WordPress absichern

März 2021

Wordpress absichern

[toc]WordPress ist ein beliebtes Management Content System, kurz CMS. Es wird weltweit genutzt. Dank der großen Verbreitung ist es ein Angriffsziel für unautorisierte Eingriffe in die Software. Sicherheitsrisiken können demnach zu einem großen Problem werden. Die Frage nach Sicherheit ist deshalb für die Anwender von WordPress ein ständiges Thema. „Wie kann ich WordPress absichern?“, ist die am häufigsten gestellte Frage der Community. Dieser Beitrag beantwortet deine dringlichsten Fragen und weist auf Schwachstellen hin. Es werden viele relevante Bereiche besprochen, wie man WordPress gut absichert. WordPress wird mit den entsprechenden Maßnahmen zu einem sicheren und geschützten Arbeitstool.

Aus welchen Grund sollten unautorisierte Personen WordPress hacken?

WordPress berücksichtigt alle technischen Anforderungen zur Suchmaschinenoptimierung, kurz SEO. Der Nutzer der Software sollte eben wegen der weltweiten Beliebtheit Sicherheitsvorkehrungen treffen, um sich vor Hackerangriffen zu schützen. Gründe, die Software zu cracken, sind für einen Hacker nicht das Ausspionieren der Konkurrenz und auch nicht persönliche Beweggründe. Im Vordergrund stehen beim Hacken einer Website in der Regel die unbefugte Platzierung von Produkten oder Links zur SEO. Der Zeitfaktor spielt in diesem Zusammenhang eine große Rolle. Denn je länger dieser unberechtigte Eingriff unentdeckt bleibt, desto größer können die möglichen Konsequenzen für den Webseitenbetreiber sein.

WordPress absichern: Was kann der WordPress-User tun?

Die Fragen zur Sicherheit sollten Maßnahmen enthalten, die die Sicherheit des Systems so weit als möglich gewährleisten. Das betrifft unter anderem Aspekte wie die Einrichtung der Zugriffsberechtigung, die umfassende Datensicherung, das Öffnen von ausschließlich vertrauenswürdiger Quellen, das Schließen von Sicherheitslücken sowie das regelmäßige Updaten von WordPress und andere Faktoren, die im Einzelnen hier beschrieben werden.

Den Zugriff einschränken

Eine intelligente Zugriffsbeschränkung verringert Lücken im System und macht es einem potenziellen Eindringling praktisch unmöglich, das System zu hacken.

Aktualisierungen durchführen

Die regelmäßige Aktualisierung der Software und Kenntnisse zum aktuellen Standard von WordPress schützt das System. Tritt dennoch aller Vorsichtsmaßnahmen der Worst Case ein, dann kann durch die vorausschauende Datensicherung und Wiederherstellung das System schnell wieder zum Funktionieren gebracht werden.

Überlegte Quellenauswahl

Vertrauenswürdige Quellen sind die Voraussetzung für sicheres Arbeiten. Die Nutzung der PlugIns, die von WordPress zur Verfügung gestellt werden, sollten den allgemeinen Sicherheitsanforderungen weitestgehend genügen.

Sicherheitslücken des PCs erkennen

Schütze den PC vor Sicherheitslücken. Sicherheit vor unerwünschten Störungen bietet ein regelmäßig aktualisiertes Betriebssystem. Besonders der Webbrowser benötigt regelmäßige Updates. Vermeide besonders auch in diesem Zusammenhang den Aufruf von nicht vertrauenswürdigen Websites.

Schwachpunkte von WordPress vermeiden

WordPress Schwachpunkte durch regelmäßige Aktualisierung vermeiden. Die Softwareentwickler von WordPress sind unablässig dabei, bekannt gewordene Lücken zu schließen und die Software kontinuierlich auf den neuesten Stand zu bringen.

Regelmäßig Updaten

Die stets aktuelle Version steht zu jeder Zeit auf der Website von WordPress den Usern zur Verfügung. Unter der URL www.wordpress.org ist die offizielle Version kostenlos erhältlich. Es ist nicht empfehlenswert, WordPress von einer Website eines anderen Anbieters zu laden beziehungsweise zu installieren. Vertraue der Security der sicheren Domain wordpress.org.

Starke Passwörter

Das gewählte Passwort sollte sich aus Buchstaben, Zeichen und Zahlen zusammensetzen. Bekannte Daten wie Geburtstage, Hochzeitsdaten und Ähnliches ist für Hacker leicht herauszufinden und zu cracken. Wähle ein starkes Passwort, das schwer zu erraten ist. Das macht es auch mit der Brute-Force-Methode deutlich schwieriger, Passwörter herauszufinden oder Daten zu entschlüsseln.

Die Sicherheit der Datenbank

Betreibst du verschiedene Blogs auf einem Server, dann sorge für separate Datenbanken mit spezifischer Nutzung. Bei der Erstinstallation von WordPress besteht bereits die Möglichkeit der Separierung. Wer MYSQL selbst verwaltet, sollte den Fernzugriff per TCP von Anfang an deaktivieren. Informiere dich ausführlich über MYSQL im Secure MYSQL Database Design.

PlugIns

Halte die von WordPress genutzten PlugIns auf dem aktuellen Stand. Die regelmäßige Aktualisierung ist zum Schutz selbstverständlich. Unbenutzte PlugIns entfernst du am besten vom System.

Firewall PlugIn

Eine Vielzahl von PlugIns und diversen Diensten dienen als Firewall für deine Domain. Den Zugriff auf den Webserver verändern einige Dienste schon bevor WordPress aufgerufen wird, indem sie die .htaccess verändern. Das ist beispielsweise „iThemes“ oder „All in one WP Security“. Plugins, wie das WordFence PlugIn stoppen schon beim Start von WordPress Angriffe auf das System.

Web Firewall

Auf dem Server kannst du natürlich auch eine Firewall installieren. Eine bekannte ist die ModSecurity. Die Webfirewall durchsucht Inhalte nach schädlichen Daten schon während des Öffnens der Software und filtert sie, wenn vorhanden, sofort heraus.

Datensicherung

Das A und O zur Sicherung der Daten ist ein regelmäßig durchgeführtes Backup. Die Verschlüsselung mittels MD5-Schlüssel jeder Backup-Datei und die Auslagerung auf Read-Only-Medien stellt sicher, dass nur unmanipulierte Daten gespeichert werden. WordPress bietet dir das kostenfreie PlugIn „UpdraftPlus“ zur automatischen oder manuellen Sicherung des installierten WordPress-Pakets an.

Zurück

Was sind WordPress Plugins?

August 2020

Wordpress Plugins

[toc] WordPress als Content-Management-System (CMS) beinhaltet viele vorinstallierte Funktionen. Die WordPress-Software kann aber nicht alle Eventualitäten abdecken – speziell, wenn es um die Individualisierung einer WordPress-Seite geht. Zweckmäßige Erweiterungen des Systems funktionieren über sogenannte WordPress Plugins. Dabei können Plugins sowohl die Funktion einer Webseite sowie die Designelemente verändern und erweitern. Das Fokussieren auf spezifische, tatsächlich benötige Plugins stellt für viele Webseitenbetreiber eine gute Strategie dar. Der Pool an WordPress Plugins ist sehr groß.

Was können WordPress Plugins leisten?

Nach aktuellen Zahlen beläuft sich die Anzahl verfügbarer WordPress Plugins auf rund 50.000. Viele unterscheiden sich, manche bieten die gleiche Lösung für ähnliche Herausforderungen. Grundlegend bieten die Plugins im WordPress-CMS die Möglichkeit, das Aussehen und die Funktion einer WordPress-Webseite von der ursprünglichen Programmierung abweichend zu gestalten. Im Backend können Plugins die Verwaltung der Inhalte verändern, im Frontend können sie Funktionen für die Besucher positiv beeinflussen. Es gibt WordPress Plugins für beinahe jeden Nutzen. Gerne verwenden Webseitenbetreiber unter anderem Plugins …
  • zur Datensicherung,
  • um Bildergalerien zu erstellen,
  • um einen Spamfilter einzurichten,
  • zur Erleichterung der SEO-Einstellungen,
  • um ein Shopsystem wie WooCommerce zu integrieren,
  • um die WordPress Pagespeed zu erhöhen,
  • um einen geschützten Mitgliederbereich zu schaffen,
  • zur Erhöhung der Webseitensicherheit,
  • zur Erstellung von Kontaktformularen
… und vielen weiteren individuellen Anpassungen.

Vorteile von WordPress Plugins

Für WordPress-Nutzer, die keine bis wenige Kenntnisse vom WordPress-Core (programmieren) haben, bieten die WordPress Plugins die Möglichkeit, Funktionserweiterungen zu verwenden, ohne Modifizierungen am Kern vornehmen zu müssen. Dies erspart den Nutzern nicht nur Zeit, sondern sorgt auch dafür, dass etwaig durchgeführte Änderungen auch dann erhalten bleiben, sollte man ein WordPress-Update durchführen. Um erfolgreich eine WordPress-Seite zu betreiben, muss man nicht jede einzelne Funktion neu erfinden. Beispielsweise können (und sollten) Kontaktformulare dem Besucher vertraut sowohl in der Funktion als auch im Aussehen sein. So verwendet er diese bedenkenloser. Daher genügt an dieser Stelle ein bereits getestetes Plugin vollkommen, um die Funktion sinnvoll auszufüllen. Das spart zum einen Zeit, zum anderen aber auch Kosten. Denn, man muss keine Programmier-Experten anheuern, um die Veränderungen durchführen zu lassen. Plugins sind ein probater Weg, professionelles und höchst anspruchsvolles Webdesign für einen guten Kosten-Nutzen-Faktor zu realisieren. Einen weiteren Vorteil kann man sich als Webseiten-Betreiber selbst sichern. Setzt man bei WordPress Plugins auf gute Qualität, kann sich dies auszahlen. Diese werden meist kontinuierlich weiterentwickelt. Über Updates werden damit die verwendeten Plugins immer auf dem neuesten Stand gehalten. Man muss sich also nicht selbst um die technische Modernisierung kümmern. Dieser Vorteil sichert auch die durchgehende Kompatibilität der Plugins mit der aktuellen WordPress-Version.

WordPress Plugins mit Bedacht verwenden

Es kann verlockend sein, sich eine große Anzahl toller WordPress Plugins herunterzuladen und zu installieren. Grundsätzlich sollte man allerdings nur wirklich notwendige Plugins installieren. Ein Grund, sich auf die notwendigen zu beschränken, ist, dass jede Erweiterung eine zusätzliche Angriffsfläche für die Webseite bietet. Hinzukommt, dass die Seiten-Performance (auch die WordPress Pagespeed) unter einigen Plugins spürbar leiden kann. Am besten werden Wordpress Plugins verwendet, bei denen man sicher ist, dass sie auch weiterentwickelt werden. Wer bei der Wahl von Plugins auf Nummer sicher gehen will, kann sich dabei auf den Rat von Experten verlassen. Das unreflektierte Anwenden von Plugins ist ein Grund, warum WordPress teilweise mit dem Ruf zu kämpfen hat, ein unsicheres CMS zu sein. Meist fußt dieses Missverständnis auf unseriösen oder einer unsachgemäßen Handhabe redlicher Plugins.

WordPress Plugins kurz erklärt

Mit WordPress Plugins erweitert und individualisiert man bestehende WordPress-Software. Je komplexer die angestrebte Veränderung sein soll, desto eher sollte man im Vorfeld einen WordPress-Plugin-Experten konsultieren.

Zurück