WordPress ist mit über 65% Marktanteil das beliebteste CMS für Websites weltweit. Hier ist es wenig verwunderlich, dass es auch viele Versuche gibt, sich in WordPress Websites unberechtigt Zugriff zu verschaffen und Schaden anzurichten. Selten vergeht ein Tag an dem man nicht irgendeine Schlagzeile in den Medien liest, bei dem es um Cyberkriminalität geht.
In diesem Artikel möchte ich dir einige Punkte vorstellen, mit denen du relativ einfach die Sicherheit deiner WordPress Website erhöhen und dich damit besser schützen kannst. Den Fokus möchte ich bewusst auf jene Maßnahmen legen, die du auch ohne technische Kenntnisse selbst umsetzen kannst.
Geeignetes Hosting
Noch bevor du eine WordPress Website betreibst, musst du dir Gedanken über ein geeignetes Hosting, also den Server auf dem deine Website laufen wird, kümmern. Obwohl WordPress auch auf einem normalen Computer betrieben werden kann, möchte ich dir das nicht empfehlen. Zu Beginn des Internet-Zeitalters war das noch recht häufig der Fall, heute kann man davon nur dringend abraten.
Ein professionelles Hosting-Unternehmen kostet dich zwar monatlich einen kleinen Betrag, du musst dich hier aber nicht mehr um die Sicherheit der Infrastruktur kümmern. Das Netzwerk des Hosting-Unternehmens das auch Komponenten wie Firewalls mit einschließt und die betriebenen Server werden hier vom Betreiber gewartet und aktuell gehalten.
Admin-User umbenennen
Installiert man WordPress, so ist in den Standard-Einstellungen immer der gleiche Username vergeben. Dieser ist durchaus bekannt und sollte daher nicht verwendet werden. Wenn du während der Installation nicht darauf geachtet hast, den Benutzernamen vorab zu ändern, kannst du dir einen neuen Admin-User anlegen und den bisherigen auf die Rolle “Abonnent” zurück stufen.
Auch Nutzernamen wie “Demo”, “Test” oder dein Vorname sind eher ungeeignete Kennungen für deinen Admin-User.
Sichere Passwörter wählen
Wähle auf jeden Fall ein sicheres Passwort! (Stell dir vor, das ist das zusätzliche Schloss an deiner Wohnungseingangstüre.)
Ideal sind folgende Rahmenbedingungen, die kannst du auch für andere Passwörter anwenden um im Netz sicherer unterwegs zu sein:
- 10 bis 15 Zeichen
- mindestens 2 Goßbuchstaben
- mindestens 2 Zahlen
- mindestens 2 unterschiedliche Sonderzeichen
- keine natürlichen Worte oder Namen
- keine Abkürzungen aus natürlichen Worten oder Namen
Beispiele: n9)y6EJV2E&l{b# oder v.ITo01k3P1{T§m
Derartig sichere Passwörter benötigen eine lange Zeit um sie mittels Programmen zu entschlüsseln. Das hält schon einen großen Teil der Hacker ab, da es ihnen oft zu zeitaufwändig ist. Die Praxis, bestimmte Buchstaben mit jeweils der gleichen Zahl zu ersetzen, ist ebenfalls nicht empfehlenswert, da dies auch relativ leicht entschlüsselt werden kann.
2-Faktor Authentifizierung nützen
2-Faktor Authentifizierung ist mittlerweile sehr häufig im Einsatz. Hier wird zusätzlich zur Kombination Nutzername & Passwort (Faktor 1) noch ein weiterer Code (Faktor 2) benötigt um ein erfolgreiches Login zu ermöglichen. Meist wird hier eine SMS versendet oder man kann einen zeitlich begrenzt gültigen Code aus einer verbundenen App wie zum Bespiel dem Google Authenticator abrufen.
2-Faktor Authentifizierung wird derzeit noch nicht im WordPress Standard unterstützt, am Markt gibt es jedoch zahlreiche Plugins die diese Funktionalität erweitern.
Sicherheits-Plugin nützen
Sinnvoll ist es auch, ein Sicherheits-Plugin oder eine zusätzliche Software-Firewall einzusetzen. Meinen Kunden empfehle ich hier gerne WordFence, da es bereits in der kostenlosen Variante einen großen Funktionsumfang bietet. Auch eine 2-Faktor Authentifizierung kann man mit diesem Plugin einrichten.
So ermöglicht ein Sicherheits-Plugin beispielsweise die Sperre von Zugriffen über bestimmte IP-Adressen, wenn von diesen zu viele erfolglose Login-Versuche durchgeführt wurden. Sogenannte Brute-Force Attacken kann man so abfangen, ebenso abfangen lassen sich eine große Anzahl von Zugriffen von einer bestimmten IP-Adresse (Denial of Service Attacke).
WordFence bietet in der Pro-Version auch nützliche Funktionen, beispielsweise kannst du hier festlegen, dass der Zugriff auf die Admin-Oberfläche nur von einer bestimmten IP-Adresse oder aus einem bestimmten Land zulässig ist.
SSL Zertifikat nützen
Ein SSL-Zertifikat ist ein digitales Zertifikat, das die Identität deiner Website authentifiziert und eine verschlüsselte Verbindung zwischen dem Webserver und dem Webbrowser des Nutzers herstellt. SSL steht für Secure Sockets Layer, ein Sicherheitsprotokoll, das die unbefugte Veränderung von übertragenen Daten verhindert.
Die meisten professionellen Hosting-Anbieter ermöglichen es schon über eine übersichtliche Verwaltungsoberfläche, ein derartiges Zertifikat zu beziehen und für deine Domain zu hinterlegen. Hier wird häufig das kostenlose Let’s Encrypt Zertifikat angeboten, das – vereinfacht ausgedrückt – sicher besser als gar keines ist.
Wenn du einen Online Shop hast oder deine Website als Hauptquelle deines Firmenumsatzes dient, solltest du dir überlegen ob es für dich nicht besser wäre, ein individuell für dich generiertes und signiertes Zertifikat käuflich zu erwerben.
Nicht nur aus Sicherheitsgründen solltest du ein SSL-Zertifikat für deine Website einsetzen. Auch für die Suchmaschinenoptimierung ist es sinnvoll, denn für deine Website ohne SSL-Zertifikat gibt’s Punkteabzug beim Ranking auf Google & Co.
Updates zeitnah einspielen
Die regelmäßige Aktualisierung deiner Website bezieht sich nicht nur auf die erfassten Inhalte und Informationen. Auch die Technik entwickelt sich laufend weiter, es werden laufend Sicherheitslücken im Code von WordPress als auch Plugins gefunden und ausgebessert.
Um hier bestmöglich aufgestellt zu sein, solltest du Updates nicht allzu lange anstehen lassen und sie möglichst zeitnah durchführen. Ein guter Intervall ist hier zumindest einmal pro Monat. Bei Websites mit vielen zusätzlichen Plugins kann auch ein 2-wöchiger Rhythmus sinnvoll sein.
Das Updaten von Plugins und auch deinem Template ist relativ einfach: die meisten Hersteller melden Ihre Aktualisierungen direkt bei WordPress und du musst “nur” auf den “jetzt aktualisieren” Button klicken. Während des Update-Prozesses können Nutzer jedoch nicht immer auf alle Funktionen der Website zugreifen, daher solltest du einen Zeitpunkt wählen wo möglichst wenige Nutzer auf deiner Seite surfen.
Etwas Vorsicht ist beim Einspielen von Updates allerdings geboten. Da jede Website eine andere Kombination von Plugins und Templates benützt, macht es sehr viel Sinn, die Updates vorher in einem sogenannten Staging-System zu testen. So kannst du sicherstellen, dass auch in deiner Live-Seite immer alles einwandfrei funktioniert.
aktuelle PHP-Version nützen
PHP ist eine Programmier-Sprache, die für viele Funktionen auf deiner WordPress Website verantwortlich ist. Auf Informationen, die direkt am Server verarbeitet werden, wie zum Beispiel der Zugriff auf die Datenbank in der deine Inhalte gespeichert sind, greift WordPress mittels PHP zu.
Sollte deine Website bereits einige Jahre alt sein, ist die Chance, dass du eine bereits veraltete PHP-Version noch verwendest, durchaus gegeben.
Solltest du nicht wissen, welche PHP-Version bei deiner WordPress Seite verwendet wird, kannst du bei deinem professionellen Hosting-Anbieter um Rat fragen, sofern es nicht in der Verwaltungsoberfläche deiner Domain angezeigt wird.
Bevor du die PHP-Version updatest, solltest du mit einem Staging-System sicher stellen, dass auch alle Plugins mit der neueren Version funktionieren.
Veröffentliche keine Artikel mit dem Admin-User
Wie schon am Beginn des Artikels erwähnt, sollte der Username deines Admin-Users möglichst geheim sein. Du solltest daher keine Artikel oder Seiten mit diesem Benutzernamen veröffentlichen, da dieser dann öffentlich bekannt ist und du dir diesen Vorteil nimmst.
In der Praxis hat es sich daher bewährt, zumindest einen zweiten User mit weniger hohen Berechtigungen (z.B. Autor) für die Veröffentlichung von Inhalten zu verwenden. Auch für diesen Nutzer sollten die gleichen Passwort-Richtlinien wie oben bereits beschrieben gelten um es Hackern auch für diesen Nutzernamen möglichst schwer zu machen, sich unbefugt Zugriff zu verschaffen.
Regelmäßiges Backup als zusätzliches Sicherheitsnetz
Ein zu 100% sicheres System ist in der Praxis meist nicht umsetzbar. Es gibt immer Kleinigkeiten, die man besser oder sicherer machen könnte. Wenn es dennoch einmal nicht ausgereicht hat und Schaden entstanden ist, freut man sich, wenn man ein regelmäßiges Backup der Inhalte hat um im Notfall nicht alles komplett neu machen zu müssen.
Ganz egal ob etwas bei einem Update von WordPress oder einem Plugin schief gegangen ist, oder sich wirklich jemand unbefugt Zugriff verschafft hat: ein Backup ist meist die schnellste Lösung zur Wiederherstellung von verlorenen Informationen.
zusätzliche Maßnahmen
Natürlich gibt es noch weitere, zusätzliche Maßnahmen wie beispielsweise das Verlagern der wp-config.php Datei in ein anderes Verzeichnis, der Einschränkung von Rechten auf bestimmte Dateien im Filesystem deines Webauftritts, usw.
Dies fällt schon in den stark Fortgeschrittenenbereich, für den du dir besser einmalig die Dienstleistung eines Profis leisten solltest.
