Wenn du unseren Blog regelmäßig liest, weißt du, dass die Sicherheit deiner Website und des Hostings die wichtigsten Dinge sind. Es ist bedeutender als Performance, Grafik und andere Funktionen. Wenn du eine Website erstellst, musst du dafür sorgen, dass sie geschützt ist. Aber sicheres Hosting und sichere Server sind nicht genug, wenn du WordPress nicht sicher machst.
WordPress ist anfällig für Angriffe
Je populärer eine Anwendung ist, desto wahrscheinlicher ist es, dass sie von Hackern geknackt wird. WordPress wird derzeit von mehr als der Hälfte aller Websites weltweit verwendet. Der Erfolg ist vor allem auf die Kombination aus Einfachheit und Entwicklungsfähigkeit zurückzuführen. Die offene Struktur ermöglicht die Entwicklung von Websites mit Hilfe von Plugins.
Leider hat die Zahl der WordPress-Installationen auch unrühmliche Folgen. Laut Wordfence wurden am 9. Dezember 2021 mehr als 1,5 Millionen auf WordPress basierende Websites angegriffen. Innerhalb von 36 Stunden wurden mehr als 13 Millionen Versuche unternommen, sich Zugang zu den Verwaltungspanels der Website zu verschaffen.
Cyberkriminelle sind nicht untätig und suchen ständig nach Schwachstellen in Websites und Anwendungen, über die sie an wertvolle Daten gelangen können. Sucuri weist auf ein weiteres wichtiges Sicherheitselement hin. Mehr als 50% der gehackten WordPress-Seiten sind mit einer veralteten Version der Anwendung verbunden. Keycdn.com fügt weitere Statistiken hinzu: Fast 56% der Bedrohungen und Schwachstellen werden durch veraltete Plugins oder Themes verursacht.
Wie kann ich WordPress schützen?
Aber selbst das Aufspielen von Patches für eine Anwendung ist keine Garantie für Sicherheit. Kümmere dich selbst um deine Website. Mach es nach unseren Richtlinien. Je mehr davon du nutzt, desto sicherer machst du deine Website.
Einige der Lösungen erfordern Grundkenntnisse im phpMyAdmin-Panel, in dem du die Datenbank bearbeiten kannst. Falsche Eingriffe in Tabellen können dazu führen, dass die Seite oder die gesamte Website teilweise unzugänglich ist.
Ein weiterer wichtiger Faktor für die Sicherheit des Hostings ist das Hosting auf einem sicheren Server. Du hast zwei Möglichkeiten: VPS-Hosting oder sicheres WordPress-Hosting. Ich empfehle letzteres, weil es eingebaute Sicherheitsmaßnahmen hat, um WordPress vor Angriffen zu schützen. Kommen wir nun zur Liste.
Update WordPress
Klingt klischeehaft? Vielleicht, aber das Wichtigste ist, dass du dich vergewisserst, dass dein WordPress nicht veraltet. Seit Version 3.7 kann WordPress das CMS, die Themen und die Plugins automatisch aktualisieren. Das Aufschieben von Updates ist sehr riskant.
Ändere das Standard-Präfix wp_ für Tabellen in der Datenbank
Dank eines Präfixes für Tabellen in der MySQL-Datenbank kann die Anwendung erkennen, welche Daten zu ihr gehören. Schließlich können mehrere Anwendungen eine Datenbank nutzen. Eine der Schwächen von WordPress ist, dass es das Standardpräfix wp_ in der Datenbank lässt; das macht es für Hacker einfacher. Deshalb solltest du dieses Präfix in ein anderes, weniger auffälliges ändern (z.B. xtmx4_).
Du kannst dies auf zwei Arten tun – bei der Installation von WordPress und nach der Installation, indem du dich über das phpMyAdmin-Panel in der MySQL-Datenbank anmeldest. Dank dieser Änderung ist eine Website, die auf WordPress basiert, weniger anfällig für SQL-Injection-Angriffe.
Um den Namen des Tabellenpräfixes zu ändern, müssen die Einträge in zwei WordPress-Tabellen geändert werden: xtmx4_options und xtmx4_usermeta. Du kannst dies mit einem der beiden SQL-Befehle tun (es ist notwendig, die von dir vorgeschlagenen Präfixe anzugeben):
- SELECT * FROM `xtmx4_options` WHERE` option_name` LIKE ‘% wp_%’;
- SELECT * FROM `xtmx4_usermeta` WHERE` meta_key` LIKE ‘% wp_%’;
Denke daran, die Zeile mit dem Präfix in der Datei wp-config.php nach dieser Änderung zu bearbeiten.
Login und Administrator-ID ändern
Der von WordPress vorgeschlagene Standard-Login ist “admin” – er ist für jemanden, der sich im Dashboard anmelden will, leicht zu erraten. Es lohnt sich, ihn während der Installation in einen anderen, aus Sicht eines externen Nutzers weniger “logischen” zu ändern. Denk daran, dass der Benutzername nicht unter den Blogartikeln angezeigt wird, da er im WordPress-Panel individuell konfiguriert wird.
Ändere den Login nach der Installation über phpMyAdmin in der Tabelle (dein-präfix)_users. An der gleichen Stelle änderst du auch die Konto-ID. Am besten gibst du eine hohe Zahl mit einer zufälligen Zahlenfolge ein (z.B. statt 333333, gib 158062 ein).
Schränke den Zugriff auf das WordPress-Dashboard mit .htaccess ein
Den Zugriff auf die Anmeldeseite einzuschränken, ist eine sehr sinnvolle Lösung. In der .htaccess-Datei reicht es aus, die erlaubten Verbindungen zur gewählten IP-Adresse zu konfigurieren. Nachfolgend findest du die richtige Formel, die du in den Inhalt einfügen musst:
- AuthName “Example Access Control”
- AuthType Basic
- order deny, allow
- deny from all
- allow from IP_address
Gib anstelle von “IP_address” die Adresse ein, von der aus du auf das Panel zugreifen willst.
Ändere deine WordPress Backend Login Adresse
Bösartige Skripte greifen in erster Linie Unterseiten an, die mit dem Inhalt und seiner Bearbeitung zu tun haben, z. B. “/ wp-admin”. Daher ist es eine Überlegung wert, diese Adresse in eine andere zu ändern, die freundlicher und weniger offensichtlich für Cyberkriminelle ist. Installiere das WPS Hide Login Plugin und konfiguriere es nach deinen Bedürfnissen. Die neue Panel-Login-Adresse ist sofort verfügbar.
Eine andere Art des Schutzes gegen das “Hijacking” der WordPress-Anmeldeseite ist die Nutzung der .htaccess-Datei auf dem Hosting und der Verweis auf die .htpasswd-Datei, in der du die Zugangsdaten zur Anzeige der Anmeldeseite konfigurierst.
Ändere die Anmeldemethode in deine E-Mail-Adresse
Wenn du änderst, wie die Anwendung den Benutzer verifiziert, erhöht sich die Sicherheit des WordPress-Dashboards. Installiere dazu das WP Email Login Plugin und ersetze den Login-Namen durch die dem Nutzer zugewiesene E-Mail-Adresse. Nachdem du die Änderungen gespeichert hast, änderst du den Standard-Login in eine Reihe von zufälligen Zeichen (vor allem, wenn du “admin” genutzt hast).
Aktiviere zusätzlichen Anwendungsschutz beim Hosting (WAF)
Secure WordPress Hosting schützt dich mit einer zusätzlichen Sicherheitsebene – einer “Web Application Firewall”. Wenn du einen anderen Anbieter nutzt, bitte ihn um eine WAF. Sie schützt dich vor Angriffen, die Anfälligkeiten im Zusammenhang mit MySQL-Datenbanken oder bösartige Kopfbereiche nutzen.
Deaktiviere die Bearbeitung von Plugin- und Theme-Dateien
Hast du die Anpassung deines Designs und den Start der Plugins abgeschlossen? Sichere deine Dateien, indem du die weitere Bearbeitung des Codes im WordPress-Dashboard verhinderst. Dazu fügst du eine Zeile in die Datei wp-config.php ein:
- define (‘DISALLOW_FILE_EDIT’, true);
Benutzerregistrierung deaktivieren
WordPress erlaubt dir standardmäßig, Benutzer zu registrieren. Wenn du aber eine Website betreibst, die diese Option nicht benötigt (z. B. weil sie nur zum Lesen gedacht ist), ist es besser, sie in den WordPress-Einstellungen zu blockieren. Es ist ein weiteres “Fenster” für einen potenziellen Angriffsversuch.
Aktiviere die Zwei-Faktor-Authentifizierung
Die zusätzliche Sicherheitsstufe beim Anmelden hat noch niemandem geschadet. Nutze das Plugin für die Zwei-Faktor-Authentifizierung, um eine doppelte Anmeldung am Panel zu konfigurieren. Nachdem du ein Login und ein Passwort eingegeben hast, musst du einen eindeutigen Code eingeben, der an dein Smartphone gesendet wird. Diese Lösung erfordert die Installation der Google Authenticator-Anwendung auf deinem Smartphone, die für Android und iOS verfügbar ist.
Sicherheitsplugins für WordPress – weshalb es sich NICHT lohnt, sie zu nutzen!
Auf dem Markt gibt es verschiedene zusätzliche Plugins, die einige der oben genannten Funktionen enthalten und WordPress zusätzlich vor Brute-Force-Angriffen und anderen Angriffen schützen. Du sparst also Zeit (du musst nur eines installieren und in wenigen Minuten einrichten) und kümmerst dich (theoretisch) um mehrere sicherheitsrelevante Themen.
Aber bist du sicher? Vergiss nicht, dass es nur ein weiteres Plugin ist. Auch Sicherheits-Plugins können Schwachstellen enthalten, die es einem potenziellen Hacker leichter machen, auf dein WordPress-Dashboard zuzugreifen.
Plugins wie Wordfence, Sucuri oder iThemes Security liegen im Trend, bieten verschiedene Funktionen und sehen verlockend aus, aber die Statistiken der WPwhiteSecurity-Studie sind beunruhigend. Wordfence steht auf Platz 4 der 10 anfälligsten WordPress-Plugins 2019.
Erstelle zusätzliche Kopien deiner Daten
Auf UltaHost-Servern wird das Backup zyklisch nachts durchgeführt, und zwar punktuell. Alle Dateien und Datenbanken im Backup spiegeln den Zustand des Servers von einer bestimmten Stunde an wider. In jedem Fall kann der Nutzer diese Daten aus den letzten 16 Tagen wiederherstellen. Das ist eines der besten Angebote auf dem Markt, aber das sollte keine Überraschung sein. UltaHost verfolgt eine Politik, bei der Sicherheit an erster Stelle steht.
Wenn deine Website dynamisch ist und du viele Inhalte auf ihr veröffentlichst (z.B. in Form eines Werbeportals), installiere zusätzliche WordPress-Backup-Anwendungen. Eine davon ist Updraft, mit der du sogar alle 60 Minuten ein Backup programmieren kannst. Denke daran, Backups zu machen, wenn dein Traffic gering ist, denn jeder Backup-Vorgang ist eine große Belastung für den Server.
Entferne unnötige Plugins und Themen
Mit WordPress kannst du eine Website für jeden Zweck erstellen. Kein Wunder, dass du neue Themen und Plugins darauf testen wirst. Vergiss nicht, sie zu entfernen, wenn du sie nicht mehr nutzen willst. Auch deaktivierte, aber veraltete Plugins können der Grund für einen Angriff auf deine Website sein.
Lade Plugins nur von einer vertrauenswürdigen Quelle herunter. Es muss nicht unbedingt ein offizielles Angebot von WordPress sein, denn es gibt Premium-Plugins, die du nur von der Website des Autors herunterladen kannst. Vermeide aber Plugins aus unzuverlässigen Quellen wie E-Mail oder kostenlosen Dateidiensten. Sie werden nicht überprüft und unterliegen keiner Kontrolle.
Aktualisiere das Design regelmäßig
Dies ist die dritte potenzielle Quelle für Probleme, die bei einer auf WordPress basierenden Website auftreten können. Thema-Entwickler sollten so oft wie möglich Updates veröffentlichen, um Bugs und Software-Schwachstellen zu beheben. Diese können von Hackern ausgenutzt werden und sollten nicht unterschätzt werden.
Nutze ein SSL-Zertifikat
WordPress bietet volle Unterstützung für verschlüsselte HTTPS-Verbindungen über den Browser. Seit 2017 verlangt die CMS-Anwendung, dass der Server dieses Protokoll unterstützt. Ein SSL-Zertifikat ist auch aus Gründen der SEO-Optimierung unerlässlich.
Außerdem kennzeichnen die gängigsten Browser (Google Chrome, Mozilla Firefox) Websites ohne SSL-Zertifikat als “ungesichert”. Aus psychologischer Sicht ist dies gleichbedeutend damit, dass die Nutzer/innen davon abgehalten werden, die Website in Zukunft zu besuchen.
Nutze lange Passwörter
Je länger und vielfältiger das Passwort ist, desto besser. WordPress bietet automatisch an, das Passwort in Form von mehreren Zeichen ohne Wörterbuchphrasen zu speichern. Normalerweise wollen wir in diesem Schritt unser Passwort vorschlagen, aber in den meisten Fällen wird es nicht stark genug sein.
Wenn dir dieser Artikel gefallen hat, dann wirst du die sichere Hosting-Plattform von UltaHost lieben. Erhalte 24/7 Support von unserem Support-Team. Unsere leistungsstarke Infrastruktur konzentriert sich auf automatische Skalierung, Leistung und Sicherheit. Wir zeigen dir den Unterschied! Sieh dir unsere sicheren WordPress-Hosting-Pakete an!
