Ausgangslage: Warum ist die WordPress-Sicherheit wichtig?
2021 gab es schätzungsweise 1,4 Milliarden Websites im Internet, von denen mehr als 400 Millionen WordPress verwenden. Deshalb ist WordPress ein beliebtes Ziel für Hacker, Schadcodeverteiler und Datendiebe. Schätzungen zufolge werden im Durchschnitt täglich 30‘000 Websites gehackt – wir erleben derzeit also eine grosse Anzahl an Cyber-Angriffen.
Dieses Problem kann Unternehmen jeder Grösse treffen. Statistiken zufolge zielen 44% der Online-Angriffe auf kleine Unternehmen ab, doch nur 15% dieser Unternehmen sind darauf vorbereitet, sich zu verteidigen. Kleine und mittlere Unternehmen sind tendenziell ein leichteres Ziel für Hacker, da es ihnen oftmals an Ressourcen und Sicherheitsexpertisen fehlt.
Viele Hacker haben es jedoch auf die grossen Unternehmen abgesehen, weil sie sich mehr davon versprechen.
(Quelle: Forbes)
Damit du deine WordPress Website schützen kannst, haben wir dir nachfolgende Checkliste zusammengestellt.
WordPress Security Checkliste
1. SSL-Zertifikate verwenden
Ein SSL-Zertifikat (Secure Sockets Layer) verschlüsselt die Daten, die zwischen dem Nutzer und deiner Website übermittelt werden.
Browser blockieren zunehmend den Zugriff auf Websites ohne SSL-Zertifikat. Deshalb ist dies ein Muss für jede WordPress-Website. Unterstützung dabei erhältst du mit dem Plugin Really Simple SSL. Es sorgt dafür, dass dein SSL-Zertifikat problemlos funktioniert.
Tipp: hosttech bietet dir automatisch bei jedem Webhosting kostenlose SSL-Zertifikate von Let’s Encrypt an.
2. Sicherheits-Plugin installieren
WordPress-Plugins sind eine grossartige Möglichkeit, deiner Website schnell nützliche Funktionen hinzuzufügen. WordPress bietet gleich mehrere gute Sicherheits-Plugins an.
Wir empfehlen:
- Wordfence Security – Firewall & Malware Scan
- All In One WP Security & Firewall
Durch die Installation eines Sicherheits-Plugins kannst du deiner Website ohne grossen Aufwand einige zusätzliche Schutzebenen hinzufügen.
3. Web Application Firewall (WAF) verwenden
Durch WAF geschützte Websites werden in der Regel nicht mehr gehackt.
Eine gute WAF bietet eine starke Verteidigung gegen Angriffe und bösartige Aktivitäten auf deiner Website. Wenn ein Hacker versucht, sich Zugang zu deiner Website zu verschaffen oder Befehle ausführen möchte, wird dies die WAF erkennen, blockieren und dich davor warnen.
Wir empfehlen die Installation von NinjaFirewall auf deiner WordPress-Seite. Hier wird die Konfiguration des Plugins beschrieben.
Das Plugin stellt automatisch eine Web Application Firewall auf, die Hackern den Zugriff auf sensible Dateien deiner Website verwehrt. Mit nur wenigen Klicks kannst du ausserdem die empfohlenen WordPress-Härtungsmassnahmen auf deiner Website implementieren. Diese Massnahmen werden die Sicherheit deiner Website stark erhöhen.
4. WordPress Updates durchführen
Um die Sicherheit und Stabilität deiner Website aufrechtzuerhalten, ist es wichtig, dass WordPress stets auf dem neuesten Stand ist.
Immer, wenn eine WordPress-Sicherheitslücke gemeldet wird, arbeitet das Kernteam von WordPress an der Veröffentlichung eines Updates, welches das Problem behebt.
Wenn du deine WordPress-Website nicht laufend aktualisierst, besteht die Möglichkeit, dass du eine Version von WordPress verwendest, die bekannte Sicherheitslücken aufweist.
Also: Lass dich nicht angreifbar machen, indem du eine alte WordPress-Version verwendest.
Tipp: In unserem Blogbeitrag findest du weitere Informationen zu Website-Updates.
5. Aktuelle PHP-Version verwenden
Ebenso wie alte WordPress-Versionen sind auch veraltete PHP-Versionen nicht mehr sicher.
Wenn du nicht die neueste Version von PHP verwendest, solltest du die PHP-Version aktualisieren, um dich vor Angriffen zu schützen.
Tipp: In unseren FAQ findest du eine Übersicht der aktuell unterstützten PHP-Versionen und eine Anleitung zur Änderung der PHP-Version.
6. Vertrauenswürdige Plugins und Themes
Installiere nur Plugins und Themes von vertrauenswürdigen Entwicklern. Wenn ein Plugin oder Theme nicht von einer vertrauenswürdigen Quelle stammt, ist es wahrscheinlich sicherer, es nicht zu verwenden.
Ausserdem solltest du sicherstellen, dass du die WordPress-Plugins und -Themes regelmässig aktualisierst.
Ebenso wie eine veraltete WordPress-Version wird deine Website durch die Verwendung veralteter Plugins und Themes anfälliger für Angriffe.
7. Regelmässige Backups durchführen
Bevor du mit der Entwicklung deiner Website beginnst, solltest du als allererstes deine Backups einrichten. Damit bist du im schlimmsten Fall abgesichert und verlierst keine Daten. Selbst wenn deine Website gehackt wird und der Schaden nicht zu beheben ist, musst du sie so nicht noch einmal von Grund auf neu aufbauen.
hosttech bietet zwar die Möglichkeit, tägliche Backups von Dateien und Datenbanken wieder einzuspielen, doch eine eigene Backup-Lösung bringt dir mehr Unabhängigkeit und Kontrolle.
Wir empfehlen dazu die Freemium Lösung „UpdraftPlus“. Dieses Plugin bietet sehr umfangreiche Funktionen, automatische Sicherungen gemäss persönlichem Zeitplan und Speicherung der Backups auf verschiedenen Clouds (Dropbox, Google Drive etc.).
Nimm dir eine Stunde Zeit, um deine Backups und Sicherheitssysteme einzurichten und erspare dir damit Monate, vielleicht sogar Jahre an Arbeit.
8. Benutzername „admin“ nicht verwenden
Der Benutzername „admin“ wird oft verwendet und ist leicht zu erraten. Verwende deshalb niemals den Benutzernamen „admin“. Denn damit ist deine Website anfälliger für Brute-Force-Angriffe.
9. Sichere Passwörter verwenden
Neben der Beschaffung eines SSL-Zertifikats besteht eine der ersten Massnahmen zum Schutz deiner Website darin, sichere Passwörter für alle Anmeldungen zu verwenden und zu verlangen.
Es mag verlockend sein, ein vertrautes oder leicht zu merkendes Passwort zu verwenden oder wiederzuverwenden, aber damit sind du, deine Benutzer und deine Website einem Risiko ausgesetzt.
Wenn du die Stärke und Sicherheit deiner Passwörter verbesserst, sinkt die Wahrscheinlichkeit, dass deine Website gehackt wird.
10. Login-URL ändern
Standardmässig können die meisten WordPress-Login-Seiten durch Hinzufügen von «/wp-admin» oder «/wp-login.php» am Ende einer URL aufgerufen werden. Somit gibst du die Anmeldeseite für Angriffe frei.
Sobald ein Angreifer deine Anmeldeseite gefunden hat, kann er versuchen, deinen Benutzernamen und dein Passwort zu erraten, um auf das Admin-Dashboard zuzugreifen.
Das Verstecken der WordPress-Anmeldeseite bietet einen zusätzlichen Schutzfaktor.
Schütze deine Anmeldedaten, indem du die URL der WordPress-Admin-Anmeldeseite mit einem Plugin wie WPS Hide Login veränderst.
11. XML-RPC und REST API deaktivieren
WordPress verwendet eine Implementierung des XML-RPC-Protokolls, um die Funktionalität von Software-Clients zu erweitern.
Dieses Remote Procedure Calling-Protokoll ermöglicht die Ausführung von Befehlen, wobei die Daten in XML formatiert zurückgegeben werden.
Die meisten Benutzer benötigen die XML-RPC-Funktionalität von WordPress nicht. Dabei ist sie eine der häufigsten Schwachstellen, die Webseiten für Angriffe anfällig macht. Deshalb ist es eine gute Idee, sie zu deaktivieren. Dank des Wordfence-Sicherheits-Plugins ist dies ganz einfach möglich.
Das Gleiche gilt auch für die REST API. Die REST API ist eine sehr gute Sache, erzeugt aber einige zusätzliche Schwachstellen. Bei Nichtverwendung ist es daher ratsam, diese Schnittstelle zu deaktivieren. Das kann über ein Plugin geschehen oder über den eigenen Code in der functions.php.
12. Konfigurationsdatei schützen
Die WordPress-Datei wp-config.php enthält sehr sensible Informationen über deine WordPress-Installation, einschliesslich dem WordPress-Sicherheitsschlüssel und den Verbindungsdaten zur WordPress-Datenbank und sollte daher gut geschützt sein.
Du kannst deine Website absichern, indem du die wp-config.php-Datei über deine .htaccess-Datei schützt.
Öffne dazu die „.htaccess“-Datei (nur für Apache Webserver möglich) im Wurzelverzeichnis deiner WordPress Installation und füge folgendes ein:
<files wp-config.php>
order allow, deny
deny from all
</files>
Diese Zeilen blockieren den Zugriff zur wp-config.php Datei von ausserhalb. Die Dateiberechtigungen für die wp-config.php sollten 400 sein.
Hier befindet sich die .htaccess im Wurzelverzeichnis:
13. Dateiberechtigungen festlegen
Hacker können versuchen, Zugriff auf deine WordPress-Dateien zu erhalten. Das kannst du verhindern, indem du die richtigen Dateiberechtigungen festlegst, damit nur du als Eigentümer/in der Website darauf zugreifen kannst.
Um die Dateiberechtigungen zu ändern, musst du auf das Plesk Panel deines Hosting-Accounts zugreifen:
Im Allgemeinen sollten die WordPress-Verzeichnisrechte 755 und die WordPress Dateirechte 644 betragen. Einige wichtige Ausnahmen sind die wp-config.php Datei deiner Website und die .htaccess Datei deines Servers.
- wp-admin: 755
- wp-includes: 755
- wp-content: 755
- wp-content/themes: 755
- wp-content/plugins: 755
- wp-content/uploads: 755
- .htaccess: 644
- index.php: 644
- wp-config.php: 400
14. PHP-Ausführung in unbekannten Ordnern blockieren
Meistens haben gehackte WordPress-Seiten Backdoor-Dateien. Diese Backdoor-Dateien sind oft als WordPress-Kerndateien getarnt und befinden sich in den Verzeichnissen /wp-includes/ oder /wp-content/uploads/.
Normalerweise führen sie den Code in einer Programmiersprache namens PHP aus. Die Ausführung von PHP ist zwar auf deiner Website erforderlich, wird aber nur in bestimmten Ordnern verwendet. Du kannst Hacker daran hindern, ihre Aktivitäten durchzuführen, indem du die PHP-Ausführung in nicht vertrauenswürdigen Ordnern blockierst. Eine einfache Möglichkeit, die Sicherheit von WordPress zu verbessern, besteht darin, die PHP-Ausführung für einige WordPress-Verzeichnisse zu deaktivieren.
So deaktivierst du die PHP-Ausführung in WordPress-Verzeichnissen:
Erstelle eine leere .htaccess-Datei und füge diesen Code darin ein:
<Files *.php>
deny from all
</Files>
Lade diese Datei dann in die Verzeichnisse /wp-content/uploads/ und /wp-includes/ hoch.
Wenn du in deinem Startverzeichnis den Ordner /wp-content oder /wp-includes nicht siehst, dann verwendest du kein WordPress und musst die .htaccess-Datei nicht erstellen. Falls du die Ordner siehst, dann sollte es nach der Anpassung wie folgt aussehen:
Fazit
Mit den vorgestellten Massnahmen kannst du die Sicherheit deiner Website erheblich steigern.
Aber keine Umgebung ist zu 100% sicher vor Cyberbedrohungen. Hacker finden alle möglichen Wege, um in deine Website einzubrechen. Wir empfehlen dir deshalb dringend, immer ein zuverlässiges Sicherheits-Plugin wie NinjaFirewall auf deiner Website zu verwenden. Damit wird sichergestellt, dass deine Website über eine Firewall verfügt, die schädlichen Datenverkehr blockiert, sowie über einen Scanner, der sie auf Malware überprüft.
Wenn dein Unternehmen jedoch wächst und deine Website grösser wird, solltest du einen dedizierten Server in Betracht ziehen. Ob du dich für ein Managed Hosting, einen Cloud Server oder einen Rootserver entscheidest, ist dabei dir überlassen. Ein dediziertes Hosting verbessert auf jeden Fall die Sicherheit und Leistung deiner Website, denn du kannst auch auf Betriebssystemebene eingreifen und hast mehr Möglichkeiten zur Verfügung.