Sicherheit geht vor

Die wichtigsten WordPress Security Tipps

Aktualisiert am 16. Oktober 2014Wordpress Sicherheit4 Kommentare

Die Sicherheit deines Blogs bzw. deiner Website sollte nicht unterschätzt werden, bedenkt man die vielen Hacker-Angriffe und verbreiteten Trojanern und Viren in der letzten Zeit. Auch WordPress ist nicht immun gegen Angriffe von außen. Mit ein paar grundlegenden Tipps und Hinweisen kannst du aber für einen besseren Schutz deiner Website sorgen.

wordpress sicherheit

1. Backups

Ein regelmäßiges Backup eurer Datenbank ist neben den aktiven Schutzmaßnahmen einer der wichtigsten Punkte überhaupt. Im Fall eines erfolgten Angriffes könnt ihr dadurch auf eine gesicherte Version eures Systems zurückgreifen und erspart euch eine Menge Arbeit. Eine Backup-Möglichkeit eurer Datenbank haben wir euch kürzlich bereits gezeigt. Mit Hilfe eines Backup-Plugins könnt ihr stattdessen ein komplettes WordPress-Backup erstellen bzw. eine regelmäßige, automatische Sicherung eures Systems einrichten. Besonders im Fall einer sehr aktiven Seite mit ständig neuen Inhalten bietet sich das an. Ein beliebtes und umfangreiches Plugin ist für diesen Zweck das BackWPup-Plugin, das sowohl eine kostenlose als auch eine Premium Version anbietet. Es ermöglicht euch eine schnelle und einfache Sicherung eures gesamten wp-content Ordners mit anschließender Exportfunktion auf euren FTP-Server, lokal auf euren Computer oder in eure Dropbox sowie anderen Cloud-Diensten.

2. Regelmäßige Updates

Nachdem ihr die wichtigsten Sicherheitsvorkehrungen getroffen habt, solltet ihr darauf achten, eure WordPress Installation immer auf dem neuesten Stand zu halten. Seit WordPress 3.7 gibt es die automatische Updatefunktion, die nun ein manuelles Aktualisieren unnötig macht. Mit dazu gehören allerdings auch eure aktiven Plugins, sowie euer genutztes Theme, die ihr möglichst immer sofort auf die neueste Version aktualisieren solltet.

3. Zugriffe verhindern

In diesen Bereich gehören verschiedene Sicherheitsaspekte, die einen ungewollten Zugriff von außen erschweren bzw. verhindern sollen.

Standardnutzer „admin“

Der Standard Benutzername, der in WordPress zu Beginn bereits eingerichtet ist, lautet „admin“ und ist eine leichte Zugriffsmöglichkeit für Hacker. Diesen solltet ihr unbedingt entfernen bzw. ändern und mit einem sicheren Passwort versehen.

Autorennamen aus URL entfernen

Aus den gleichen Gründen wie im vorigen Punkt, empfiehlt es sich den Namen der Autoren aus der Archiv-URL zu entfernen. Eine Anleitung für die Umsetzung findet ihr hier.

WP-Login Limitierung

Im Normalfall sind unendlich viele Login-Versuche möglich, die es einem Bot erleichtern, eure Benutzer-Kombination zu knacken. Das Limit Login Attempts Plugin verhindert eine unbegrenzte Anzahl an Login-Versuchen. Zusätzlich zur Konfiguration der möglichen Anmeldeversuche und Sperrfrist könnt ihr gesperrte IPs protokollieren und anschließend bei Bedarf auch dauerhaft blockieren.

limit login attempts

WP-Login verändern

Mit dem Plugin Lockdown WP Admin habt ihr die Möglichkeit euer Login-Menü für öffentliche Zugriffe zu sperren, die Verzeichnis-URL von /wp-admin in eine beliebig andere zu ändern sowie eine private HTTP-Authentifizierung einzurichten.

4. Sicherheitsplugins

Better WordPress Security

Das Nummer 1 WordPress Sicherheits-Plugin mit bereits mehr als 1,6 Millionen Downloads bietet sehr umfangreiche Funktionen zum Schutz und zur Absicherung eurer WordPress Installation.

Nach der Aktivierung des Plugins, wird euch zunächst empfohlen ein Backup eurer Dateien zu erstellen. Anschließend könnt ihr einen vorkonfigurierten „Ein-Klick Schutz“ aktivieren, der eure Website vor grundlegenden Zugriffen von außen schützen soll. Natürlich könnt ihr jederzeit individuelle Einstellungen des Plugins vornehmen, doch in den meisten Fällen reicht diese Konfiguration aus. Folgende Funktionen werden aktiv:

  • Nicht-Admins sehen nicht länger verfügbare Update-Versionen im WordPress Dashboard
  • Der Standard-Benutzername „Admin“ wird entfernt
  • Automatisches Blocken der Besuche von Bots
  • Schutz vor Brute Force Attacken im WP-Login Menu

Anschließend erscheint eine Liste aller Funktionen des Plugins, in der eure kürzlich aktivierten Punkte grün markiert sind. Alle anderen Funktionen könnt ihr nun nach Belieben an-oder ausschalten.

better wp security

WordFence

Dieses Plugin dient ebenfalls zum Schutz von WordPress und bietet eine Firewall, einen möglichen Virus Scan sowie einer Traffic-Überwachung in Real-Time. Sehr nützlich sind außerdem verschiedene Möglichkeiten des Blockens von bestimmten Zielländern bzw. spezifischen IPs.

5. Antispam-Plugins

Um ungewollten Kommentar-Spam zu vermeiden, solltet ihr ein Antispam-Plugin installieren und jederzeit aktiviert lassen. Über Kommentare wird oft versucht schädlichen Code bzw. Links zu verbreiten, die im schlimmsten Fall eure gesamte Website lahm legen können. Hierfür eignet sich vor allem Akismet sehr gut, das bereits standardmäßig bei WordPress vorinstalliert ist, aber eine kostenpflichtige Registrierung und Aktivierung benötigt. Mit der kostenlosen Variante Antispam Bee habt ihr eine gute Alternative, die sich aufgrund guten Datenschutzes besonders für Deutschland eignet.

Fazit

Anhand der aufgeführten Punkte wollten wir euch die wichtigsten Aspekte zeigen, die zu einer erhöhten Sicherheit eurer WordPress Seite führen können. Das Thema wird nach wie vor häufig unterschätzt und die Möglichkeiten für ein auftretendes Sicherheitsproblem werden nicht weniger. Daher solltet ihr euch auf jeden Fall mit dem Thema auseinandersetzen und die für euch persönlich wichtigsten Vorkehrungen treffen.

Wie wichtig ist euch die Sicherheit eurer Daten bzw. welche Vorkehrungen und Maßnahmen nehmt ihr dagegen vor? Wart ihr bereits einmal Opfer eines Hacker-Angriffs?

Kommentare zu "Die wichtigsten WordPress Security Tipps"
  1. Cornelia schrieb am 12. November 2015, um 09:10 Uhr:

    Leider funktioniert der Link „Autorennamen aus URL entfernen“ nicht. Auf einem Blog von mir habe ich das Problem, dass zwar auf meinen Blog-Seiten und Beiträgen der Admin- Name nicht angezeigt wird, aber im Autoren-Archiv. Und der erscheint bei Google. Wie kann ich das verhindern?

  2. Björn schrieb am 24. Januar 2016, um 23:52 Uhr:

    Ich bin irgendwie überfordert.
    Welche Plugin sollte ich lieber nehmen:
    * iThemes Security (Better WordPress Security)
    oder
    * Wordfence Security

    Gruß

  3. Xenia schrieb am 10. August 2016, um 21:27 Uhr:

    Das ‚Limit Login Attempts‘ Plugin wurde zuletzt vor VIER J. aktualisiert. Ich würde den nicht mehr empfehlen.
    Eine sehr gute Alternative ist das Plugin ‚Cerber Limit Login Attempts‘: https://wordpress.org/plugins/wp-cerber/

    p.s. Nebenbei: Akismet ist in Deutschland nicht datenschutzkonform

    1. Katharina schrieb am 11. August 2016, um 10:22 Uhr:

      Hallo Xenia,

      danke für deinen Plugin-Tipp!

      Was Akismet angeht: man muss eben einen entsprechenden Hinweis verwenden, siehe hier.

      Viele Grüße,
      Katharina

Schreibe einen Kommentar

Pressengers lebt von der Wordpress Community, beteilige dich mit einem Kommentar!
Deine E-Mail Adresse wird nicht veröffentlicht.
Kommentare die Werbung oder eine reine Linkplatzierung darstellen, werden gelöscht oder von den Links befreit ;) Wenn du etwas wertvolles und relevantes beitragen kannst, ist dein Link willkommen.