Mehr als 35 % aller Websites weltweit werden von WordPress betrieben. Doch trotz eines engagierten Sicherheitsteams und einer lebhaften weltweiten Community sind Websites, die auf dieses Content Management System aufsetzen, oft Ziel von Angriffen.
Die Wahrheit ist jedoch, dass WordPress sicher ist: Nur 14 % der WordPress-Sicherheitsschwachstellen stammen aus dem Kern von WordPress, und die WordPress-Organisation befolgt strenge Prozesse zur Behebung dieser Probleme. Wie also werden WordPress-Websites zum Ziel von Hackern? In den meisten Fällen sind die Sicherheitslücken auf unzureichende Wartung zurückzuführen.
Es ist wichtig, einige grundlegende, aber oft übersehene, Best Practices für Ihre spezielle WordPress-Installation zu implementieren. In diesem Beitrag sehen wir uns verschiedene Möglichkeiten an, um die Sicherheit Ihrer Website zu gewährleisten.
Beginnen Sie mit Ihrem Server
Vor allem anderen stellen Sie sicher, dass der Server, auf dem Sie WordPress ausführen, sicher ist. Dieser Vorgang wird als Abhärtung bezeichnet und trägt dazu bei, das Risiko eines unbefugten Zugriffs auf Ihren Server durch eine böswillige dritte Partei zu verringern.
Eine der größten Sicherheitsvorkehrungen, die Sie für Ihren Server treffen können, ist die Aktualisierung Ihrer Software. Die Updates reichen von Patches für kritische Sicherheitslücken bis hin zu kleineren Fehlerbehebungen und sollten häufig und in einem regelmäßigen Zyklus durchgeführt werden.
Der Betrieb eines eigenen Servers bringt eine Vielzahl von Vorteilen mit sich. Die vollständige Kontrolle erlaubt es Ihnen, das zu tun, was Sie wollen, aber auch die Verantwortung für eine ordentliche Wartung liegt dann auf Ihren Schultern. Wenn Sie Ihre WordPress-Website auf Linode hosten und sich nicht sicher sind, wo Sie in Bezug auf die Sicherung Ihres Servers anfangen sollen, erklärt Ihnen dieses Dokument, wie Sie Ihr Linode gegen unbefugten Zugriff absichern können.
Wenn Ihnen diese Schritte zu aufwändig erscheinen, sollten Sie die Verwendung eines verwalteten WordPress-Hosts wie Pressidium in Erwägung ziehen, der alle Sicherheitsupdates auf Serverebene (und viele Sicherheitsupdates auf WordPress-Ebene) in Ihrem Namen durchführt.
WordPress aktualisieren
Nach der Server-Härtung ist der vielleicht einfachste Weg, Ihre WordPress-Website sicher zu halten, die Installation aller verfügbaren WordPress-Updates. Bei der beträchtlichen Anzahl an Mitwirkenden (etwa 70 Entwickler haben alleine 2019 fast 5000 Commits für den Kern beigesteuert) ist es nicht überraschend, dass fast jedes Monat ein Update verfügbar ist. Diese Updates gibt es in zwei Varianten:
- Größere Updates mit neue Funktionen. Diese Updates werden etwa zweimal pro Jahr veröffentlicht.
- Kleinere Aktualisierungen, die Fehler oder Sicherheitsrisiken in der aktuellen Version beheben. Sie kommen alle paar Wochen heraus.
Wenn Sie einen Managed WordPress Hosting-Provider verwenden, sollten diese Updates automatisch installiert werden. Wenn Sie Ihren eigenen Server betreiben, müssen Sie Ihre WordPress-Version manuell aktualisieren. Melden Sie sich einfach bei wp-admin an. Sobald eine Aktualisierung verfügbar ist, sehen Sie oben auf der Homepage eine entsprechende Benachrichtigung. Folgen Sie den Eingabeaufforderungen, und WordPress wird das Update herunterladen und installieren.
Obwohl die meisten Aktualisierungen reibungslos verlaufen (insbesondere die kleineren), ist es ratsam, eine Sicherungskopie Ihrer Website zu erstellen, bevor Sie den Aktualisierungsprozess durchführen. Sie sollten Ihre Website nach der Aktualisierung zudem sorgfältig testen, da einige Themes und Plugins möglicherweise nicht mit der neuesten WordPress-Version kompatibel sind.
Aktualisieren Sie Ihre Themes und Plugins
Sowohl der WordPress-Kern als auch Plugins und Ihr Theme (falls Sie ein Plugin eines Drittanbieters wie Theme Forest verwenden) müssen regelmäßig aktualisiert werden. Es gibt zwei häufige Gründe dafür, dass Plugins und Themes nicht aktualisiert werden können:
- Der Website-Besitzer vergisst, das Update durchzuführen, insbesondere wenn es eine Weile her ist, dass er sich das letzte Mal in wp-admin eingeloggt hat.
- Die Aktualisierung von Plugins und/oder des WordPress-Themes kann die Website zerstören - was entmutigend sein kann.
Es ist frustrierend, wenn ein Plugin-Update, das nur zwei Minuten dauern sollte, Ihre Website funktionsunfähig macht. Wer eine Website oder ein Unternehmen betreibt, findet nur schwer die Zeit zum Problemlösen. Daher ist die Versuchung groß, die Website von einem Backup wiederherzustellen, bei dem das/die veraltete(n) Plugin(s) und/oder das Theme weiterlaufen.
Genau die gleiche Situation kann bei Aktualisierungen des WordPress-Kerns auftreten. Die einfachste, aber potenziell unsichere Lösung besteht darin, zu einer früheren Arbeitsversion zurückzukehren und das Problem dann nicht erneut anzugehen.
Auf genau dieses Szenario hoffen nämlich Hacker. Ein erheblicher Teil der WordPress-Hacks erfolgt durch Ausnutzung bekannter Schwachstellen auf Websites, auf denen veraltete Themes, Plugins und WordPress-Cores laufen. Die Umsatzeinbußen oder Rufschädigung durch eine gehackte Website können erheblich sein.
Schwachstellen auf dem Computer beheben
Die Sicherheit Ihres Servers und Ihrer WordPress-Installation ist wichtig, aber auch eine unsichere Workstation kann Ihre Bemühungen untergraben. Wenn zum Beispiel ein bösartiger Keylogger auf Ihrem Computer installiert wurde, kann ein Angreifer Ihre WordPress-Anmeldedaten klauen. Stellen Sie sicher, dass alle Computer, die Sie für den Zugriff auf WordPress verwenden, frei von Malware, Spyware und anderen Virusinfektionen sind, indem Sie eine Antivirus-Software verwenden.
Und genau wie bei Ihrem Server sollten Sie auch das Betriebssystem und den Browser auf dem neuesten Stand halten, indem Sie alle neuen Patches installieren. Wenn Sie auf nicht-vertrauenswürdigen Sites surfen, ist es zudem eine gute Idee, Werkzeuge wie NoScript zu verwenden, um das Ausführen von Web Content auf Ihrem Rechner zu verhindern.
Passwörter & Benutzernamen
Ohne Zwei Faktor Authentifizierung ist Ihr Passwort alles, was zwischen Ihrer Website und jemandem steht, der auf wp-admin zugreifen möchte. Es ist also von höchster Wichtigkeit, ein komplexes und einzigartiges Passwort zu wählen.
Wenn Sie für die Wahl eines guten Passworts Inspiration benötigen, können Sie ein Werkzeug wie den 1Password Generator verwenden. Nutzen Sie für jede Website immer ein anderes Passwort. Der beste Weg, den Überblick über sichere Passwörter zu behalten, ist der Einsatz eines Passwortmanagers, wie ihn 1Password zur Verfügung stellt.
Genauso wichtig wie ein sicheres Passwort ist die Vermeidung des Standard-Benutzernamens 'Admin':
- Gehen Sie zum Abschnitt "User/Nutzer" und erstellen Sie einen neuen Anwender mit einem eindeutigen Namen.
- Weisen Sie diesem Nutzer Admin-Rechte zu und richten Sie ein sicheres und eindeutiges Passwort für ihn ein.
- Melden Sie sich bei WordPress ab und mit neuem Namen und Passwort wieder an.
- Gehen Sie zurück zum Abschnitt User/Nutzer und löschen Sie den Standardnutzer-Admin.
Zwei Faktor Authentifizierung
Die Zwei Faktor Authentifizierung (2FA) ist fast schon Mainstream. 2FA bestätigt die Identitäten der Nutzer durch die Verwendung einer Kombination aus etwas, das sie kennen, etwas, das sie haben, oder etwas, das sie sind.
WordPress ist eine perfekte Plattform für die 2FA-Nutzung, diese kann einfach mit einem Plugin aktiviert werden. Beliebte 2FA-Plugins sind Duo- und Two-Factor-Plugins, obwohl es noch mehr gibt (durchsuchen Sie einfach das WordPress Plugin Repository). Wenn ein 2FA-System aktiviert ist, ist Ihre Website auch dann noch sicher, wenn Ihr Passwort erraten oder anderweitig von einem Dritten erlangt wurde.
Ein Security-Plugin verwenden
Es gibt zusätzliche Möglichkeiten, Ihre WordPress-Website zu sichern, so etwa das Ändern von Datenbanknamen und die Nutzung von HTTP Security Headern. All dies erfordert in den meisten Fällen ein hohes Maß an technischem Know-how und Zeit.
Einige der besten Security-Plugins für WordPress bieten Funktionen wie Blacklist-Monitoring, Datei-Scanning, Brute Force Schutz, Firewalls, etc. Damit können Sie die Sicherheit Ihrer Website schnell und auch mit begrenzter technischer Erfahrung erhöhen.
Es sind zahlreiche Plugins verfügbar, aber wie bei allen Plugins ist es wichtig, nur seriöse, gut getestete wie Securi Security und Wordfence zu verwenden. Denken Sie daran, ein Backup Ihrer Website zu machen, bevor Sie ein neues Plugin installieren oder wesentliche Änderungen an den Plugin-Einstellungen vornehmen.
Backup einrichten
Backups werden der WordPress-Wartung gerne sträflich vernachlässigt, spielen jedoch eine wichtige Rolle für die Sicherheit von Websites. Ein qualitativ hochwertiges Backup gibt Ihnen die Gewissheit, dass Sie sie im schlimmsten Fall - wenn Ihre Website gehackt und schwer beschädigt wurde - schnell wiederherstellen können, einfach indem Sie ein früheres Backup nutzen. Sie sollten danach alle zusätzlichen Sicherheitsmaßnahmen ergreifen, um eine Wiederholung des Hacks zu verhindern.
Früher war es schwierig, gute WordPress-Backups zu erstellen, aber in den letzten Jahren wurde der Prozess sehr vereinfacht. Es stehen zahlreiche Optionen zur Auswahl, darunter Plugins wie UpdraftPlus und Offsite-Backup-Systeme wie VaultPress oder BlogVault.
In meinem nächsten Beitrag werden wir über einige fortschrittliche Maßnahmen für die Security Ihrer WordPress-Website sprechen.
Kommentare (3)
Thanks a lot for providing this valuable content.
Wordpress can be sometimes confusing if you would want it done professionally unlike doing the free website but thanks to this article, I’m learning more
It’s surprising just how many people don’t update their Wordpress site to the latest version. According to Wordpress only 44% have updated to the now 5.7 core release which means that more than 50% are still using older versions all the way back to 4.4 and lower.
It’s a big security risk to have an old version of Wordpress as hackers find vulnerabilities as time passes. So makes sense to stay up to date.