress-Version nutzen

Wie bei allen Systemen, sollte auch beim Einsatz von WordPress möglichst auf die aktuellste Version eingesetzt werden. In der Regel wird im Dashboard von WordPress darauf hingewiesen, sobald eine neue Version zur Verfügung steht. Diese bringen zumeist wichtige Verbesserungen in Bezug auf Funktionalität und Sicherheit mit. Natürlich sollte darauf geachtet werden, dass die vorhandenen Plugins und Einstellungen der Seite kompatibel mit der neuen Version sind. Vielfach bringen die Entwickler auch sehr zeitnah Aktualisierungen für die verschiedenen Plugins heraus.

Individueller Benutzername und starkes Passwort

WordPress-Sicherheit beginnt schon beim Installationsprozess. Unter anderem wird der Nutzer dabei gebeten, einen Benutzernamen und das Passwort für den ersten Nutzer bzw. Administrator festzulegen. Hier lohnt es sich bereits, ein wenig Fantasie einzusetzen und einen Benutzernamen zu wählen, der nicht einfach Admin lautet. Auch beim Passwort ist von „123456“ oder „passwort“ abzuraten. Am besten nutzt man ein von WordPress selbst generiertes oder erstellt ein eigenes aus mindestens 8 bis 12 Zeichen, bestehend aus Groß- und Kleinbuchstaben, Ziffern und Sonderzeichen.

Anzahl der Login-Versuche begrenzen

Um sich gegen die oben beschriebenen Brute-Force-Angriffe zu schützen, empfiehlt es sich, die Anzahl der Login-Versuche für einen bestimmten Zeitraum zu beschränken. Dies lässt sich auf verschiedene Art und Weise lösen. Für Einsteiger empfiehlt sich die Lösung via Plugin, wie bspw. Limit Login Attempts Reloaded.

Benutzerrechte korrekt setzen

Im Dashboard von WordPress lässt sich gezielt festlegen, welche Rechte ein Benutzer in der WordPress-Umgebung hat. Generell sollten Rechte hier möglichst sparsam erteilt werden. Außerdem ist es ratsam, direkt nach der Installation einen neuen Administrator-Benutzer zur erstellen und den Standard-Benutzer „admin“ zu löschen.

Multifaktor-Authentifizierung

Wichtige Benutzerkonten können zusätzlich durch Multifaktor-Authentifizierung gesichert werden. Auch dies ist kein Hexenwerk und lässt sich am einfachsten mit einem Plugin lösen. Empfehlenswert ist hierfür WP Google Authenticator.

Sichere Datenübertragung

Eine wenig beachtete Sicherheitslücke betrifft den Datentransfer von und zu WordPress-Seiten. Hier ist der Nutzer gut beraten, beim Hochladen von Dateien auf den Server stets auf eine sichere Kommunikation zu achten. Hierzu gehört die Nutzung des SFTP-Protokolls. Bekannte Tools in diesem Bereich sind WinSCP, Filezilla oder CyberDuck.

Regelmäßige Backups der WP-Installation

Wie bei allen wichtigen Systemen, gilt natürlich auch bei WordPress die unumstößliche Prämisse, regelmäßige Backups der Installation und Inhalte anzulegen. Sollte der Ernstfall tatsächlich eintreten, kann daraus das System wieder hergestellt werden.

Fazit: Es gibt zahlreiche Möglichkeiten, WordPress vor Angriffen zu schützen. Die hier angesprochenen sind lediglich grundlegende Dinge, die jeder – auch als Laie – mühelos umsetzen kann. Natürlich gehören noch viele weitere Aspekte, wie beispielsweise auch das Thema Spam dazu, auf die ich hier nicht näher eingehen möchte. Wer das Thema Sicherheit ernstnimmt und die genannten Ratschläge nutzt, hat schon einen ersten entscheidenden Schritt zur Abwehr von WP-Hacks getan. Wer ganz sichergehen will, sollte sich von einem Sicherheitsexperten oder Spezialisten zur Bereinigung von WP-Hacks beraten lassen.

Bildquelle: Pixabay.com

Ein Kommentar

  1. Hallo,
    Sehr interessanter Artikel, der allerdings nicht das wirkliche Thema ganz erfasst. So stellen sich mir mehrere Fragen:
    1) Wie verfahre ich mit dem gesamten Thema im Bezug zur DSGVO?
    2) Wie schütze ich mein WordPress vor Angriffen ohne mit der DSGVO in Konflikt zu geraten?
    Warum ich das so vehement verfolge? Nun ich bin sehr für Sicherheit der Daten im Internet und ich will den Schutz auch meiner Daten! Jedoch darf und kann ich mich selbst und meine Daten schützen ohne selbst gegen die DSGVO zu verstoßen, wenn ich einen WordPress-Blog betreibe und dieser permanent attackiert wird, da ich die IP-Adressen der Angreifer nicht speichern darf, da diese ja als persönliche Daten geschützt sind und wenn ich ein persönliche Interesse anführen würde und ein Plugin nutze, das dies protokoliert, dann muss ich folgendes tun, wie mir geschrieben wurde. Ich zitiere hier:
    einem Angemessenheitsbeschluss der Europäischen Kommission nach Art 45 DSGVO.
    einer Ausnahme für den bestimmten Fall nach Art 49 Abs 1 DSGVO.
    verbindlichen internen Datenschutzvorschriften nach Art 47 iVm Art 46 Abs 2 lit b DSGVO.
    Standarddatenschutzklauseln nach Art 46 Abs 2 lit c und d DSGVO.
    genehmigten Verhaltensregeln nach Art 46 Abs 2 lit e iVm Art 40 DSGVO.
    einen genehmigten Zertifizierungsmechanismus nach Art 46 Abs 2 lit f iVm Art 42 DSGVO.
    von der Datenschutzbehörde bewilligte Vertragsklauseln nach Art 46 Abs 3 lit a DSGVO.
    einer Ausnahme für den Einzelfall nach Art 49 Abs 1 Unterabsatz 2 DSGVO.
    Da hat mir ein Fachmann so mitgeteilt.
    Ihnen viele Grüße und weiterhin viel Erfolg.

Kommentar hinterlassen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.