WordPress Sicherheit
✓ persönliche Beratung
✓ professionelle Entwicklung
✓ individuelle Schulung
WordPress nutzen, aber sicher!
Mit der Software WordPress können Internetauftritte, Blogs, Online-Shops und Websites modern auf PHP-basis erstellt und individuell gestaltet werden.
Bereits über 80 Millionen Mal wurde das Content Management System WordPress heruntergeladen und für ebendiese Zwecke verwendet.
Wie sicher ist WordPress?
In den meisten Fällen lässt sich diese Frage mit folgenden Sätzen beantworten: Solange alle verwendeten Plugins und die WordPress Version auf dem aktuellen Stand sind, ist WordPress eine ziemlich sichere Plattform.
Zusätzlich sollte sich die Systemadministration im Themenbereich Web- und Sicherheitswissen gut auskennen sowie sichere Passwörter aus Buchstaben, Zahlen und Sonderzeichen verwenden.
Letztendlich geht es bei einer sicheren Plattform nicht darum, dass sie unhackbar ist.
Der Fokus liegt eher auf der Minimierung des Hackrisikos durch angepasste Kontrollfunktionen und regelmäßige Softwareaktualisierungen.
Nutzen Sie alle Mittel, die Ihnen in einem angemessenen Budgetrahmen zur Verfügung stehen, um die Chance zu verringern das Ziel eines Hackangriffs zu werden.
Was kann ich tun, um die Sicherheit meines WordPress Auftritts zu erhöhen?
Wir möchten Ihnen an dieser Stelle ein paar Ratschläge geben, mit welchen Sie Ihre eigene Homepage besser schützen können.
Wir als WordPress Agentur stehen Ihnen bei Fragen zu WordPress gerne zur Verfügung!
Ein erster Sicherheitscheck
Sie möchten eine erste, kostenlose Überprüfung Ihrer Website durchführen und sich erst einmal einen generellen Überblick über Ihre WordPress Seitensicherheit verschaffen?
Der WordPress Security Scan ist eine erste Möglichkeit dafür.
Dieser kostenfreie Service der Triop AB aus Schweden prüft alle verwendeten Themes, Plugins und WordPress Versionen auf ihre Aktualität und teilt Ihnen mit, sobald er eine veraltete Software entdeckt.
Professionelles Hosting
Eine von WP Template veröffentlichte Studie hat herausgefunden, dass rund 41 % der erfolgreich durchgeführten Hackangriffe auf Grund mangelhaften Hostings durchgeführt worden sind (Quelle: 1 – WP Template).
In den meisten Fällen können Sie die Sicherheit des Webservers selbst nicht beeinflussen, weshalb Sie unbedingt einen zuverlässigen und sicheren Host auswählen sollten.
Auch wir von der IMMERCE bieten WordPress Hosting an, informieren Sie sich gerne in unserem Artikel dazu.
WordPress regelmäßig aktualisieren
Prüfen Sie Ihre WordPress Installation auf Updates und spielen Sie diese in geregelten Abständen auf.
Worauf Sie dabei achten sollten, wenn Sie die Wartung der Seite selbst durchführen, können Sie im Beitrag WordPress Update nachlesen.
Ein weiterer Tipp: verbergen Sie vor Dritten Ihre WordPress Version!
Gerne übernehmen wir als WordPress Agentur alle sicherheitsrelevanten Aufgaben.
Angepasste LogIn Daten
Verwenden Sie keine Standardwerte für Ihren Benutzernamen, das Passwort und den LogIn Bereich.
Der übliche Administratorzugang zu WordPress erfolgt über den Benutzernamen ‚Admin‘ und ist daher die erste potentielle Angriffsquelle eines Hackers.
Legen Sie sich deshalb direkt einen neuen Nutzernamen mit allen Berechtigungen an und entfernen Sie den Standardadministrator.
Setzen Sie ferner auf starke Passwörter. Wie das geht?
Verwenden Sie in Ihrem Kennwort mindestens 8 Zeichen und integrieren Sie Zahlen, Buchstaben sowie Sonderzeichen.
Das meistgehackteste Passwort, laut den Rechercheergebnissen von Futurezone, ist übrigens 123456, welches über 23,2 Millionen Mal durch Sicherheitslücken aufgedeckt wurde.
Erst auf Platz 4 folgt die kreativste Idee ‚password‘ mit 3,6 Millionen Hits (Quelle 2 – Futurezone).
Üblicherweise kommt man zu Ihrem WordPress LogIn Bereich über www.MEINEADRESSE.de/wp-admin.
Ein erster Sicherheitstipp von uns ist: Benennen Sie diese Adresse mit Hilfe eines Plugins um.
Zusätzlich können Sie den Zugriff von außen durch einen programmierten Verzeichnisschutz und das Begrenzen von LogIn-Versuchen weiter erschweren.
Backups erstellen
Sichern Sie regelmäßig Ihre WordPress Seiten damit Sie im Falle eines Hackangriffs den Ausgangszustand wiederherstellen können.
Falls Sie keine Sicherheitskopie haben, könnte es unter Umständen schwer sein, alle Spuren des Hackers restlos zu entfernen.
Gehen Sie deshalb lieber auf Nummer sicher und lassen Sie uns Ihren WordPress Auftritt auf einer virtuellen Maschine ablegen und sichern.
SSL verwenden
Sichere Webseiten sollten immer ein SSL-Zertifikat haben, da dadurch die Kommunikation zwischen Server und Browser verschlüsselt wird.
Sie erkennen eine SSL-zertifizierte Homepage am angezeigten Schlosssymbol vor der Seitenadresse und an dem Ausdruck https in der URL.
Übrigens markiert Google Chrome seit Juli 2018 Webseiten ohne HTTPS als nicht sicher und schreckt damit viele Nutzer vom Besuch Ihres Onlineauftritts ab.
Setzen Sie verstärkt auf eine gesicherte Verbindung über SSL, um das Vertrauen Ihrer Kundschaft zu behalten!
Neben dem Sicherheitsaspekt bringt SSL auch weitere Vorteile für SEO mit sich: die WordPress Seite wird besser von Google gerankt und lädt gleichzeitig auch schneller.
Verwendung von Plugins begrenzen
Plugins stellen immer eine potentielle Schwachstelle innerhalb Ihres WordPress Auftritts dar.
Wie bereits erwähnt, sollten Sie diese immer aktuell halten.
Ferner ist es aber genauso wichtig, Plugins und Themes auszusortieren.
Prüfen Sie immer, ob Sie eine Erweiterung (noch) brauchen bevor Sie sie in Ihre Webseite integrieren.
Aktuelle PHP-Version nutzen
Neben der Software werden auch Programmiersprachen in regelmäßigen Abständen aktualisiert.
WordPress nutzt PHP um seine Webseiten zu coden.
Sollten Sie in Ihrem Blog eine niedrigere Version als PHP 7.2 (Stand Januar 2021) verwenden, ist für diese Sprache kein Sicherheits-Support mehr gegeben und Ihre Seite ist dadurch angreifbarer.
Erschreckend ist an dieser Stelle die Erkenntnis, dass über 30% der verwendeten PHP-Versionen niedriger als 7.2 sind und damit keine ausreichende Sicherheit mehr bieten. (Quelle 3 – WordPress)
Verwenden einer Zwei-Faktor-Authentifizierung
Wie der Name schon vermuten lässt, beschreibt die Zwei-Faktor-Authentifizierung einen in zwei Stufen geteilten Prozess, bei dem man einerseits das Passwort zur Anmeldung benötigt und andererseits eine weitere, festgelegte Methode.
Im Normalfall kommen für die weitere Methode Telefonanrufe, SMS oder ein zeitlich begrenztes Einweg-Passwort zur Verwendung.
Mit Hilfe dieser Authentifizierung können Brute-Force-Angriffe auf die WordPress Homepage verhindert werden, weil es sehr unwahrscheinlich ist, dass ein Hacker sowohl Zugriff auf Ihr Handy und Ihr WordPress Passwort hat.
Berechtigungen überprüfen
Sehen Sie nach, wer welche Daten und Ordner in Ihrem WordPress Auftritt verwalten kann.
Finden Sie die Balance zwischen zu wenig und zu vielen Berechtigungen der jeweiligen Nutzerkonten.
Folgende Berechtigungen gibt es:
Lese-Berechtigung
Der Benutzer kann die Datei anzeigen und lesen, aber nicht verändern.
Schreibe-Berechtigung
Dieser User kann Dateien anzeigen und verändern oder löschen.
Ausführungs-Berechtigung
Mit diesen Berechtigungen kann der Benutzer Dateien und Skripte ausführen sowie Datensätze löschen.
Typische Empfehlungen für Berechtigungseinstellungen bei Datei- und Ordnerrechten in WordPress:
Dateien
Die Einstellungen für alle Dateien sollten 644 oder 640 sein, außer bei wp-config.php.
wp-config.php sollte 440 oder 400 aufweisen, um zu verhindern, dass andere Benutzer auf dem Server es auslesen können.
Verzeichnisse
Alle Verzeichnisse sollten 755 oder 750 sein.
Es sollten niemals Verzeichnisse als 777 angegeben werden, auch nicht Upload-Verzeichnisse.
Quellenverzeichnis:
- WP Template. (2018, 4. Juli). Safety and Security of WordPress Blog. WPTemplate.com.
http://www.wptemplate.com/tutorials/safety-and-security-of-wordpress-blog-infographic.html - Neumann, D. (2020, 13. August). Passwort gehackt: Diese 5 Codes werden ständig geknackt. futurezone.de.
https://www.futurezone.de/digital-life/article217007623/Diese-5-Passwoerter-werden-staendig-gehackt.html - WordPress. (2018, 28. März). Key WordPress Statistics. WordPress.org.
https://wordpress.org/about/stats/