Man kann es nicht oft genug sagen wie wichtig es ist eine WordPress Installation zu sichern. WordPress ist eines der meist genutzten Content-Management-System der Welt, ca. 28% aller Webseiten weltweit nutzen WordPress. Es ist Open Source, es kosten nichts und kann einfach installiert und bedient werden. Das macht es aber leider auch anfällig für Angriffe. Schäden die durch einen solchen Totalausfall entstehen können sehr kostspielig sein. Hinzu kommt der zeitliche Ausfall der Webseite. Kunden können nicht bedient werden und es entstehen Umsatzeinbußen.
Dabei ist es mit ein wenig Aufwand möglich seine eigen WordPress Seite vor Angriffen zu schützen, aber auch wir müssen gestehen, dass es keinen hunderprozentigen Schutz gibt. Wenn du testen möchtest wie sicher deine WordPress Seite ist kannst du das Mal auf dieser Seite ausprobieren. Aber mit den folgenden Tipps macht man es den Hackern doch deutlich schwerer:
Sehr wichtig – Plugins und Themes aktuell halten, unnötige Plugins und Themes löschen
Plugins und Themes sind eines der meist genutzten Schlupflöcher für Hacker, daher sollte man diese stets auf dem aktuellen Stand halten, denn neben neuen Features werden mit den Updates auch Sicherheitslücken geschlossen. Wir empfehlen die Updates zunächst immer auf einer Entwicklungsumgebung zu testen, diese kann man einfach und schnell mit dem Plugin WP Staging erzeugen. Wir haben auch einen ausführlichen Beitrag erstellt warum Backups und Updates von WordPress Pflicht sind.
Sehr wichtig – admin umbenennen und ein sicheres Passwort
Der Administrator der Webseite sollte auf keinen Fall den Nutzernamen admin haben, denkt euch einen anderen Namen aus. Denn wenn der Name admin ist haben die Angreifer schon zu 50%, es fehlt dann nur noch das Passwort. Bei diesem ist es auch schon selbstverständlich keine einfachen Buchstaben- oder Zahlenkombinationen zu verwenden, denkt euch ein sicheres Passwort aus Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen aus. Auf dieser Seite könnt ihr prüfen wie lange es dauert um euer Passwort zu knacken.
Empfehlenswert – WP-Login mit extra Passwort über die .htaccess Datei schützen
Standardmäßig ist der Login für deine WordPress Installation über meineseite.de/wp-login.php oder meineseite.de/wp-admin erreichbar, das wissen natürlich auch die Hacker. Diesen Zugang kannst du aber auch durch ein Passwort und die Angriffe bereits im Vorfeld blocken. Hier die einzelnen Schritte:
- Logge dich per FTP in das Root-Verzeichnis deiner WordPress Installation ein
- Erstelle eine neue Datei mit dem Namen .htpasswd
- Wähle eine Benutzernamen und ein Passwort auf der Seite Htpasswd Generator und kopiere den Text in die neu erstellt .htpasswd und speichere die Datei auf deinem Server
- Öffne die .htaccess im Root-Verzeichnis und füge folgendes ein. Um den Pfad zu deiner .htpasswd herauszufinden, kannst du die Anleitung nutzen.
<Files wp-login.php>
AuthType Basic
AuthName “My Protected Area”
AuthUserFile PFADANGABE ZUR ->/.htpasswd
Require valid-user
</Files> - Wenn alles gespeichert ist kommt jetzt eine Passwort-Abfrage vor dem Login-Bereich.
Alternativ: Empfehlenswert – Einschränkung der Login-Versuche
Hacker versuchen den Nutzernamen und das Passwort automatisch zu knacken indem sie in kürzester Zeit die verschiedensten Kombination ausprobieren. Dies kann man unter anderem mit dem kostenlose Plugin Login LockDown unterbinden. Kommt es je nach Einstellung zu mehreren Fehlerhaften Anmeldeversuchen kann man den Login für die IP eine bestimmte Zeit sperren.
Empfehlenswert – Spamschutz mit Antispam Bee
Über die Kommentarfunktion von WordPress versuchen Hacker auch schadhaften Code in deine Webseite einzuschleusen. Mit dem kostenlosen Plugin Antispam Bee kannst du dich ganz ohne Captchas vor Kommentarspam schützen. Zudem ist das Plugin konform mit den europäischen Datenschutzstandards.
Empfehlenswert – Zugriff von außen auf die Datei wp-config.php verbieten
In der wp-config stehen wichtige Zugangsdaten, diese solltest du vor einen externen Zugriff schützen. Füge folgendes am Ende in deiner .htaccess ein:
# Zugriff auf wp-config.php von außen verbieten
<files wp-config.php>
Order deny,allow
deny from all
</files>
Empfehlenswert – Table Prefix ändern
Die Datenbanken von WordPress haben das Präfix wp_, sofern man es bei der Erstinstallation nicht geändert hat. Das ist ebenfalls eine Sicherheitslücke, daher sollte das Präfix umbenannt werden. Das kann man auch noch bei einer bestehenden Installation mit diesem Plugin machen.
Kann man machen – Verhindere das Auslesen der WP Version
Hacker prüfen gerne welche WP-Version du hast, je älter diese ist desto mehr Sicherheitslücken hat diese und die Schlupflöcher sind bekannt. Um das Auslesen zu verhindern füge folgendes in deine functions-php ein: remove_action(‘wp_head’,’wp_generator’);
Kann man machen – readme.html und license.txt im Root Zugriff über htaccess verhindern
Bei der Installation und beim Update von WordPress werden die Dateien readme.html und license.txt im Root-Verzeichnis angelegt. Diese verraten ebenfalls die Versionsnummer von WordPress. Die jedes Mal zu löschen ist aufwändig, aber mit einem Befehl über die .htaccess kann man den externen Zugriff verhindern:
# Protect readme.html File
<Files readme.html>
order allow,deny
deny from all
</Files>
# Protect license.txt file
<Files license.txt>
order allow,deny
deny from all
</Files>
Daneben gibt es natürlich noch zahlreiche weitere Möglichkeiten deine WordPress Installation abzusichern, aber mit diesen hier hast du schon einen sehr guten Schutz. Wir nutzen für die Sicherheit übrigens keine Security Plugins, denn erstens raten wir immer so wenig Plugins wie möglich einzusetzen und zweitens sind auch diese Plugins anfällig und können Sicherheitslücken haben oder Probleme mit anderen Funktionen verursachen.
Welche Tipps habt Ihr noch zur Sicherung von WordPress? Wir würden uns über eure Ideen in den Kommentaren freuen.