12 Tipps, um euren Wordpress Blog vor Hackern zu schützen

Inhaltsverzeichnis

Sicherheit ist wichtiger als viele glauben

Die Sicherheit von Wordpress ist heute wichtiger als jemals zuvor. Immer mehr Plugins erscheinen, immer mehr Sicherheitslücken tun sich auf und immer mehr wird Wordpress zum einzig ernstzunehmenden Content Management System, welches von immer mehr großen Websites und Portalen eingesetzt wird. Wenn es das nicht schon längst ist, denn Wordpress ist groß und bereits jetzt nutzten ein Großteil der Publikationen im Internet Wordpress als Unterbau. Doch desto mehr sich ein System etabliert und verbreitet, desto schwächer wird es zwangsläufig. Was weit verbreitet ist, wird stark angegriffen, erst recht wenn es sich dabei um den immer gleichen Unterbau handelt. Warum auch nicht? Ist eine Sicherheitslücke gefunden, gibt es eventuell Millionen von Blogs die ebenfalls die Sicherheitslücke aufweisen und auf ähnliche Weise gehackt werden können. Wer da schon Standards der Wordpress Security nicht einhält, ist wie ein nackter auf einer Wiese – vollkommen schutzlos. Um dem entgegenzuwirken haben wir hier mal ein paar Tipps für euch herausgesucht, die euch relativ einfach helfen, die Sicherheit von Wordpress zu erhöhen. Für noch mehr Sicherheit, schaut euch die Unterseite zum Thema Wordpress Security mal genauer an.

Benutzername des Admins ändern

Ein großes Sicherheitsproblem bei Wordpress ist, dass der Admin seinen Benutzernamen meist nicht verändert und Wordpress ihn automatisch Admin nennt. Das weiß jeder Hacker und deshalb gibt es automatisierte Zugriffsversuche ohne Ende, da der Benutzername bekannt ist und nur noch versucht werden muss das Passwort zu knacken. Um das zu umgehen bzw. abzuschwächen, solltet ihr den Admin einfach umbenennen. Wie das geht, erfahrt ihr hier. Eigentlich ist es ganz einfach, es wird nur eben oft vergessen.

Zwei-Faktor-Authentifizierung für Wordpress

Eine Zwei-Faktor-Authentifizierung für Wordpress hilft dabei, den Login des CMS noch sicherer zu machen bzw. ihm eine zusätzliche Stufe der Sicherheit zu geben. So nutzt ihr beispielsweise das Smartphone, um dort einen einmaligen Code für den direkten Login zu generieren. Das erledigt ein kleines Wordpress Plugin und sorgt so für deutlich mehr Sicherheit in eurem Blog.

Login absichern, Loginversuche reduzieren

Wer Wordpress nutzt, sollte meiner Ansicht nach nicht die Benutzerverwaltung des CMS verwenden. Wer keine Registrierungen zulässt, kann den gesamten wp-Admin-Ordner nämlich mit einer .htpasswd schützen. Fortan hat niemand ohne das korrekte Passwort Zugriff auf den Login, was Hackversuche und automatisierte Zugriffe von vornherein abwürgt. Wer Registrierungen nutzt und fremde Benutzer zulässt, sollte aber zumindest die Loginversuche reduzieren. Das erledigt ein Plugin, welches dafür sorgt, dass Nutzer beispielsweise nur noch drei Versuche haben, bevor der Account vorübergehend gesperrt wird. Das verhindert dann zumindest die typischen Brute-Force-Attacken.

Update: Da immer mehr Provider dieses Problem ebenfalls erkannt haben, wird dies mittlerweile auch von vielen bereits angeboten. Zwei Beispiele dafür sind z.B. 1und1, (in der managed WordPress Version) oder auch Raidboxes.

Login-Adresse einfach umbenennen

Wer noch mehr Sicherheit will, kann den Wordpress-Login auch einfach umbenennen. Das Problem ist bei Wordpress nämlich, wie schon erwähnt, dass jeder Hacker auch alle Verzeichnisse und Dateinamen kennt. Er weiß, dass der Ordner “wp-admin” zum Login führt und dass die Datei selbst “wp-login.php” heißt. Eine recht simple und effektive Lösung ist das Umbenennen, doch in den Dateien herumfuschen sollten Anfänger lieber nicht. Besser ist da das Rename wp-login.php Plugin, welches entsprechende Umleitungen hinzufügt und beides vor fremden Zugriff schützt.

Passwort-Sicherheit perfektionieren

Sich selbst ein Passwort zu überlegen, führt meist zu bekannten Wörtern oder Phrasen, die gerne und oft verwendet werden. Damit ist ein Passwort aber wieder hackbar, zumindest für Leute die eure Vorliebe für gewisse Zeichen kennen. Ein Passwortgenerator schafft Sicherheit, da die zufällig generierten Passwörter quasi unhackbar und vor allem schön lang sind. Norton bietet beispielsweise einen solchen Generator an, mit dem ihr problemlos 30 Zeichen lange, komplett zufällig und mit Sonderzeichen angereicherte Passwörter erstellen könnt. Sehr sicher und im Grunde nicht zu knacken. Von kurzen und selbst gewählten Passwörtern, solltet ihr dagegen Abstand nehmen.

Kommentare verbieten oder Alternative nutzen

Ob ihr es glaubt oder nicht, aber in der Vergangenheit waren die nativen Kommentare von Wordpress immer wieder die Eingangstür für Hacker. Dort konnten sie immer wieder Code einschleusen, sich Zugriff verschaffen, oder bekamen wichtige Informationen, um sich an anderer Stelle einzuschleusen. Am sichersten ist es also, ein externes System wie Disqus zu verwenden. Das ist modern, filtert den Spam ohne den eigenen Server zu belasten und ist entsprechend sicher, zumindest wenn ihr es ohne Plugin nutzt. Die Kommentare von Wordpress dagegen bleiben eine Gefahr.

Firewall oder Security Plugin installieren

Wer zusätzlichen Schutz braucht, oder einfach besser schläft wenn er Wordpress abgesichert hat, der sollte zu einem der vielen Firewall Plugins greifen. Die blockieren bösartige Anfragen schon bevor sie an euren Blog gelangen, was im besten Fall sogar die Performance steigert, da all die Hackversuche schon vorab geblockt werden und dann auch keine Ressourcen fressen können. Meine Empfehlung wäre BBQ Pro und NinjaFirewall, aber es gibt viele Firewall Plugins und noch mehr Empfehlungen. Einfach mal ein bisschen herumschauen und den eigenen Favoriten wählen.

Update: unser Favorit ist und bleibt hier aktuell NinjaFirewall aufgrund der Effektivität und natürlich auch der “Leichtgewichtigkeit”

Sichere Wordpress .htaccess einrichten

Wie die perfekte Wordpress .htaccess aussieht, hatten wir euch hier schon einmal gezeigt. Doch für mehr Sicherheit, gibt es natürlich noch eine Menge zusätzlicher Codeschnipsel. Schlussendlich solltet ihr eure .htaccess aber auch nicht überfüllen, denn eine zu große Datei wirkt sich wieder negativ auf den Gesamtzustand eures Blogs aus. Wer außerdem eine Firewall installiert hat, kann außerdem auf viele solcher Einträge verzichten, da sich die Firewall bereits darum kümmert.

Unnötige Wordpress Header entfernen

Es gehört zwar auch zur Performance-Optimierung, die nicht benötigten Header-Einträge von Wordpress zu entfernen, doch es erhöht durchaus auch die allgemeine Sicherheit, da bestimmte Dinge verschleiert werden und nicht mehr so leicht einsehbar sind. Wie ihr die nicht genutzten Header von Wordpress entfernt, hatten wir euch in einem Artikel bereits ausführlich erklärt. Keine Sorge, es geht ganz einfach.

XML-RPC komplett deaktivieren

Die XML-RPC Schnittstelle wurde schon mehr als nur einmal missbraucht und für schädliche Zugriffe ausgenutzt. Da die meisten sie nicht verwenden, sollte XML-RPC im Blog einfach komplett deaktiviert werden. Früher ging das ganz einfach, jetzt geht es nur noch mit einem Snippet und ein paar Umwegen. Machbar ist es aber und wer für Sicherheit sorgen will, sollte selbiges auch schnell erledigen.

Wordpress Update ernst nehmen

Das wichtigste beim Thema Wordpress Security ist und bleibt, dass ihr Updates für Plugins und Wordpress selbst, direkt und ohne Verzögerung installiert. Es ist durchaus messbar, dass nach dem Bekanntwerden der Sicherheitslücken einer alten Versionen, diese noch einmal massiv ausgenutzt werden, um eventuell Blogs zu erwischen, die mit dem Update noch warten bzw. die Sicherheitslücke noch nicht geschlossen haben. Regelrechte Hackwellen gibt es nach solchen Updates. Da hilft einfach nichts besser, als immer die aktuellste Version von Wordpress und den entsprechenden Plugins zu verwenden und eben nicht erst mehrere Tage mit einem Update zu warten.

Nicht jedes Plugin installieren

Unabhängig vom Thema Performance ist auch der Sicherheitsfaktor bei der Installation von Plugins zu bedenken. So schön und so toll die ganzen genialen Plugins dort draußen sind, die häufig sogar noch völlig kostenlos sind – bedenkt immer das nicht selten ein einzelner Programmierer dahintersteht. Zum einen sind wirklich viele Plugins schlecht programmiert und öffnen Angreifern Tür und Tor, aber auch das Thema zukünftige Updates ist alles andere als selbstverständlich.

Folgende Punkte solltet Ihr hier immer bedenken oder prüfen:

  1. brauche ich das Plugin wirklich oder kann ich die Funktion auch anderweitig umsetzen
  2. wie sind die Bewertungen des Plugins
  3. wer steht hinter dem Plugin (gefühlt sollte man behaupten das ein Entwickler der mehrere Plugins veröffentlicht hat und pflegt, vermutlich auch das von euch ausgewählte Plugin weiter pflegt)
  4. wann war das letzte Update des Plugins.
  5. auch ein kurzer Check über Google bringt hier und da interessante Infos über ein Plugin ans Licht

Regelmäßige Backups anlegen

Wenn gar nichts mehr hilft, hilft immer ein Backup. Zum Beispiel wenn ihr dann doch mal gehackt wurdet, wenn es mal Probleme anderer Art gibt, wenn Auffälligkeiten sichtbar sind oder ihr selbst euer System zerschossen habt. Immer hilft das gute alte Backup, welches den gesamten Blog mitsamt Datenbank auf eine alte Version zurücksetzten kann. Plugins helfen bei der Einrichtung solcher Backups, Hoster ebenfalls.

Angriffe laufen oft automatisiert

Am Ende ist und bleibt Wordpress schon alleine deshalb angreifbar, weil aktiv darum gekämpft wird. Wordpress ist wie ein Kriegsgebiet, bei dem die Angreifer im Normalfall zwar nicht an den Panzern vorbeikommen, doch ein falsches Plugin reicht bereits aus, um eine Geheimtür zu öffnen, die allen Bösewichten Zugriff gewährt. Täglich gibt es unzählige, vollkommen automatisierte Hackversuche, die gezielt bekannte Schwachstellen ausnutzen, oder es zumindest versuchen. Es gibt komplette Routinen, die immer wieder auf euren Blog zugreifen, oder auch Brute-Force-Attacken die massiv versuchen euren Login zu knacken. Wer dem kein Riegel vorschiebt, der geht irgendwann unweigerlich unter. Das liegt bei Wordpress eben vor allem daran, dass Angreifer schnell herausfinden können wer Wordpress nutzt und so automatisch Attacken starten können. Die Tipps oben helfen dem entgegenzuwirken. Die größte Schwachstelle von Wordpress sind übrigens nach wie vor Wordpress Plugins, denn erst so gelingt es Angreifern oft in euer System einzudringen. Also Augen auf beim Thema Sicherheit.

Christian Pust
WordPress & Onlinemarketing Experte mit über 15 Jahren Erfahrung. Entwickler & CEO von Trackboxx – der Google Analytics Alternative.

3 Antworten

  1. Ich habe schon länger nach Möglichkeiten gesucht, meinen WordPress-Blog sicherer zu machen, und diese Tipps sind genau das, was ich gebraucht habe. Besonders der Tipp, den Benutzernamen des Admins zu ändern, war für mich neu und ich werde das sofort umsetzen. Auch die Idee der Zwei-Faktor-Authentifizierung klingt großartig, um zusätzliche Sicherheit zu gewährleisten. Es ist beeindruckend zu sehen, wie wichtig Sicherheit für WordPress-Blogs ist, da sie immer beliebter werden. Diese Tipps werden definitiv dazu beitragen, die Sicherheit meines Blogs zu erhöhen und mich vor potenziellen Hackern zu schützen.
    Vielen Dank für diese wertvollen Ratschläge, und ich freue mich darauf, sie umzusetzen, um meinen Blog sicherer zu machen!

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Das könnte dich auch interessieren

Du benötigst Unterstützung bei deinem WordPress Projekt?

Dein Ansprechpartner
Christian