Die wichtigsten Sicherheits-Regeln für Ihre WordPress-Website

Sicherheit für Ihre WordPress-WebsiteWordPress ist ein großartiges System zur Erstellung von Websites. Vor einer Weile habe ich eine Statistik gesehen, dass zwischenzeitlich mehr als 70 Millionen Websites weltweit auf WordPress basieren – Tendenz steigend. Leider finde ich den Link zu dieser Statistik nicht mehr, sonst würde ich sie hier gern verlinken.

Diese große Popularität hat jedoch einen großen Haken: Da das System so weit verbreitet ist, ist es auch ein beliebtes Ziel für Angriffe. Zwar bemühen sich die Entwickler redlich, alle bekannt werdenden Sicherheitslücken zügig zu schließen und machen dabei auch einen ausgesprochen guten Job.

Aber WordPress-Anwender lassen häufig – oft unfreiwillig – einige Türen für Angreifer weit offen stehen.

Die wichtigsten Regeln, um diese Türen zu schließen und Ihre WordPress-Website oder Ihren Blog vor Angriffen besser schützen können möchte ich in diesem Artikel kurz erläutern:

Benutzername des Administrators sollte nicht „Admin“ sein

In früheren WordPress-Versionen war „Admin“ der Standard-Benutzername für den ersten Administrator einer WordPress-Seite. In den aktuellen Versionen kann der Name zwar frei gewählt werden, aber die Verlockung, „Admin“ zu wählen ist doch recht groß.

Das wissen auch potenzielle Angreifer, die daher gern versuchen, sich mit diesem Benutzernamen in das Backend der WordPress-Installation einzuwählen. Oft werden dann ganze Salven von zufälligen Buchstabenkombinationen auf die LogIn-Seite geschickt und/oder ganze Wörterbücher durchgeprüft. Wenn der Benutzername passt ist die Chance so relativ groß, dass das richtige LogIn erraten wird und so die WordPress-Installation für den Angreifer „offen“ ist.

Wenn Sie einen Blog haben und bereits den Nutzer „Admin“ eingerichtet haben, können Sie das jedoch relativ einfach ändern:

  • Erstellen Sie einen neuen Benutzer mit Administrator-Rechten
  • Loggen Sie sich aus Ihrem WordPress-Backend aus und mit den Zugangsdaten des neuen Administrators wieder ein
  • Löschen Sie den Benutzer „Admin“

Hinweis: Die bisherigen von diesem Nutzer verfassten Artikel werden nicht einfach gelöscht sondern können auf einen anderen Nutzer übertragen werden. Bitte beachten Sie dafür den nächsten Punkt.

Der Benutzer, unter dem Sie bloggen sollte nicht identisch sein mit Ihrem Administrator

Der Grund dafür ist derselbe wie für den Benutzer-Namen „Admin“: Der Name, unter dem gebloggt wird, wird in der Regel auch im Blog öffentlich angezeigt. Angreifer müssen auch hier nur noch das passende Passwort erraten, um Zugriff auf das WordPress-Backend zu erhalten.

Sie sollten daher einen Benutzer anlegen, der lediglich Redaktionsrechte hat (d.h. verfassen und freigeben von Artikeln und Seiten) und diesen Benutzer verwenden, um Artikel für den Blog zu schreiben und zu veröffentlichen.

Wenn Sie aktuell nur einen Benutzer „Admin“ nutzen, dann legen Sie bitte den Redaktions-Benutzer ebenfalls an, bevor Sie den Benutzer „Admin“ löschen. Dann können Sie alle bestehenden Blogartikel direkt auf den neuen Redaktions-User verschieben.

Ein sicheres Passwort verwenden

Aus den beiden vorgenannten Punkten ergibt es sich, dass selbstverständlich auch das Passwort für WordPress ein sicheres Passwort sein sollte. Beliebte Kombinationen wie 1234, passwort oder ähnliches sind schnell geknackt.

Ein sicheres Passwort

  • Hat mindestens 8 Zechen
  • Enthält Groß- und Kleinbuchstaben
  • Beinhaltet mindestens eine Zahl
  • und im Idealfall auch mindestens ein Sonderzeichen (&, @ oder ähnliches)

Solche Passwörter müssen gar nicht schwer zu merken sein, wenn Sie folgenden „Trick“ verwenden: Wählen Sie einen Satz, den Sie sich gut merken können, z.B. „Meine Großmutter lebt in der Tuntukullerstraße 7 in Altstadt“ und nehmen Sie davon jeweils die Anfangsbuchstaben. Daraus wird dann das sichere und ganz leicht zu merkende Passwort: „MGlidT7iA“.

WordPress, PlugIns und Themes immer auf dem aktuellsten Stand halten

Die größte Sicherheitslücke in WordPress sind veraltete WordPress-Versionen. Die Entwickler von WordPress veröffentlichen bei jedem Sicherheitsupdate welche Lücken geschlossen wurden. Wenn Sie also eine veraltete Version verwenden, dann wissen potenzielle Angreifer ganz genau, wo die Schwachstellen sind.

Daher ist es absolut wichtig, dass Sie alle Sicherheitsupdates immer möglichst zeitnah durchführen.

Bei Versions-Updates (z.B. von Version 3.4 auf 3.5) dürfen Sie sich ein paar Tage Zeit lassen, um ggfs. mögliche „Kinderkrankheiten“ der neuen Version zu überspringen, aber innerhalb von etwa zwei bis drei Wochen sollten Sie dann auch updaten.

Bitte erstellen Sie in jedem Fall vor dem Update ein komplettes BackUp Ihrer WordPress-Installation (Dateien und Datenbank), denn in seltenen Fällen kann es vorkommen, dass beim Update etwas schief geht. Mit einem aktuellen Backup hat man die Website dann aber schnell wieder repariert.

Ich verwende für BackUps immer das PlugIn „BackUpWordPress“.

Nicht nur WordPress selbst, sondern auch alle PlugIns und Themes sollten immer auf dem aktuellsten Stand gehalten werden. Auch hier gilt: Bitte erstellen Sie vor dem Update immer eine Sicherungskopie.

Wenn Sie das verwendete Theme aktualisieren und dieses individuell angepasst haben, sollten Sie unbedingt die style.css dieses Themes sichern, sonst sind alle manuellen Anpassungen nach dem Update verschwunden. Noch besser ist es natürlich, immer ein Child-Theme anzulegen, wenn ein Theme individuell angepasst werden soll.

Datenbankpräfix _wp bei der Installation abändern

Hintergrund für diesen Hinweis ist, dass der Präfix „_wp“ standardmäßig von WordPress vorgegeben wird. Und alles, was Standard ist, kann leicht erraten werden.

Für Ihr individuelles Präfix können Sie jede beliebige Buchstabenkombination verwenden.

Der tatsächliche Nutzen dieser Maßnahme istzweifelhaft und wird von einigen Experten als unsinnig bezeichnet wird. Ich bin jedoch der Meinung, dass es auch nicht schadet, das Präfix individuell zu vergeben – Sicher ist sicher ☺.

Ein sicheres Passwort ist PflichtDie oben erwähnten Punkte sind die grundlegendsten Regeln für die Sicherheit Ihrer WordPress-Website.

Darüber hinaus empfehle ich noch einige PlugIns, die die Sicherheit von WordPress noch einmal zusätzlich erhöhen:

Block Bad Queries (BBQ)

Dieses PlugIn verhindert Angriffe über die URL. Es wird einfach installiert und aktiviert. Manuelle Einstellungen sind nicht erforderlich.

Bulletproof Security

Bulletproof Security legt kurz gesagt eine Firewall um die .htaccess-Datei Ihrer WordPress-Installation. Nach der Installation wird mit Hilfe des PlugIns eine sichere .htaccess-Datei angelegt.

Ich gebe zu, die Einrichtung ist auf den ersten Blick sehr verwirrend und einschüchternd, dafür erhält man einen relativ umfassenden Schutz, sobald das PlugIn korrekt installiert und aktiviert ist. Ich plane, für die Einrichtung von Bulletproof Security demnächst ein Videotutorial zu erstellen. Wenn es fertig ist, werde ich dieses hier im Blog zur Verfügung stellen.

Limit Login Attempts

WordPress selbst kennt keine Beschränkung der LogIn-Versuche, dadurch können Angreifer beliebig viele Benutzernamen / Passwort-Kombinationen ausprobieren, um Zugriff auf das WordPress-Backend zu erhalten.

Limit Login Attemps begrenzt die Anzahl der möglichen Login-Versuche und sperrt den Nutzer dann für einen festen Zeitraum, bevor ein neuer Einwahlversuch möglich ist. Das erhöht die Sicherheit der Website erheblich.

Antivirus

Dieses PlugIn prüft den Quellcode der verwendeten Template-Dateien auf möglichen Schadcode und sendet eine E-Mail, wenn es Auffälligkeiten gibt. So bekommt man sehr schnell mit, wenn die Theme-Dateien manipuliert wurden.

Wichtig dabei zu wissen: Nicht jede identifizierte Auffälligkeit ist auch wirklich ein Virus. Manchmal verwenden die Programmierer eines Themes Codezeilen, auf die Antivirus „anschlägt“, die aber harmlos sind. In diesen Fällen empfiehlt sich im Zweifel eine Rückfrage beim Entwickler des jeweiligen Themes.

Timthumb Vulnerabiltiy Checker

Ein großes Einfallsloch für Hacker ist ein PHP-Script namens timthumb.php.

Um zu testen, ob eines der von Ihnen verwendeten Templates oder PlugIns timthumb.php in einer unsicheren Version verwendet, können Sie das PlugIn „Timthumb Vulnerability Checker“ verwenden.

Fazit

Wenn Sie diese Sicherheitsmaßnahmen für Ihre WordPress-Installation umsetzen, haben Sie einen sehr großen Schritt in Richtung einer sicheren Website bzw. eines sicheren Blogs getan.

Welche Erfahrungen haben Sie bisher gemacht? Welche Sicherheitsmaßnahmen verwenden Sie für Ihre WordPress-Seite? Ich freue mich auf Ihre Kommentare!

Wenn Sie Fragen zum Thema haben, stellen Sie diese gern in den Kommentaren. Ich helfe gern weiter.

Bildquellen
© maxkabakov – Fotolia.com
© pn_photo – Fotolia.com

Print Friendly, PDF & Email

Kommentare

Die wichtigsten Sicherheits-Regeln für Ihre WordPress-Website — 12 Kommentare

  1. Pingback: Rund um den Blog: Sicherheit auf der WP – Seite | Christine Kiunke – Coaching und mehr

  2. Bin ebenfalls dabei die Sicherheit aller meiner Seiten zu verbessern, ob mit Joomla oder WordPress erstellten Seiten.

    Einige Plugins und Vorgehensweisen kannte ich schon, andere wieder nicht.

    Hervorragender Artikel, sehr zu empfehlen, was ich sicher in einem meiner nächsten Artikel mache.

    Besonders gut hat mir der Hinweis gefallen, dass die Artikel nicht verloren gehen wenn man einen neuen Benutzer anlegt und den alten löscht.

    Beste Grüße von der Nordseeküste

    • Roland, vielen Dank für das tolle Feedback. Schön, wenn mein Artikel noch einiges neues vermitteln konnte.

      Und über Weiterempfehlungen freue ich mich selbstverständlich immer 🙂

      Viele Grüße
      Michaela Steidl

  3. Pingback: Wordpress und die Sicherheit › crazy crow

  4. Hallo liebe Michaela Steidl,

    nachdem ich kürzlich an deinem ersten WordPress-Bistro teilgenommen habe, in dem es um das Thema Sicherheit ging, habe ich mich daran gewagt, meine WP-Seiten entsprechend zu schützen. Die aktuellen Meldungen über Hacker bestätigen diesen Schritt.

    Mit Bulletproof bin ich noch nicht ganz fertig geworden. Es ist ein wenig verwirrend für eine einfache Anwenderin und dann auch noch auf Englisch. Also freue ich mich schon auf das Video-Tutorial.

    Eine Frage zu deinem Artikel habe ich aber doch: Du schreibst davon, den Benutzer ‚admin‘ zu löschen. Wenn ich das tue, habe ich doch keine Möglichkeit mehr, meine Seite als Administrator zu verwalten. Wie mache ich das dann?

    Danke für deine stets wertvollen und gut verständlichen Tipps! Ich empfehle sie gerne weiter.

    Liebe Grüße
    Ute

    • Hallo Ute,
      das Videotutorial habe ich am Wochenende im WordPress-Bistro eingestellt.

      Den Link habe ich gestern mit der Mail zum Webinar-Mitschnitt verschickt. Sollte diese Mail nicht bei Dir eingegangen sein melde Dich bitte noch einmal bei mir.

      Wegen des Administrators: Du musst, bevor Du den Administrator löschst, vorher natürlich einen neuen Benutzer mit Administrator-Rechten anlegen 🙂 Dann loggst Du Dich aus dem WordPress-Dashboard aus, meldest Dich mit dem neuen Administrator an und löschst den alten „admin“. Du wirst dann gefragt, was mit den Beiträgen passieren soll, die mit dem Benutzer „admin“ angelegt wurden und kannst dann einen anderen Benutzer auswählen, auf den diese übertragen werden sollen.

      Ich hoffe, das ist so verständlich erklärt. Falls nicht, frage gern noch einmal nach.

      Viele Grüße
      Michaela

  5. Anmerkung zum Plugin Bullet Proof Security:

    Ist der Eindringling erst auf der Serverebene – z.B. über eine andere unsichere Site beim Shared Hosting – nützt auch die Begrenzung der Berechtigungen der .htaccess auf 404 nicht mehr viel. Sie wird einfach zurückgesetzt auf den Standard 644 – spich Schreibrechte auf Serverebene.

    Glücklicherweise wird nach meinen Erfahrungen die .htaccess als Schwachstelle noch nicht dafür ausgenutzt, bestehende Anweisungen zu löschen oder zu überschreiben, weil es Eindringlingen primär darum geht, ihren eigenen Code – wie z.B. Umleitungen zu Pornoseiten – zuoberst in der .htaccess zu platzieren.

  6. Hallo Michaela,

    danke für die tollen Tipps.
    2 Aktualisierungen:

    Limit Login Attempts wird seit 4 Jahren nicht mehr aktualisiert, Timthumb Vulnerabiltiy Checker seit über 2 Jahren nicht mehr.
    Vielleicht gibt es ja neuere Alternativen?

    Grüße,
    Andi

    • Hallo Andi, Limit Login Attempts wurde tatsächlich schon lange nicht mehr aktualisiert, steht aber nach wie vor auf meiner Empfehlungsliste. Es funktioniert noch tadellos und ich bin ziemlich sicher dass eine Sicherheitslücke bei einem Plugin das so oft installiert wurde (aktuell nutzen über 1 Mio. Websites Limit Login Attempts aktiv) recht schnell öffentlich werden würde.

      Die Timthumb-Lücke ist bereits so lange bekannt dass es hoffentlich keine Themes oder Plugins mehr gibt die timthumb nützen – Ansonsten gilt hier auch das, was ich zu Limit Login Attempts geschrieben habe.

      Herzliche Grüße
      Michaela

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.


Ich möchte auch den WordPress-Rundbrief abonnieren