WordPress-Sicherheit

Jedes CMS sollte sicher sein, denn wer möchte schon gerne einen Einbrecher in seinem zu Hause begrüßen? Im digitalen Umfeld lauern zudem weitere Schwierigkeiten, denn die eigene Webseite kann als Spam-Maschinerie missbraucht werden. Daher beachte bitte die wichtigsten Baustellen für ein sicheres WordPress.

Zusammenfassung: WordPress sicher gestalten

WordPress selbst ist (ziemlich) sicher. Daher bedenke bitte folgende Hauptregeln:

  1. regelmäßige Backups anlegen
  2. kontinuierlich Plugins aktualisieren
  3. so wenig Plugins wie möglich verwenden
  4. lange Passwörter nutzen

Der Rest liegt an dir. Aber auch hier gibt es einfache und schnell erledigte Dinge:

  • Standard-WP-Pfade ändern (Datenbank/FTP)
  • wp-login und wp-admin mit Benutzernamen und Passwort schützen
  • ungewöhnlichen Namen für deinen WP-Administrator verwenden

Die lange Version …

Wenn ich schreibe „Der Rest liegt an dir“, hat das seine Vor- und Nachteile, was den Aufwand angeht, je nachdem wie tief du selbst damit umgehen möchtest. Ich versuche dir einen allgemeinen Überblick zum Theme Sicherheit und WordPress zu geben, damit du selbst den Rahmen einschätzen und dich in deinen Fall für die richtige Lösung entscheiden kannst. Oder es eben erst gar nicht dazu kommen lässt.

Faktencheck: WordPress ist unsicher

Fangen wir an mit der einfachen aber prägenden Aussage: „WordPress ist unsicher!“
Klingt erst einmal wichtig, wo doch so viel passiert dieser Tage. Wenn es wieder mal um gehackten Seiten geht, steckt oft ein WordPress dahinter. Natürlich ist es dann einfach zu sagen, dass es genau daran liegt. Nun solltest du wissen, dass ca. 35 % der Websites weltweit mit WordPress erstellt wurden, was die Wahrscheinlichkeit deutlich erhöht. Betrachten wir für einen Augenblick nur WordPress selbst, ohne jegliche Erweiterungen in Form von Plugins und stets auf der aktuellsten Version gehalten, steht der sogenannte Core ganz gut da. Sobald nun Plugins, Theme-Anpassungen oder andere funktionale Erweiterungen eingebaut werden, kann es dazu kommen, dass man Lücken aufmacht, welche WordPress selbst so nicht hatte. Das bedeutet, dass man unter Anderen durch unsauberen oder veralteten Code Sicherheitslücken hinterlässt, worüber sich ein Angreifer Zugriff zu deiner Seite verschaffen kann. Und sobald bösartiger Code ausgeführt werden kann oder sich der Angreifer gar einen Account für deine Seite erstellt hat, musst du mit allem rechnen.

Vergiss neben der Datensicherheit in Form von aktuellem Code bitte nicht die Nutzerseite. Denn es bringt dir nichts, wenn deine Seite einer Burg oder Fort Knox gleicht, du aber am Eingang ein Schild, mit den Zugangsdaten, hängen hast. Das bedeutet, achte darauf, dass Administrator oder Nutzer mit hoher Reichweite (z.B. WooCommerce) über deine Seite auch sicher Passwörter nutzen. Nutze zudem keine Standard-Namen für Administrator Konten (admin, test-admin usw.), wenn du es vermeiden kannst. Und sichere dein eigenes Konto möglichst doppelt ab, beispielsweise über eine 2-Faktor-Authentifizierung.

Es passieren täglich viele automatisierte Versuche auf allen möglichen Seiten mit den immer gleichen Zugangsdaten. Sobald deine Seite etwas bekannter ist, merkst du das am Spam, solltest du ein Kontaktformular haben. Vermeide diese einfache, aber oft übersehene Stelle und halte deine aktiven Nutzerkonten sauber. Nur so kannst du sicher sein, dass der Angreifer nicht darüber kam. Um wirklich sicherzugehen, was die Bearbeiter auf deiner Seite so gemacht haben oder wann ein Plugin aktualisiert wurde, kann dir ein Logger sicher weiterhelfen, doch dazu später mehr. Schauen wir uns lieber mal an, was so passieren kann. Denn es ist egal, ob der Angreifer sich Admin-Zugriff zu deiner Seite ist oder im Code sein Unwesen treibt. Sollte deine liebevoll aufgebaute Seite einem Angriff zum Opfer gefallen sein, solltest du dafür aufmerksam sein. Schließlich bist du dafür verantwortlich.

Wurde mein WordPress gehackt?

Hier eine kleine Auswahl, woran du erkennst, ob deine WordPress Website evtl. gerade gehackt wurde:

  • Verunstaltung, ungewöhnliches Aussehen, sowie Verhalten und (Fehl-)Funktionen
  • ungewollte Links, Umleitungen oder gar injizierte Werbeanzeigen
  • ungewöhnlich hohes Mail-/Spam-Aufkommen (an dich oder auch an andere von deiner Seite)
  • dein Administrator Zugang funktioniert nicht mehr
  • deine Website ist offline, weil dein Hoster eingegriffen hat
  • deine Seite wurde von der Suche ausgeschlossen
  • neue Inhalte wurden erstellt, die nicht von dir stammen
  • Meldungen verschiedener Monitoring-Tools

Meine Bilder werden missbräuchlich genutzt

Es kann vorkommen, dass nicht die Seite als solche angegriffen wird, sondern der Inhalt gestohlen wird. Häufig passiert dies bei Bildern. Diese könntest du mit einem Wasserzeichen schützen, du kannst die Funktion der rechten Maustaste einschränken (kein Kontextmenü zum Abspeichern), das Hotlinking verbieten oder verschiedene Copyright-Hinweise in deine Inhalte einfügen.

3-2-1 Backup-Regel

3 – Mindestens drei Kopien anfertigen
2 – Mindestens zwei unterschiedliche Speichertechnologien verwenden
1 – Mindestens eine Kopie „außer Haus“ lagern
Quelle

Allgemeine Tipps für ein sicheres WordPress

Hier folgen standardisierte Tipps, um ein sicheres WordPress zu nutzen. Also Dinge, die jeder Administrator anwenden sollte!

  • Nutze sicheres Hosting
  • Lösche ungenutzte Plugins und Themes
  • Update dein WordPress und Plugins sowie Themes regelmäßig
  • Arbeite nicht als Admin
  • Vergib ein sicheres Passwort
  • Nutze eine Zweiphasige Authentifizierung

Spezielle Sicherheitsempfehlungen

Mit diesen Dingen legst du die Sicherheitsstufe weitere Prozentpunkte nach oben.

  • Verzeichnisschutz für den Login-Pfad
  • Deaktiviere den Theme-Editor

Theme-Editor deaktivieren

Hierzu muss in der Datei wp-config.php ein Eintrag geändert werden. Konkret von „true“ auf „false“ gestellt werden.

define('DISALLOW_FILE_EDIT', true);

WordPress-Sicherheit und das Internet

Es werden Links gesammelt 😉

Sammlung von Sicherheits-Plugins

Noch ist die Sammlung unbewertet und unsortiert, wird sich in Zukunft ändern.

  • https://de.wordpress.org/plugins/sucuri-scanner/
  • https://de.wordpress.org/plugins/quttera-web-malware-scanner/ (intern oder externer Scan)
  • https://de.wordpress.org/plugins/simply-static/
  • https://wordpress.org/plugins/wp-2fa/
  • https://wordpress.org/plugins/wordfence-login-security/

Informationsquellen

Wildes Sammelsurium an Informationsquellen zum Thema: WordPress und Sicherheit.

  • https://www.davidkehr.com/checkliste-wordpress-absichern/
  • https://kinsta.com/de/blog/wordpress-5-2/#site-health-check
  • https://transparencyreport.google.com/safe-browsing/
  • https://sitecheck.sucuri.net/
  • https://webinspector.com/website-malware-scanner/
  • https://checkphish.ai/
  • https://www.wpbeginner.com/wp-tutorials/how-to-disable-json-rest-api-in-wordpress/
  • https://www.greengeeks.com/tutorials/article/disable-rest-api-json-wordpress/
  • https://wordpress.org/plugins/wpscan/

Tools

  • https://wpscan.com/wordpress-security-scanner
  • https://uptimerobot.com/
  • https://updown.io/
  • https://www.statuscake.com/
  • https://visualping.io/

CDN

  • https://www.cloudflare.com/de-de/integrations/wordpress/
  • https://geekflare.com/

Schreibe einen Kommentar