Sicherheit bei WordPress
So schützen Sie Ihre Website vor Angriffen und Ausfällen
Sicherheit bei WordPress ist ein extrem wichtiges Thema. Schließlich geht es darum, Ihre Website, Ihre Daten etc. zu schützen. Kein System kann zu 100% sicher sein, auch WordPress nicht. Dessen muss man sich als Betreiber einer WordPress Website bewusst sein. Es geht also darum, die Sicherheit so nahe wie möglich ans Maximum zu bringen.
Durch Hackerangriffe kann einem Unternehmen großer Schaden entstehen. Wichtige und wertvolle Daten können verloren gehen. Ganz zu schweigen vom Vertrauensverlust bei den eigenen Kunden, wenn etwa persönliche Daten ungeschützt sind.
Wie sicher ist WordPress?
35% aller Websites im Internet basieren auf WordPress. Bei den vielen Tausenden von Themes und Plugins, die dabei verwendet werden, ist es nicht überraschend, dass Schwachstellen existieren und ständig neue Sicherheitslücken entdeckt werden. Es gibt jedoch eine große Community rund um WordPress, die dafür sorgt, dass diese Lücken so schnell wie möglich geschlossen werden.
Meist laufen Angriffe vollständig automatisiert ab. Je verbreiteter ein System ist, desto häufiger ist es auch Angriffen ausgesetzt. Die Frage ist nicht, ob eine WordPress Seite irgendwann mal einem Hacker-Angriff ausgesetzt ist, sondern wann und wie massiv sie angegriffen wird. Und vor allem: Wurde die Website genügend abgesichert?
Da WordPress auch von „Laien“ installiert und betrieben werden kann, gibt es jede Menge unsicherer Installationen. Ein professioneller Dienstleister, wie eine WordPress Agentur etwa, sollte keine Probleme haben, eine Wordpress Seite abzusichern.
Wie mache ich WordPress sicher?
WordPress kann auf vielen Wegen gehackt oder angegriffen werden. Nachfolgend benennen wir mögliche Angriffsziele und stellen die wichtigsten Maßnahmen vor, mit deren Hilfe Sie die Sicherheit Ihrer WordPress Seite erhöhen können.
Sicherheit von WordPress durch eine richtige Kombination aus Benutzername und Passwort
Brute-Force-Angriffe, also das simple Ausprobieren von Kombinationen aus Nutzername und Passwort, sind eine der häufigsten Angriffsmethoden. Hat sich der Angreifer erstmal Zugang zum Backend verschafft, stehen ihm Tür und Tor offen, um das System zu manipulieren.
Leider verwenden viele Website-Betreiber unsichere Zugangsdaten. Das macht es den Hackern leicht. Die Kombination von sicheren Nutzernamen & Passwörtern ist hier der effektivste Schutz.
Wichtig bei der Wahl der Zugangsdaten: Das Passwort ist das größte Sicherheitsrisiko. Es sollte aus mindestens 8 Zeichen, besser 12, bestehen.
Ein sicheres Passwort besteht aus Großbuchstaben, Kleinbuchstaben, Zahlen und Sonderzeichen. Das macht es schwierig, ein langes und komplexes Kennwort zu erraten oder durch bloßes Ausprobieren zum Erfolg zu kommen. Übrigens: Ein entsprechend gut gewähltes Passwort schützt besser als jedes Security-Plugin.
Idealerweise limitiert man noch die Anzahl der möglichen fehlgeschlagenen Login-Versuche durch ein Plugin. Nach einer gewissen Anzahl ungültiger Versuche wird der Login für einige Minuten gesperrt.
Außerdem:
Zwei-Faktor-Authentication einrichten: Dafür gibt es Plugins
Sinnvolle Berechtigungen vergeben. Hier gilt: Ein Backend-Nutzer sollte nur die Rechte haben, die er tatsächlich braucht. Nicht jeder muss Plugins installieren können oder Zugriff auf alle Daten haben. Einfach jeden zum Admin-User zu machen, ist keine gute Idee und kann zu versehentlichen Misskonfigurationen und Sicherheitslücken führen.
Nur vertrauenswürdige und erprobte Plugins und Themes verwenden
Nicht nur WordPress selbst kann Sicherheitslücken enthalten. Gerade Plugins und Themes offenbaren besonders oft Sicherheitsprobleme. Jedes Plugin und jedes Theme stellt damit eine Gefahr für die Sicherheit dar. Übrigens: Die überwiegende Mehrheit aller erfolgreichen Angriffe erfolgt über ein unsicheres Plugin.
Also: Anzahl der Plugins minimieren und nur Plugins verwenden, die aktuell sind und eine große Verbreitung haben. Das erhöht die Wahrscheinlichkeit, dass mögliche Sicherheitslücken bereits aufgedeckt und auch behoben wurden.
Nur erfahrene Administratoren sollten die Berechtigung haben Plugins zu installieren.
Backups und Datensicherheit
Backups sind eigentlich keine Maßnahme, um die Sicherheit von WordPress zu erhöhen. Aber wie gesagt, absolute Sicherheit gibt es nicht. Trotz aller Sicherheitsmaßnahmen kann es zu einem Sicherheitsvorfall kommen. Und wenn Daten tatsächlich mal verloren gehen, sorgen Backups dafür, dass sich der Schaden in Grenzen hält.
Eine zuverlässige Backup-Strategie sollte daher fester Bestandteil jeder Sicherheitsstrategie sein. Hier ist es entscheidend, dass die wichtigen Daten regelmäßig und zuverlässig gesichert wurden. So kann schnell ein Restore der Seite durchführt werden.
Ein gutes Backup-Plugin ist dann sinnvoll, wenn Sie keinen Dienstleister (Hoster oder WordPress Agentur) haben, der sich um regelmäßige und sichere Backups kümmert.
Regelmäßige Sicherheitsupdates
Das regelmäßige und zeitnahe Updaten von WordPress und aller Plugins sowie Themes gehört zum Pflichtprogramm jedes Website-Betreibers. Nur so stellt man sicher, dass bekannte Sicherheitslücken schnell wieder geschlossen werden.
WordPress Hosting
Der richtige Hoster kann hier schon einen großen Unterschied machen. Manche Hoster schützen bereits for DDoS Attacken, bieten Hardware-Firewalls und andere aktive oder passive Schutzmaßnahmen.
WordPress Security-Plugins
Es gibt einige Plugins, die die Sicherheit einer WordPress Installation erhöhen. Allerdings raten wir davon ab, zu viele Plugins zu installieren. Das kann die Performance und leider auch die Sicherheit wieder negativ beeinflussen.
Daher unser Rat: Lieber nur ein „All in one“-Plugin wie Wordfence Security verwenden, als die gewünschten Funktionen (z.B. Zwei-Faktor-Authentifizierung, limitierte Login-Versuche etc.) über einzelne Plugins zu installieren.
Übliche Features eines „All in one“-Security-Plugins:
Malware Scan: Sollten Dateien im WordPress Core oder Plugins verändert worden sein, wird dies angezeigt.
Firewall:
DNS Cloud Proxy Server basiert, z.B. Cloudflare
Application based
DDoS-Schutz
Login
Limit Failed Logins
ReCaptcha
Notify about Logins
Add 2-Factor-Authentication
Passwortdurchsetzung: nur starke Passwörter werden akzeptiert
Brute-Force-Schutz
Security Notifications
Wer loggt sich ein?
Gibt es Handlungsbedarf?
Informationen über aktuelle Sicherheitslücken und Handlungsempfehlungen
Traffic-Überwachung
IP Blacklists
GeoIP Blocking
Zugriffszahlen
Geblockte IPs
Zugriffsart: Bot, Crawler, Human
Spamfilter
Kommentarfunktion
Plugin Safety
Informiert, wenn ein Plugin aus dem Plugin-Repository entfernt wurde.
Hier finden Sie eine gute Auflistung der besten WordPress Security-Plugins.
Security Ninja
Es reicht aber nicht aus, ein System einmalig abzusichern. Sie sollten die Sicherheit Ihres System auch regelmäßig überprüfen.
Dazu empfehlen wir Security Ninja. Ein Plugin, welches zwar nicht aktiv die Sicherheit der WordPress Installation erhöht, aber einen wichtigen Einblick in mögliche Schwachstellen gibt. Das Plugin richtet sich eher an Entwickler als an Redakteure.
Durch eine Reihe von Tests (50+) werden Passwortsicherheit der User, Installationsparameter, Dateiberechtigungen, Datenbank- & Serverkonfigurationen untersucht. Mit diesen Erkenntnissen besteht dann die Möglichkeit, aktiv Maßnahmen zur Erhöhung der Sicherheit zu ergreifen. Praktischerweise wird zu jedem Test bereits eine Anleitung zur Lösung des Problems mitgeliefert.