Wordpress Performance Wordpress SEO Wordpress Security Wordpress Themes Wordpress Hosting Mein Setup Das Buch

12 Tipps, um euren WordPress Blog vor Hackern zu schützen

12 Tipps um euren WordPress Blog vor Hackern zu schuetzen

Sicherheit ist wichtiger als viele glauben

Die Sicherheit von WordPress ist heute wichtiger als jemals zuvor. Immer mehr Plugins erscheinen, immer mehr Sicherheitslücken tun sich auf und immer mehr wird WordPress zum einzig ernstzunehmenden Content Management System, welches von immer mehr großen Websites und Portalen eingesetzt wird. Wenn es das nicht schon längst ist, denn WordPress ist groß und bereits jetzt nutzten ein Großteil der Publikationen im Internet WordPress als Unterbau. Doch desto mehr sich ein System etabliert und verbreitet, desto schwächer wird es zwangsläufig. Was weit verbreitet ist, wird stark angegriffen, erst recht wenn es sich dabei um den immer gleichen Unterbau handelt. Warum auch nicht? Ist eine Sicherheitslücke gefunden, gibt es eventuell Millionen von Blogs die ebenfalls die Sicherheitslücke aufweisen und auf ähnliche Weise gehackt werden können. Wer da schon Standards der WordPress Security nicht einhält, ist wie ein nackter auf einer Wiese – vollkommen schutzlos. Um dem entgegenzuwirken habe ich hier mal ein paar Tipps für euch herausgesucht, die euch relativ einfach helfen, die Sicherheit von WordPress zu erhöhen. Für noch mehr Sicherheit, schaut euch die Unterseite zum Thema WordPress Security mal genauer an.

Benutzername des Admins ändern
Ein großes Sicherheitsproblem bei WordPress ist, dass der Admin seinen Benutzernamen meist nicht verändert und WordPress ihn automatisch Admin nennt. Das weiß jeder Hacker und deshalb gibt es automatisierte Zugriffsversuche ohne Ende, da der Benutzername bekannt ist und nur noch versucht werden muss das Passwort zu knacken. Um das zu umgehen bzw. abzuschwächen, solltet ihr den Admin einfach umbenennen. Wie das geht, erfahrt ihr hier. Eigentlich ist es ganz einfach, es wird nur eben oft vergessen.
Zwei-Faktor-Authentifizierung für WordPress
Eine Zwei-Faktor-Authentifizierung für WordPress hilft dabei, den Login des CMS noch sicherer zu machen bzw. ihm eine zusätzliche Stufe der Sicherheit zu geben. So nutzt ihr beispielsweise das Smartphone, um dort einen einmaligen Code für den direkten Login zu generieren. Das erledigt ein kleines WordPress Plugin und sorgt so für deutlich mehr Sicherheit in eurem Blog.
Login absichern, Loginversuche reduzieren
Wer WordPress nutzt, sollte meiner Ansicht nach nicht die Benutzerverwaltung des CMS verwenden. Wer keine Registrierungen zulässt, kann den gesamten wp-Admin-Ordner nämlich mit einer .htpasswd schützen. Fortan hat niemand ohne das korrekte Passwort Zugriff auf den Login, was Hackversuche und automatisierte Zugriffe von vornherein abwürgt. Wer Registrierungen nutzt und fremde Benutzer zulässt, sollte aber zumindest die Loginversuche reduzieren. Das erledigt ein Plugin, welches dafür sorgt, dass Nutzer beispielsweise nur noch drei Versuche haben, bevor der Account vorübergehend gesperrt wird. Das verhindert dann zumindest die typischen Brute-Force-Attacken.
Login-Adresse einfach umbenennen
Wer noch mehr Sicherheit will, kann den WordPress-Login auch einfach umbenennen. Das Problem ist bei WordPress nämlich, wie schon erwähnt, dass jeder Hacker auch alle Verzeichnisse und Dateinamen kennt. Er weiß, dass der Ordner “wp-admin” zum Login führt und dass die Datei selbst “wp-login.php” heißt. Eine recht simple und effektive Lösung ist das Umbenennen, doch in den Dateien herumfuschen sollten Anfänger lieber nicht. Besser ist da das Rename wp-login.php Plugin, welches entsprechende Umleitungen hinzufügt und beides vor fremden Zugriff schützt.
Passwort-Sicherheit perfektionieren
Sich selbst ein Passwort zu überlegen, führt meist zu bekannten Wörtern oder Phrasen, die gerne und oft verwendet werden. Damit ist ein Passwort aber wieder hackbar, zumindest für Leute die eure Vorliebe für gewisse Zeichen kennen. Ein Passwortgenerator schafft Sicherheit, da die zufällig generierten Passwörter quasi unhackbar und vor allem schön lang sind. Norton bietet beispielsweise einen solchen Generator an, mit dem ihr problemlos 30 Zeichen lange, komplett zufällig und mit Sonderzeichen angereicherte Passwörter erstellen könnt. Sehr sicher und im Grunde nicht zu knacken. Von kurzen und selbst gewählten Passwörtern, solltet ihr dagegen Abstand nehmen.
Kommentare verbieten oder Alternative nutzen
Ob ihr es glaubt oder nicht, aber in der Vergangenheit waren die nativen Kommentare von WordPress immer wieder die Eingangstür für Hacker. Dort konnten sie immer wieder Code einschleusen, sich Zugriff verschaffen, oder bekamen wichtige Informationen, um sich an anderer Stelle einzuschleusen. Am sichersten ist es also, ein externes System wie Disqus zu verwenden. Das ist modern, filtert den Spam ohne den eigenen Server zu belasten und ist entsprechend sicher, zumindest wenn ihr es ohne Plugin nutzt. Die Kommentare von WordPress dagegen bleiben eine Gefahr.
Firewall oder Security Plugin installieren
Wer zusätzlichen Schutz braucht, oder einfach besser schläft wenn er WordPress abgesichert hat, der sollte zu einem der vielen Firewall Plugins greifen. Die blockieren bösartige Anfragen schon bevor sie an euren Blog gelangen, was im besten Fall sogar die Performance steigert, da all die Hackversuche schon vorab geblockt werden und dann auch keine Ressourcen fressen können. Meine Empfehlung wäre BBQ Pro und NinjaFirewall, aber es gibt viele Firewall Plugins und noch mehr Empfehlungen. Einfach mal ein bisschen herumschauen und den eigenen Favoriten wählen.
Sichere WordPress .htaccess einrichten
Wie die perfekte WordPress .htaccess aussieht, hatte ich euch hier schon einmal gezeigt. Doch für mehr Sicherheit, gibt es natürlich noch eine Menge zusätzlicher Codeschnipsel. Schlussendlich solltet ihr eure .htaccess aber auch nicht überfüllen, denn eine zu große Datei wirkt sich wieder negativ auf den Gesamtzustand eures Blogs aus. Wer außerdem eine Firewall installiert hat, kann außerdem auf viele solcher Einträge verzichten, da sich die Firewall bereits darum kümmert.
Unnötige WordPress Header entfernen
Es gehört zwar auch zur Performance-Optimierung, die nicht benötigten Header-Einträge von WordPress zu entfernen, doch es erhöht durchaus auch die allgemeine Sicherheit, da bestimmte Dinge verschleiert werden und nicht mehr so leicht einsehbar sind. Wie ihr die nicht genutzten Header von WordPress entfernt, hatte ich euch in einem Artikel bereits ausführlich erklärt. Keine Sorge, es geht ganz einfach.
XML-RPC komplett deaktivieren
Die XML-RPC Schnittstelle wurde schon mehr als nur einmal missbraucht und für schädliche Zugriffe ausgenutzt. Da die meisten sie nicht verwenden, sollte XML-RPC im Blog einfach komplett deaktiviert werden. Früher ging das ganz einfach, jetzt geht es nur noch mit einem Snippet und ein paar Umwegen. Machbar ist es aber und wer für Sicherheit sorgen will, sollte selbiges auch schnell erledigen.
WordPress Update ernst nehmen
Das wichtigste beim Thema WordPress Security ist und bleibt, dass ihr Updates für Plugins und WordPress selbst, direkt und ohne Verzögerung installiert. Es ist durchaus messbar, dass nach dem Bekanntwerden der Sicherheitslücken einer alten Versionen, diese noch einmal massiv ausgenutzt werden, um eventuell Blogs zu erwischen, die mit dem Update noch warten bzw. die Sicherheitslücke noch nicht geschlossen haben. Regelrechte Hackwellen gibt es nach solchen Updates. Da hilft einfach nichts besser, als immer die aktuellste Version von WordPress und den entsprechenden Plugins zu verwenden und eben nicht erst mehrere Tage mit einem Update zu warten.
Regelmäßige Backups anlegen
Wenn gar nichts mehr hilft, hilft immer ein Backup. Zum Beispiel wenn ihr dann doch mal gehackt wurdet, wenn es mal Probleme anderer Art gibt, wenn Auffälligkeiten sichtbar sind oder ihr selbst euer System zerschossen habt. Immer hilft das gute alte Backup, welches den gesamten Blog mitsamt Datenbank auf eine alte Version zurücksetzten kann. Plugins helfen bei der Einrichtung solcher Backups, Hoster ebenfalls.

Angriffe laufen oft automatisiert

Am Ende ist und bleibt WordPress schon alleine deshalb angreifbar, weil aktiv darum gekämpft wird. WordPress ist wie ein Kriegsgebiet, bei dem die Angreifer im Normalfall zwar nicht an den Panzern vorbeikommen, doch ein falsches Plugin reicht bereits aus, um eine Geheimtür zu öffnen, die allen Bösewichten zugriff gewährt. Täglich gibt es unzählige, vollkommen automatisierte Hackversuche, die gezielt bekannte Schwachstellen ausnutzen, oder es zumindest versuchen. Es gibt komplette Routinen, die immer wieder auf euren Blog zugreifen, oder auch Brute-Force-Attacken die massiv versuchen euren Login zu knacken. Wer dem kein Riegel vorschiebt, der geht irgendwann unweigerlich unter. Das liegt bei WordPress eben vor allem daran, dass Angreifer schnell herausfinden können wer WordPress nutzt und so automatisch Attacken starten können. Die Tipps oben helfen dem entgegenzuwirken. Die größte Schwachstelle von WordPress sind übrigens nach wie vor WordPress Plugins, denn erst so gelingt es Angreifern oft in euer System einzudringen. Also Augen auf beim Thema Sicherheit.



Wordpress Performance eBook