WordPress absichern

März 2021

Wordpress absichern

[toc]WordPress ist ein beliebtes Management Content System, kurz CMS. Es wird weltweit genutzt. Dank der großen Verbreitung ist es ein Angriffsziel für unautorisierte Eingriffe in die Software. Sicherheitsrisiken können demnach zu einem großen Problem werden. Die Frage nach Sicherheit ist deshalb für die Anwender von WordPress ein ständiges Thema. „Wie kann ich WordPress absichern?“, ist die am häufigsten gestellte Frage der Community. Dieser Beitrag beantwortet deine dringlichsten Fragen und weist auf Schwachstellen hin. Es werden viele relevante Bereiche besprochen, wie man WordPress gut absichert. WordPress wird mit den entsprechenden Maßnahmen zu einem sicheren und geschützten Arbeitstool.

Aus welchen Grund sollten unautorisierte Personen WordPress hacken?

WordPress berücksichtigt alle technischen Anforderungen zur Suchmaschinenoptimierung, kurz SEO. Der Nutzer der Software sollte eben wegen der weltweiten Beliebtheit Sicherheitsvorkehrungen treffen, um sich vor Hackerangriffen zu schützen. Gründe, die Software zu cracken, sind für einen Hacker nicht das Ausspionieren der Konkurrenz und auch nicht persönliche Beweggründe. Im Vordergrund stehen beim Hacken einer Website in der Regel die unbefugte Platzierung von Produkten oder Links zur SEO. Der Zeitfaktor spielt in diesem Zusammenhang eine große Rolle. Denn je länger dieser unberechtigte Eingriff unentdeckt bleibt, desto größer können die möglichen Konsequenzen für den Webseitenbetreiber sein.

WordPress absichern: Was kann der WordPress-User tun?

Die Fragen zur Sicherheit sollten Maßnahmen enthalten, die die Sicherheit des Systems so weit als möglich gewährleisten. Das betrifft unter anderem Aspekte wie die Einrichtung der Zugriffsberechtigung, die umfassende Datensicherung, das Öffnen von ausschließlich vertrauenswürdiger Quellen, das Schließen von Sicherheitslücken sowie das regelmäßige Updaten von WordPress und andere Faktoren, die im Einzelnen hier beschrieben werden.

Den Zugriff einschränken

Eine intelligente Zugriffsbeschränkung verringert Lücken im System und macht es einem potenziellen Eindringling praktisch unmöglich, das System zu hacken.

Aktualisierungen durchführen

Die regelmäßige Aktualisierung der Software und Kenntnisse zum aktuellen Standard von WordPress schützt das System. Tritt dennoch aller Vorsichtsmaßnahmen der Worst Case ein, dann kann durch die vorausschauende Datensicherung und Wiederherstellung das System schnell wieder zum Funktionieren gebracht werden.

Überlegte Quellenauswahl

Vertrauenswürdige Quellen sind die Voraussetzung für sicheres Arbeiten. Die Nutzung der PlugIns, die von WordPress zur Verfügung gestellt werden, sollten den allgemeinen Sicherheitsanforderungen weitestgehend genügen.

Sicherheitslücken des PCs erkennen

Schütze den PC vor Sicherheitslücken. Sicherheit vor unerwünschten Störungen bietet ein regelmäßig aktualisiertes Betriebssystem. Besonders der Webbrowser benötigt regelmäßige Updates. Vermeide besonders auch in diesem Zusammenhang den Aufruf von nicht vertrauenswürdigen Websites.

Schwachpunkte von WordPress vermeiden

WordPress Schwachpunkte durch regelmäßige Aktualisierung vermeiden. Die Softwareentwickler von WordPress sind unablässig dabei, bekannt gewordene Lücken zu schließen und die Software kontinuierlich auf den neuesten Stand zu bringen.

Regelmäßig Updaten

Die stets aktuelle Version steht zu jeder Zeit auf der Website von WordPress den Usern zur Verfügung. Unter der URL www.wordpress.org ist die offizielle Version kostenlos erhältlich. Es ist nicht empfehlenswert, WordPress von einer Website eines anderen Anbieters zu laden beziehungsweise zu installieren. Vertraue der Security der sicheren Domain wordpress.org.

Starke Passwörter

Das gewählte Passwort sollte sich aus Buchstaben, Zeichen und Zahlen zusammensetzen. Bekannte Daten wie Geburtstage, Hochzeitsdaten und Ähnliches ist für Hacker leicht herauszufinden und zu cracken. Wähle ein starkes Passwort, das schwer zu erraten ist. Das macht es auch mit der Brute-Force-Methode deutlich schwieriger, Passwörter herauszufinden oder Daten zu entschlüsseln.

Die Sicherheit der Datenbank

Betreibst du verschiedene Blogs auf einem Server, dann sorge für separate Datenbanken mit spezifischer Nutzung. Bei der Erstinstallation von WordPress besteht bereits die Möglichkeit der Separierung. Wer MYSQL selbst verwaltet, sollte den Fernzugriff per TCP von Anfang an deaktivieren. Informiere dich ausführlich über MYSQL im Secure MYSQL Database Design.

PlugIns

Halte die von WordPress genutzten PlugIns auf dem aktuellen Stand. Die regelmäßige Aktualisierung ist zum Schutz selbstverständlich. Unbenutzte PlugIns entfernst du am besten vom System.

Firewall PlugIn

Eine Vielzahl von PlugIns und diversen Diensten dienen als Firewall für deine Domain. Den Zugriff auf den Webserver verändern einige Dienste schon bevor WordPress aufgerufen wird, indem sie die .htaccess verändern. Das ist beispielsweise „iThemes“ oder „All in one WP Security“. Plugins, wie das WordFence PlugIn stoppen schon beim Start von WordPress Angriffe auf das System.

Web Firewall

Auf dem Server kannst du natürlich auch eine Firewall installieren. Eine bekannte ist die ModSecurity. Die Webfirewall durchsucht Inhalte nach schädlichen Daten schon während des Öffnens der Software und filtert sie, wenn vorhanden, sofort heraus.

Datensicherung

Das A und O zur Sicherung der Daten ist ein regelmäßig durchgeführtes Backup. Die Verschlüsselung mittels MD5-Schlüssel jeder Backup-Datei und die Auslagerung auf Read-Only-Medien stellt sicher, dass nur unmanipulierte Daten gespeichert werden. WordPress bietet dir das kostenfreie PlugIn „UpdraftPlus“ zur automatischen oder manuellen Sicherung des installierten WordPress-Pakets an.

Zurück