WordPress ist das weltweit beliebteste Content Management System. Mehr als 30% aller Websites werden aktuell mit WordPress verwaltet. Dies hat viele Vorteile, wie z.B. eine große Auswahl an Themen und Plugins. Aber auch Nachteile: Die große Verbreitung und Erweiterbarkeit macht WordPress für Hacker interessant. Hier einige Tipps und Tricks wie man das WordPress besser sichert.
Der größte Fehler ist zu glauben, dass man „persönlich“ nie das Opfer eines Hackers werden wird. Ein Hack erfolgt aber selten aus persönlichen Gründen, wie Spionage oder aus Konkurrenzgründen. Der Hauptgrund für die Manipulation von Websites ist die Platzierung von Links zur Suchmaschinenoptimierung und fragwürdigen Produkten auf Ihrer Website. Diese Formen der Malware ziehen es vor, unbemerkt zu bleiben. Dies ist für die Betreiber von Websites unangenehm, denn je länger eine manipulierte Website unbemerkt bleibt, desto größer ist das Schadenspotenzial. Enthält die gehackte WordPress illegale Inhalte, besteht sogar die Gefahr von Rechtsfolgen. Neben dem Reputationsschaden und den Kosten der Wiederherstellung gibt es noch einige weitere Risiken.
Allgemeine Maßnahmen WordPress zu sichern
Von allgemeinen Maßnahmen spricht man, wenn es sich um einfache und leicht anwendbare Sicherheitsmaßnahmen geht.
Sicheres Passwort für den WordPress Admin
Die größte Schwachstelle ist ein einfaches Passwort des Administratorkontos. Sogenannte Brute-Force-Angriffe nutzen derlei Schwachstellen aus. Bei einem Brute-Force-Angriff testet die Software alle möglichen Kombinationen, bis das richtige Passwort gefunden ist. Dabei helfen Namenslisten, Datumsangaben und Listen mit beliebten Passwörtern.
Ein sicheres Passwort muss mindestens acht Zeichen lang sein und Großbuchstaben, Kleinbuchstaben, Zahlen und Sonderzeichen enthalten. Ein beliebter Fehler ist es, identische Passwörter für verschiedene Plattformen zu verwenden. Wird eine Plattform gehackt, können diese Hacks missbraucht werden. Ob Deine eMail bereits in einem Hack komprimitiert wurde, kannst Du beim Projekt Have i been pwned checken
Verwenden Sie Standardbenutzer im WordPress.
Das Passwort ist nicht ausreichend für eine erfolgreiche WordPress-Anmeldung. Die Kombination von Benutzer und Passwort ist notwendig. Brute Force-Angriffe testen zunächst die Standardbenutzer wie „Admin“, „Administrator“ oder „Root“. Verwenden Sie besser einen schwer zu erratenden Benutzernamen, um diese Brute-Force-Angriffe ins leere laufen zu lassen. Löschen Sie den Administrator-Benutzer, wenn er bei der Installation automatisch angelegt wurde, und ersetzen Sie ihn durch einen neuen.
Geben Sie Ihren Benutzernamen niemals auf der Seite des Autors an.
Abhängig von den Einstellungen und dem verwendeten Design wird Ihr Benutzername auf der Seite des Autors verwendet. Mit Hilfe der so genannten Autorensuche können Angreifer Benutzer ausspionieren, die auf diese Weise verwendet werden. Überprüfen Sie die URL und den Quellcode der Autorenseite, um zu sehen, ob ihr Benutzername dort angezeigt wird. Sie können die Seiten des Autors in den Einstellungen vollständig deaktivieren oder den im Benutzerprofil angezeigten Namen ändern.
Begrenzung der Anzahl der fehlgeschlagenen Anmeldungen
WordPress erlaubt beliebig viele Anmeldeversuche. Brute-Force-Angriffe nutzen diese Schwachstelle, um Benutzer-Passwort-Kombinationen über einen längeren Zeitraum auszuprobieren, es gibt eine Reihe von Plugins, die fehlgeschlagene Anmeldeversuche begrenzen und den WordPress-Login für diese IP-Adresse vorübergehend blockieren. Das WP Limit Login Attempts bietet beispielsweise die Möglichkeit ein Captcha zu aktivieren. Das Captcha prüft, ob die Anmeldeversuche echte Benutzer sind. Umfassende Plugins, wie das Sucuri Security – Auditing, Malware Scanner and Security Hardening übernehmen diese und andere Aufgaben in umfassender Funktion. Sie unterstützen das „Härten“ des Systems und scannen auf Malware.
Sicheres Hosting für WordPress
Rootserver erfordern regelmäßige System-Updates und entsprechende Linux-Kenntnisse. Managed Server und Shared Hosting sind hier sicherer, weil die Administratoren der Provider sich mit Sachverstand um die Lösungen kümmern. Spezialisierte WordPress-Anbieter bieten Hosting-Pakete mit allen Updates, garantierter Verfügbarkeit und kontinuierlich getesteter Sicherheit.
WordPress-Plugins und WordPress-Themes nur aus sicheren Quellen.
Jede WordPress Installation ist so sicher wie die installierten Plugins oder Themes. Bereits eine Schwachstelle reicht aus, um das gesamte WordPress sicherheitsanfällig zu machen. Plugins und Themen, die direkt von WordPress.org installiert werden, werden auf mögliche Schwachstellen überprüft. Wenn Ihnen diese Themes und Plugins nicht ausreichen, stellen Sie sicher, dass der Entwickler der jeweiligen Drittanbieter einen Sicherheitscheck durchgeführt hat und regelmäßige Updates für sein Plugin oder Theme anbietet. Bevor Sie das neue Design verwenden, kann man es auch mit dem Plugin „Theme Check“ überprüfen.
SSL-Verschlüsselung für WordPress
Läuft Ihr WordPress noch auf HTTP? Dies müssen Sie zeitnah ändern. Suchmaschinen bevorzugen HTTPS-Seiten in ihren Suchergebnissen, eine SSL-verschlüsselte Seite ist abhörsicher und übertragt persönliche Daten abhörsicher. Viele Webhoster bieten die kostenfreie Zertifikate an, die automatisch verlängert werden. Auch Projekte wie Let’s Encrypt bieten kostenfreie Zertifikate. Bei Hosting-Paketen setzt man am Besten die Option „Force SSL“, um den versehentlichen Aufbau einer unverschlüsselten Verbindung zu verhindern und eine verschlüsselte Verbindung zu erzwingen.
Regelmäßige Aktualisierungen
WordPress Plugins und Themen, die von WordPress.org heruntergeladen werden, sind sicherheitsgeprüfte und regelmäßig aktualisierte Software. Es ist daher wichtig, dass jede WordPress-Installation regelmäßig aktualisiert wird. Wenn Sie keine verwaltete WordPress Hosting- oder Sicherheitssoftware verwenden, müssen Sie sich alle paar Wochen bei WordPress Admin anmelden und sich aktualisieren. Bevor Sie wichtige Aktualisierungen durchführen, erstellen Sie am besten ein Backup um böse Überraschungen bei der Aktualisierung zu vermeiden.
Sicherheitsmaßnahmen für WordPress Profis
Bei diesen Maßnahmen handelt es sich um Eingriffe, die etwas tiefgreifenderes Wissen erfordern. Erstellen Sie vor diesen Maßnahmen ein Backup der Datenbank und der WordPress Installation.
Ändern des WordPress-Tabellenpräfixes
Das WordPress Tabellenpräfix ist in Standardinstallationen auf „wp_“ gesetzt. Allen Datenbanktabellen Ihrer WordPress-Installation ist diese Abkürzung vorangestellt. Da dieser Standard auch allen Hackern bekannt ist, ist die Datenbank im Falle einer Schwachstelle im Datenbankserver zugänglich. Ändern Sie beispielsweise während der Installation die Abkürzung „wp_“ in „irgendwas_“. Wenn die Installation bereits abgeschlossen ist, hilft das Plugin Change DB Prefix.
Informationen zu WordPress entfernen
Diese Empfehlung ist nicht nur für Theme-Entwickler, sondern ist einfach durchzuführenm wenn Sie ein childtheme aktiv laufen haben. Mit dem Befehl
remove_action('wp_head','wp_generator');
kann man Informationen im WordPress Quellcode zur Version löschen. Die Anweisung wird in der functions.php des Themas bzw. besser im childtheme eingefügt.
Sofern vorhanden, wird im nächsten Schritt der Fußzeilenlink zu WordPress entfernt. Die Vorgehensweise ist von Theme zu Theme unterschiedlich. In den meisten Fällen findet man den Code in der Datei footer.php.
Readme- und Lizenzdateien im Stammordner löschen
Auf diese Weise kann man die weitere Informationen und mögliche Schlussfolgerungen zur WordPress-Version verhindern.
htaccess Schutz für den WordPress Adminbereich
Obwohl der WordPress-Administrationsbereich bereits unter /wp-admin geschützt ist, empfehlen Sicherheitsexperten einen zusätzlichen Zugriffsschutz per htaccess. Mit dem htpasswd-Generator kann man einen zusätzlichen gesicherten Passwortbereich erstellen, der den WordPress-Login-Bereich schützt.
Deaktivieren der XML-RPC-Schnittstelle
Die WordPress XML-RPC-Schnittstelle ist standardmäßig aktiviert. Wenn Sie keine mobile WordPress-App oder Drittanbietersoftware verwenden, die Zugriff auf die XML-RPC-Schnittstelle benötigen, deaktivieren Sie diese.
Dies kann man z.B. einfach in der .htaccess im Stammverzeichnis durchführen:
# Block WordPress xmlrpc.php<Filesxmlrpc.php>order deny,allowdeny from all# Ausnahme definierenallow from 111.111.111.111</Files>
Für erfahrene Theme-Entwickler gibt es auch die Möglichkeit, den Code zum Deaktivieren selbst in die Datei functions.php des aktiven Themas einzufügen:
# Die XMLRPC-Schnittstelle deaktivieren
add_filter( 'xmlrpc_enabled', '__return_false' );
add_filter( 'wp_headers', 'AH_remove_x_pingback' );
function AH_remove_x_pingback( $headers )
{
unset( $headers['X-Pingback'] );
return $headers;
}
Hinweis: Wenn man den Code in ein theme direkt einfügt, werden die Änderungen nach dem nächsten Update überschrieben. Deswegen verwendet man ein childtheme …
Ein weiterer einfacher Weg ist das WordPress-Plugin „Disable XML-RPC„.
Deaktivieren der Editierfunktionen
Standardmäßig ermöglicht WordPress das Ändern von sicherheitskritischen Dateien wie Theme-Dateien und Plugin-Dateien direkt im WordPress Dashboard. Das ist komfortabel, stellt aber auch eine ernsthafte Sicherheitslücke dar. Man deaktiviert dies über die wp-config.php und fügt folgende Zeile hinzu.
define('DISALLOW_FILE_EDIT', true);
Fazit: WordPress absichern
Einige der empfohlenen Sicherheitsoptimierungen für WordPress sind einfach zu implementieren. Die Wahl eines guten Hosting-Pakets mit SSL-Verschlüsselung, die Beachtung der verwendeten Plugins und Themen sowie die Wahl eines sicheren Benutzernamens und Passworts ist ein großer Schritt in Richtung Sicherheit. Regelmäßige Backups verhindern, dass Malware oder Softwarefehler einen Zeit und Aufwand zur Behebung von Problemen kosten.
Die weiteren Schritte verbessern die Sicherheit von WordPress weiter, wer die Hausaufgaben der allgemeinen Absicherung aber vernachlässigt hat hier nichts gewonnen.
