WordPress Hosting

Wie sichere ich meine WordPress-Installation ab?

WordPress ist aufgrund seiner Popularität häufig Ziel von Angriffen. Mit den folgenden Tipps schützen Sie Ihre Installation bestmöglich.

Hinweis zu veralteten Produkten

Wichtig: Dieser Beitrag bezieht sich auf ein veraltetes Produkt. Wir empfehlen dringend die Umstellung auf ein aktuelles Webhostingpaket mit Plesk.

Weitere Informationen zur Migration finden Sie im Beitrag: Migration zu Plesk: Wie gehe ich vor?

Warum WordPress-Sicherheit wichtig ist

WordPress ist eine sehr populäre Software, die sich sowohl zum Betrieb eines Blogs als auch als Content-Management-System eignet. Aufgrund dieser Popularität ist WordPress häufig Ziel verschiedener Attacken von Personen, die sich Zugriff auf fremde Accounts verschaffen wollen, um von dort unerkannt Spam zu verschicken oder weitere Angriffe durchzuführen.

In diesem Beitrag geben wir Ihnen nützliche Tipps, um Ihre WordPress-Installation möglichst sicher zu gestalten.

Wichtig: Die hier angegebenen Vorschläge sind keine Garantie dafür, dass nichts geschieht, denn Sicherheit ist ein Prozess und kein Zustand. Das Befolgen der Hinweise entbindet Sie nicht von Ihrer Eigenverantwortung.

1. Sichere Zugangsdaten verwenden

Erster Angriffspunkt vieler Hacker sind die Zugangsdaten. Dementsprechend empfiehlt es sich, diese möglichst sicher zu gestalten.

Starke Passwörter

Weitere Informationen zur sicheren Gestaltung von Passwörtern finden Sie im Beitrag: Wie erlange ich ein sicheres Passwort?

Benutzernamen ändern

In einer Standard-Installation ist der Benutzername des Administrators admin. Damit hat ein möglicher Angreifer bereits einen Namen und muss nur noch das Passwort knacken. Daher empfiehlt es sich, diesen Standard-Benutzer möglichst frühzeitig umzubenennen.

2. Regelmäßige Updates durchführen

Wird eine Sicherheitslücke bekannt, wird diese häufig innerhalb kürzester Zeit ausgenutzt. Auch die Software-Entwickler erfahren von der Lücke und stellen oft zeitnah Updates zur Verfügung, um diese Lücken zu schließen.

Wichtig: Ein einmal installiertes System darf nicht verwaisen! Spielen Sie regelmäßig Updates ein.

WordPress-Core

WordPress bietet eine Auto-Update-Funktion. Mehr dazu finden Sie im offiziellen Support-Forum von WordPress.

Plugins und Themes

Nicht nur WordPress selbst sollte aktuell gehalten werden. Auch Plugins und Themes können Sicherheitslücken enthalten und sollten daher ebenso regelmäßig auf Updates überprüft werden.

3. Plugins minimieren

Der beste Schutz gegen Sicherheitslücken ist, diese gar nicht erst entstehen zu lassen. Installieren Sie nur so viele Plugins, wie Sie tatsächlich benötigen.

Fragen Sie sich vor jeder Plugin-Installation:

  • Benötige ich diese Funktionalität wirklich?
  • Gibt es eine sicherere Alternative?
  • Ist das Plugin aktuell und wird es regelmäßig gewartet?

4. Benutzerrechte einschränken

Auch bei Benutzeraccounts gilt: Vergeben Sie nur die Rechte, die notwendig sind.

Wenn Sie WordPress mit mehreren Nutzern verwenden:

  • Überlegen Sie, welche Person welche Rechte benötigt
  • Sperren Sie Accounts, wenn diese nicht mehr benötigt werden
  • Vermeiden Sie unnötige Administrator-Rechte

5. Verzeichnisse schützen

WordPress-Content-Verzeichnisse

Für die WordPress-Ordner /wp-content/ und /wp-includes/ empfiehlt es sich, den Zugriff auf die nötigsten Dateien zu beschränken. Dies erreichen Sie durch das Anlegen einer .htaccess-Datei in den jeweiligen Ordnern.

Beispiel für .htaccess:

Order deny,allow
Deny from all
<Files ~ ".(PHP|lock|xml|css|jpe?g|png|gif|js)$">
Allow from all
</Files>

Admin-Verzeichnis schützen

Auch das Verzeichnis /wp-admin/, in dem alle Skripte für die Administration liegen, kann besonders geschützt werden.

Bei fester IP-Adresse:

Wenn Sie eine feste IP-Adresse besitzen (z.B. bei einigen Kabel-Anbietern), können Sie mit folgender .htaccess-Datei den Zugriff so einschränken, dass nur noch Sie selbst auf das Administrator-Interface zugreifen können:

Order deny,allow
Deny from all
## Folgende IP-Adresse durch Ihre eigene ersetzen
Allow from 89.110.129.51

Zusätzlicher Passwortschutz:

Wenn Sie sich mit der Syntax von .htaccess auskennen, können Sie hier sogar einen zusätzlichen Passwortschutz konfigurieren.

6. Regelmäßige Überprüfungen durchführen

Wie bereits erwähnt: Sicherheit ist kein Zustand, sondern ein Prozess.

Best Practices

  • Überprüfen Sie Ihre Webseite regelmäßig auf unberechtigte Änderungen
  • Erstellen Sie regelmäßige Backups Ihrer Webseite und Datenbank
  • Kontrollieren Sie die Logdateien auf verdächtige Zugriffe
  • Je früher Sie Probleme erkennen, desto geringer ist der Schaden

Backup-Strategie

Kombinieren Sie regelmäßige Überprüfungen mit automatischen Backups. So können Sie im Ernstfall schnell reagieren und Ihre Webseite wiederherstellen.

Tags: wordpress sicherheit server security
War dieser Artikel hilfreich?