WordPress Ratgeber

WordPress Sicherheit

Wie man die Sicherheit seiner WordPress Webseite erhöht.

Inhaltsverzeichnis des Beitrags

WORDPRESS SICHERHEIT

Warum man seine WP Installation absichern sollte!

Hackerangriffe auf Webseiten sind etwas ganz normales. Bei den meisten Angriffen handelt es sich dabei um automatisierte Angriffe. Zielgerichtet Angriffe lohnen sich für Hacker nur wenn die Webseite viele tausend Besucher pro Tag hat und z. B. ein Shop integriert ist wo Zahlungsdaten der Käufer abgegriffen werden können.

Der Großteil der Webseiten ist automatisierten Angriffen ausgesetzt. Diese Art von Angriffen prüft WordPress Webseiten auf bekannte Sicherheitslücken oder auf schwache Passwörter. 

Solchen Angriffen kann man aus dem Weg gehen indem man keine WP Standardinstallation hat und ein paar Vorkehrungen trifft.

Basischutz

Die Basics der Webseiten-Sicherheit

Wie oben bereits erwähnt sind automatisierte Angriffe auf leichte Beute aus. Sie testen z. B. tausende Passwörter am Adminbereich oder nutzen bekannte Sicherheitslücken von Plug-ins und Themes aus. Durch folgende Maßnahmen geht man einem Großteil solcher Angriffe aus dem Weg.

  • Nennen Sie den Adminuser nicht „Admin“. 
  • Ändern Sie bei der Installation den Datenbank Präfix.
  • Verlegen Sie den Adminbereich.
  • Nutzen Sie starke Passwörter.
  • Installieren Sie einen Bruteforce Schutz.
  • Halten Sie Ihren Webspace, WordPress, Plug-ins & Themes immer aktuell.
  • Achten Sie beim Installieren von Plug-ins und Themes darauf wann diese das letzte mal aktualisiert wurden und ob sie mit Ihrer WP Version kompatibel sind.
  • Achten Sie beim Installieren von Plug-ins und Themes darauf das diese von sicheren Quellen stammen.

WordPress Adminuser

WordPress Admin nachträglich anpassen

Hat man dem WordPress Admin einen Benutzernamen vergeben wie „Admin“ oder einen anderen leicht zu erratenen Namen ( Webmaster, Administrator, Admin1, … ), lässt sich dieser nicht mehr ohne weiteres anpassen.

Die Lösung ist einen neuen Admin anzulegen, mit einem sicheren Benutzernamen und Passwort. Ein sicherer Benutzername sollte nicht nur ein Name sein, sondern auch eine Zeichenfolge beinhalten wie hier in diesem Beispiel: christian_76thnbtinoi

Das Passwort sollte aus Buchstaben, Zahlen und Sonderzeichen bestehen und min. 10 Zeichen lang sein: dU2CfVpp)GgT?!ln!cM

Nachdem man also den neuen Admin angelegt hat, loggt man sich mit diesen Zugangsdaten in seine WordPress Webseite ein, löscht den alten Admin und bestätigt das die Inhalte die dem alten Admin gehörten, an den neuen Admin übertragen werden.

Datenbank absichern

Den WordPress Datenbank Prefix ändern

Vor dem Anpassen der Datenbank sollte ein Backup angelegt werden.

Installiert man WordPress frisch wird Standardmäßig der Datenbank Präfix wp_ verwendet. Hat ein Plug-in eine Sicherheitslücke die durch eine SQL Injection ausgenutzt werden kann, ist es dem Angreifer möglich Daten aus der SQL Datenbank zu ziehen. Dazu muss der Angreifer den Namen der Tabelle kennen. Die Tabelle die z. B. die Benutzernamen enthält lautet standardmäßig wp_users. Ändert man bei der Installation oder nachträglich den Präfix, könnte die Tabelle z. B. so lauten: 67tbguzth_users. Das macht es einem Angreifer sehr viel schwerer Daten aus der Datenbank zu ziehen weil seine Abfrage mit dem Standard Präfix ins leere laufen würde. Er müsste also zuerst mal den richtigen Tabellen Namen herausfinden.

Um den Datenbank Präfix zu ändern loggt man sich über sein Hosting Panel ein und öffnet den PHPMyAdmin. Hier wählt man die entsprechenden Tabellen aus und bearbeitet diese. Zum Ändern des Präfixes gibt es die Funktion „Tabellenprefix ersetzen“.

Klick man darauf gibt man den alten sowie den neuen Präfix an und ändert diesen.

Nachdem der Präfix geändert wurde muss nun noch die wp-config.php der WP Installation angepasst werden.

Hier muss man den neuen Präfix eintragen damit WordPress sich wieder korrekt mit der Datenbank verbinden kann. Die WP Config kann man entweder über einen Dateimanager anpassen sofern der Hoster einen solchen zur Verfügung stellt oder per FTP.

WordPress Brutefoce

Bruteforce Angriffe abwehren

Mit Hilfe von Bruteforce Angriffen versuchen Hacker an die Zugangsdaten des WordPress Admins zu kommen. Bei der Standard Installation von WordPress könnte ein Angreifer unendliche viele Login Kombinationen ausprobieren. Dies lässt sich aber z. B. mit dem Plug-in WP Cerber Security, Anti-spam & Malware Scan – WordPress plugin | WordPress.org unterbinden. Das Plug-in sorgt dafür das ein Benutzer nur eine bestimmte Anzahl von Loginversuchen hat die man selbst definieren kann. So kann man z. B. festlegen das nach 5 maliger Eingabe eines falschen Passworts die IP Adresse des Angreifers gesperrt wird. Zudem bietet schützt das Plug-in auch die XMLRPC Schnittstelle vor Bruetforce Angriffen.

WP-Admin

Den WordPress Admin Bereich verstecken

Der Standardmäßige Login bei WordPress läuft über die wp-login.php oder den Pfad /wp-admin/. Diese Loginmöglichkeit lässt sich aber „verstecken“. Mit dem Plug-in WP Cerber Security, Anti-spam & Malware Scan – WordPress plugin | WordPress.org hat man die Möglichkeit einen selbst gewählten Pfad für den Login anzugeben. Aus /wp-admin/ wird dann z. B. /chris-56746/ um den Adminbereich aufzurufen. Zudem lässt sich in WP Cerber festlegen das die IP Adresse eines potenziellen Angreifers der versucht die wp-login.php aufzurufen sofort deaktiviert wird.

Man sollte aber daran denken, das wenn die entsprechenden Einstellungen vorgenommen wurden, man sich nur noch über den selbst gewählten Pfad einloggt da man sich sonst für 1 Stunde aussperrt.

2-Factor

WordPress 2-Faktor Authentifizierung

Eine 2-Faktor Authentifizierung legt die Sicherheits-Latte nochmal ein bisschen höher.  Denn selbst wenn ein Angreifer an das Admin Passwort gekommen ist kann er sich nur einloggen wenn er auch den Code aus der E-Mail, SMS oder Authenticator App besitzt. Zudem verfällt der Code nach idealerweise 30 Sekunden wieder, womit ein Bruteforce Angriff auch nicht möglich ist.

Mit dem Plug-in Two Factor Authentication – WordPress plugin | WordPress.org von Updraftplus, die auch eines der besten Backup Plug-ins entwickeln, lässt sich das leicht in WP integrieren.

Fazit

Security through obscurity

Die oben genannten Aktionen sind zusätzliche Sicherheitslayer die man einsetzen kann um es Angreifern so schwer wie möglich zu machen. In der Sicherheitsszene hält man nicht viel von „Security through obscurity“, also Sicherheit durch verstecken oder verschleiern.

Man sollte auch nicht den Admin Bereich verstecken um sich die „lästigen“ Updates sparen zu können. Damit eine Webseite wirklich sicher ist sollte diese immer aktuell gehalten werden. Das gilt nicht nur für anstehnde Updates von WordPress, Plug-ins und Thems, sondern auch für die PHP Version oder die Passwörter zum Hosting Panel.

Nur wer sich die Basics zu Herzen nimmt und sich dauerhaft um alle Aktualisierungen kümmert minimiert das Risiko gehackt zu werden.

webdesigner

AUTOR

Christian Galster

Hi, mein Name ist Christian ( ’78er ), ich bin Webdesigner / Webentwickler mit der Spezialisierung auf WordPress. Wenn du mit mir zusammenarbeiten willst dann kontaktiere mich doch einfach oder besuche meine Profile auf LinkedIn oder der Freelancer Plattform Malt.

Warum Managed WordPress?

Eine schnelle und fehlerfrei funktionierende Webseite steigert nicht nur die Usability sondern auch den „SEO Faktor“. Das bedeutet das Sie mehr Aufträge generieren und sich das Google-Ranking Ihrer Webseite verbessern kann.

Ihre Vorteile

  • Aktuelle Webseite
  • Die neusten PHP Updates
  • Schnellere Ladezeiten
  • Bessere SEO Werte
  • Erhöhte Sicherheit
  • Zufriedenere Besucher
  • Schnelle Fehlerbehebung
  • Fester Ansprechpartner
Tarife

Managed WordPress Services

Wir kümmern uns zuverlässig um den reibungslosen Betrieb Ihrer WordPress Webseite. Monat für Monat, Jahr für Jahr.

29€

Basic Tarif

  • WordPress Updates
  • Plug-in Updates
  • Theme Updates
  • Backup vor Updates
  • Funktionsprüfung

39€

Pro Tarif

  • Alles aus dem Basic Tarif
  • Sicherheitsmanagement
  • Uptime Monitoring
  • Backup Routine
  • PHP Updates

59€

Business Tarif

  • Alles aus dem Pro Tarif
  • Woocommerce Updates
  • Ladezeiten Optimierung
Preise sind monatlich zzgl. MwSt.
Wir freuen uns

Jetzt Kontakt aufnehmen