WordPress ist weltweit der beliebteste Website-Builder geworden. Einfach zu bedienen und äußerst vielseitig. Eine der besten Plattformen für Websites und Blogs, die je entwickelt wurden. Der größte Nachteil der Beliebtheit von WordPress ist, dass es ein bevorzugtes Ziel für Hacker ist.
WordPress-Sicherheit sollte für Website-Betreiber stets oberste Priorität haben. Schätzungsweise gibt es stündlich 60.000 Angriffe auf WordPress-Websites.
WordPress aktuell halten
Stellen Sie sicher, dass Sie immer die neueste stabile Version verwenden. WordPress wird regelmäßig aktualisiert und verbessert. Achten Sie darauf, dass Ihre Version auf dem neuesten Stand ist, um alten Sicherheitslücken und Exploits zuvorzukommen. Konten bei RSH Web Services werden automatisch aktualisiert. Falls dies bei Ihnen nicht der Fall ist, achten Sie auf Benachrichtigungen im Admin-Bereich oder per E-Mail über neue Updates. Hacker suchen gezielt nach veralteten Seiten – nur etwa 25 % der Websites nutzen die aktuellste Version. Und da WordPress fast 30 % aller Websites betreibt, gibt es viele veraltete Installationen.
Plugins oder Themes nicht aktualisieren
Veraltete Versionen von WordPress-Plugins und -Themes können ebenfalls eine Sicherheitslücke darstellen. Updates enthalten häufig wichtige Sicherheitskorrekturen. Es ist entscheidend, stets die neuesten Versionen zu verwenden. Gewöhnen Sie sich an, regelmäßig Backups und Updates für Ihre WordPress-Seite durchzuführen. Dies ist eine der wichtigsten Best Practices in Bezug auf WordPress-Sicherheit.
Nur vertrauenswürdige Plugins installieren und regelmäßig aufräumen
Schlecht programmierte, unsichere oder veraltete Plugins sind eine der häufigsten Ursachen für Angriffe auf Ihre Website. Plugins und Themes stellen die größten potenziellen Sicherheitslücken dar. Laden Sie WordPress-Plugins und -Themes nur aus seriösen Quellen herunter. Vermeiden Sie Raubkopien oder „kostenlose“ Versionen von Premium-Themes und -Plugins aus Tauschbörsen oder Torrents, da diese Dateien oft mit Malware infiziert sind.
Alte Plugins
Entfernen Sie sie
Es besteht oft die Versuchung, möglichst viele Plugins zu installieren. Doch zu viele Plugins führen zu übermäßiger Belastung und können Ihre Website verlangsamen. Ein einziges unsicheres oder veraltetes Plugin kann ein erhebliches Sicherheitsrisiko darstellen. Löschen Sie regelmäßig ungenutzte Themes und Plugins. Selbst deaktivierte Plugins können zur Sicherheitslücke werden, wenn bekannte Schwachstellen ausgenutzt werden. Überprüfen Sie Ihre Plugins regelmäßig, um sicherzustellen, dass sie noch die beste Lösung für Ihre Anforderungen sind. Eventuell gibt es inzwischen ein Plugin, das mehrere Funktionen kombiniert, besser unterstützt wird, sicherer ist und einfacher zu pflegen.
Zusätzliche Sicherheit für Benutzerkonten
Beschränken Sie Benutzerrechte, um unbefugten Zugriff auf Administrationsbereiche zu verhindern. Viele Schwachstellen entstehen durch Benutzerkonten, die zu viel Zugriff auf Ihre Website haben.
Achten Sie besonders auf Administrator- und Redakteurskonten. Wenn ein Hacker Zugriff auf eines dieser Konten erhält, ist Ihre Website in Gefahr. Stellen Sie sicher, dass alle Konten nur die benötigten Zugriffsrechte haben. Erinnern Sie Benutzer daran, sichere Passwörter zu verwenden (mindestens acht Zeichen, Groß- und Kleinbuchstaben, Zahlen etc.) und diese regelmäßig zu ändern. Weisen Sie darauf hin, Passwörter niemals aufzuschreiben und sich immer auszuloggen, wenn die Sitzung beendet ist, um unbefugten Zugriff zu verhindern.
Ändern Sie die „Standardeinstellungen“
Das Ändern des Namens Ihres Admin-Kontos erschwert Hackern die Arbeit. Neue WordPress-Installationen verlangen einen individuellen Benutzernamen für das Admin-Konto. Wenn Ihre Installation jedoch älter ist, könnte der Admin-Name noch „admin“ lauten. Das erleichtert Hackern das Erraten Ihrer Zugangsdaten, da sie bereits die Hälfte kennen. Ändern Sie den Standardnamen Ihres Admin-Kontos, um die Sicherheit zu erhöhen. Auch das Standardpräfix der Datenbank („wp_“) sollte angepasst werden. Das geht am einfachsten über ein Plugin – erstellen Sie vorher ein Backup Ihrer Datenbank.
Verbergen
Verbergen Sie Ihre WordPress-Versionsnummer und ändern Sie den Namen Ihrer Login-Seite. Hacker haben weniger Angriffspunkte, wenn sie nicht wissen, wo sie ansetzen sollen. So können sie nicht gezielt Sicherheitslücken ausnutzen. Verschieben Sie Ihre Login-Seite von /wp-login zu einer benutzerdefinierten URL. Das stellt ein großes Hindernis für DOS- und Brute-Force-Bots dar, die gezielt Login-Seiten angreifen. Zusätzlich hat dies auch einen ästhetischen Nutzen, da Sie die Login-URL personalisieren können.
.htaccess-Datei
Die .htaccess ist eine verteilte Konfigurationsdatei und wird von Apache-Webservern zur Verwaltung von Verzeichniskonfigurationen verwendet.
WordPress nutzt diese Datei, um zu bestimmen, wie Apache Dateien im Root- und Unterverzeichnissen ausliefert. Insbesondere wird sie von WordPress zur Verwaltung der Permalinks angepasst.
Sie können diese Datei zur Verbesserung der Sicherheit Ihrer Website nutzen.
Verweigern Sie externen Zugriff auf wp-config.php und .htaccess mit folgendem Code:
Beispiel:
<Files wp-config.php>
order allow,deny
deny from all
</Files>
<Files .htaccess>
order allow,deny
deny from all
</Files>.
Sie können das Bearbeiten von Dateien über das Admin-Panel deaktivieren, wenn Sie Änderungen nur per FTP oder cPanel vornehmen. So verhindern Sie, dass Hacker oder Nutzer versehentlich Dateien verändern.
Fügen Sie Folgendes in die Datei wp-config.php ein:
define('DISALLOW_FILE_EDIT', true);.
Viele Sicherheitsexperten empfehlen auch, das Verzeichnis-Browsing zu deaktivieren. Mit aktiviertem Verzeichnis-Browsing können Hacker die Struktur Ihrer Website durchsuchen und gezielt nach Schwachstellen suchen.
Fügen Sie dazu Folgendes in Ihre .htaccess-Datei ein:
Options -Indexes.
Verdächtige IP-Adressen sperren
Sie können bestimmte IP-Adressen über Ihre .htaccess-Datei blockieren.
<Limit GET POST>
order allow,deny
deny from xxx.xxx.xx.x
allow from all
</Limit>.
Brute-Force-Angriffe
Standardmäßig begrenzt WordPress die Anzahl der Login-Versuche nicht, sodass Bots Brute-Force-Angriffe durchführen können.
Selbst wenn der Angriff erfolglos bleibt, kann er den Server durch zu viele Login-Versuche überlasten. Manche Hostinganbieter sperren dann vorübergehend Ihren Account, besonders bei günstigen Hostingpaketen.
File Inclusion Exploits
Nach Brute-Force-Angriffen sind sogenannte File Inclusion Exploits die häufigste Sicherheitslücke. Dabei wird anfälliger PHP-Code ausgenutzt, um schädliche Dateien von außerhalb zu laden. Dadurch erhalten Angreifer möglicherweise Zugriff auf Ihre Website. File Inclusion Exploits sind eine der häufigsten Methoden, um Zugriff auf die Datei wp-config.php zu erlangen – eine der wichtigsten Dateien Ihrer Installation.
SQL-Injection
Ihre WordPress-Website verwendet eine MySQL-Datenbank. Bei einer SQL-Injection erhält ein Angreifer Zugriff auf diese Datenbank – und damit auf alle Ihre Daten. So kann z. B. ein neues Admin-Konto erstellt werden, mit dem sich der Angreifer einloggen und vollständigen Zugriff erhalten kann. Auch das Einfügen von Spam- oder Malware-Links ist möglich.
Sicherheits- und Anti-Spam-Plugins
Ein gutes Set an Sicherheits-Plugins erhöht die Sicherheit Ihrer Website erheblich. Viele Sicherheitsfunktionen lassen sich über umfassende Plugins hinzufügen. Einige Plugins bieten ganze Tool-Suiten zur Absicherung der genannten Schwachstellen. Manche enthalten auch Backup-Funktionen – ein großer Vorteil.
Malware
Malware ist schädlicher Code, der dazu dient, unbefugten Zugriff auf eine Website zu erlangen. Ein gehacktes WordPress ist meist mit Malware infiziert. Überprüfen Sie kürzlich geänderte Dateien, wenn Sie eine Infektion vermuten. Es gibt Tausende Malware-Arten, doch WordPress ist nur gegenüber wenigen anfällig.
Die vier häufigsten Malware-Infektionen bei WordPress sind:
>> Backdoors
>> Drive-by-Downloads
>> Pharma-Hacks
>> Schädliche Weiterleitungen
Diese lassen sich meist leicht identifizieren und entfernen – entweder manuell, durch Neuinstallation oder per Backup.
Schlechtes Hosting
Da der Server das Hauptziel eines Angriffs ist, macht minderwertiges Hosting Ihre Website angreifbarer. Nicht alle Hoster sind gleich sicher oder setzen modernste Schutzmaßnahmen auf Serverebene um.
Cross-Site-Scripting (XSS)
84 % aller Sicherheitslücken im Web sind sogenannte Cross-Site-Scripting- oder XSS-Angriffe. Diese treten vor allem in WordPress-Plugins auf.
Dabei lädt der Nutzer – ohne es zu wissen – schädliches JavaScript, das dann genutzt wird, um Browserdaten zu stehlen. Beispiel: Ein Formular auf Ihrer Seite wird manipuliert, und eingegebene Daten gelangen zum Angreifer.
Schwache Passwörter
Ein schwaches Passwort ist eines der größten Sicherheitsrisiken – und leicht vermeidbar. Ihr Admin-Passwort sollte stark und einzigartig sein – mit Sonderzeichen, Zahlen, Groß- und Kleinbuchstaben. Verwenden Sie es nur für WordPress und ändern Sie es regelmäßig – besonders wenn es kürzer als 6 Zeichen ist oder mehrfach verwendet wird.
Verwenden Sie niemals einen „Random Password Generator“
Die meisten dieser Tools stammen von Hackern.
Und Sie ahnen es – Sie haben ihnen gerade Ihr neues Passwort übergeben.
Nutzen Sie lieber den Passwortgenerator Ihres Hostingaccounts in cPanel:
Loggen Sie sich in cPanel ein, dann unter: Preferences > Password & Security > Password Generator.
