WordPress sicherer machen – Tipps & Tricks!

WordPress sicherer machen - Anleitung

WordPress gilt als eines der weit verbreitetsten Content Management Systeme für professionelle Webmaster oder die, die es noch werden wollen. Im Jahre 2003 als reine Blog Software entwickelt, hat die Software heute das Zeug dazu, gängige Content Management Systeme vom Thron zu stoßen.  Fluch und Segen der beliebten Software ist die große Nutzerzahl, die leider auch viele Angreifer anlockt. Angreifer, die Sicherheitslücken in der Software oder in darin verwendeten Plugins ausnutzen, um schadhafte Programme zu installieren bzw. die Internetseite so zu manipulieren, dass den Besuchern ernsthafter Schaden zugefügt werden kann. Daher sollte man einige Punkte beachten, die dazu beitragen, WordPress sicherer zu machen. 

In diesem Artikel geht es um ein paar Tipps & Tricks, die man bereits mit wenig Erfahrung beachten kann, um manipulierte WordPress-Installationen zu vermeiden bzw. um Angreifern das Leben zu erschweren.

Updates für WordPress, installierte Themes und Plugins:

Sicherheit in WordPressRegelmäßig werden neue Sicherheitslücken in Programmen gefunden, die dazu genutzt werden können, um illegal Zugriff auf die Datenbank von WordPress zu erhalten. Daher sollte man immer darauf achten, dass Updates sofort nach Erscheinen installiert werden. Leider passiert es auch oft, dass Plugins oder Themes Sicherheitslücken bieten, die der Angreifer zur Kompromittierung der Internetseite nutzen kann.

Daher ist es empfehlenswert auch Updates für Plugins oder Themes zu installieren. WordPress bietet idealerweise die Möglichkeit, automatisch auf neue Versionen für WordPress, Plugins oder Themes, über das Admin-Kontrollzentrum (Dasboard) aufmerksam zu machen. Idealerweise kann man darüber auch mit wenigen Mausklicks, das gewünschte Update durchführen und so eventuelle Sicherheitslücken schließen.

Betreut man mehre Internetseiten auf denen WordPress installiert ist, sollte man einen Blick auf InfiniteWP werfen. Mit diesem Script kann man mehrere WordPress Installationen gleichzeitig verwalten und auch entsprechend gleichzeitig aktualisieren. Zusätzlich kann man das Script mit kostenlosen und kostenpflichtigen Erweiterungen individualisieren. Das Tool InfiniteWP ist in der Grundversion völlig kostenlos und erfüllt auch ohne Erweiterungen seinen Zweck.

Eine Funktion die meiner Meinung nach in WordPress fehlt, ist die Option, dass man bei verfügbaren Updates per Email benachrichtigt wird. Vielleicht schafft es diese Option ja in naher Zukunft als Standardfunktion in WordPress.

Regelmäßige Backups von WordPress:

WordPress Sicherheit - WordPress sicherer machen - Tipps & Anleitungen

Sicherheitskopien der Internetseite sollten regelmäßig erfolgen. Man sollte diese Backups nicht nur aus Angst vor Manipulation der eigenen Internetseite machen, sondern auch für den Fall, dass ein zu installierendes Update, sich nicht mit der WordPress Webseite verträgt und somit die Webeite abschießt.  In solch einem Fall kann man mit wenig Aufwand ein vermurkstes Update rückgängig machen, ohne dabei einen Datenverlust zu riskieren.

Das Plugin InfiniteWP bietet neben der Funktion, mehrere WordPress-Seiten gleichzeitig zu aktualisieren, auch die Möglichkeit, Backups von Deinen Internetseiten zu erstellen. Idealerweise sollten die Backups jedoch auf einer anderen Domain bzw. auf einem Webspace liegen, auf dem ein Angreifer keinen direkten Zugriff hat, wenn die Internetseite einmal geknackt ist.

Es gibt verschiedene Webhosting Anbieter, die zu dem gemieteten Webspace auch den passenden Backup-Server mitliefern. Wenn das der Fall ist, sollte man davon auch Gebrauch machen, da man sich so eine Menge zusätzlichen Ärger erspart. Man kann jedoch auch aus eigener Kraft ein Backup-Script nutzen und auf dem Webspace ausführen. Hat man beispielsweise auch die Möglichkeit, die Backups per Cronjob zu starten, kann man sich die Backups auch automatisch und vor allem regelmäßig erstellen lassen.

Solche Backup-Scripte gibt es haufenweise im Internet. Um ein Backup der MSQL-Datenbank automatisch durchzuführen, kannst Du beispielsweise dieses PHP-Script nutzen, das freundlicherweise von All-Inkl.com zur Verfügung gestellt wird.

Passwörter, Benutzernamen und vergebene Rechte:

Generell sollte man natürlich auch auf die Wahl des Passwortes, bei der Erstellung des Admin-Kontos achten. Doch nicht nur beim Administrator-Passwort sollte man sorgfältig sein, sondern auch bei der Wahl des Benutzerkontos. Diese kann man übrigens auch nach der Installation und Einrichtung von WordPress ändern.

Das sicherste Passwort für WordPress nutzt nichts, wenn man bereits bei der Wahl des Benutzernamen und Passwortes für die SQL-Datenbank schlampig war. Daher solltest Du auch hier darauf achten, dass das von Dir gewählte Passwort etwas umfangreicher ist. In diesem Artikel wurden bereits einige Tipps und Tricks zu sicheren Passwörtern verfasst. Diesen Beitrag solltest Du Dir anschauen, falls Du auf Nummer sicher gehen möchtest.

Ist WordPress einmal installiert und die ersten Benutzer haben sich registriert, kann man diesen Autoren, Mitgliedern oder Administratoren die verschiedenen Benutzerrechte einräumen. Hier sollte man logischerweise ebenfalls darauf achten, dass man nicht versehentlich dem falschen Benutzer, den Zugriff auf das Dashboard (Administrationsbereich von WordPress) gewährt.

Ein sicheres Dashboard in WordPress:

Eine weitere Möglichkeit, WordPress sicherer zu gestalten, ist der so genannte Verzeichnisschutz. So solltest Du beispielsweise darauf achten, dass Du das Admin-Verzeichnis (Standard: ./wp-admin/) von WordPress mit einer .htaccess-Datei absicherst.

Ist dieser Verzeichnisschutz einmal angelegt, kann das WordPress Dashboard nur noch nach erfolgreicher Eingabe der vorher festgelegten Benutzerdaten aufgerufen werden. Nach erfolgreicher Eingabe muss man dann noch einmal die Benutzerdaten von WordPress eingeben, um sich als Administrator anzumelden. Es gibt im Internet zahlreiche Anbieter, die kostenlos HTACCESS-Generatoren zur Verfügung stellen.

Unnötigen Ballast vermeiden:

Ungenutzte Plugins und Themes sollte man löschen. Da sie nicht nur unnötig kostbaren Speicherplatz belegen, sondern auch potentielle Angriffsziele bieten.

Generell sollte man darauf achten, dass man Plugins oder Themes nur von den offiziellen WordPress-Seiten herunterlädt. Hier kann man nämllich anhand von Bewertungen und Kommentaren schnell herausfinden, ob das Plugin oder das Theme vom Entwickler weiter unterstützt wird oder mittlerweile veraltet ist.

Es gibt jedoch auch Internetseiten, die kostenpflichtige Erweiterungen und Design-Anpassungen anbieten. Auf diese Plugins kann man ebenfalls zurückgreifen, da man hier auch in der Regel für den Support zahlt und eher Unterstützung bei Problemen eher erhält, als bei kostenlosen Plugins oder kostenlosen Designs der Fall ist.

Spammern Parole bieten:

Spammer sind lästig und unnütz. Sie machen ungefragt Werbung von Dingen, von denen man nicht einmal weiß, dass es sie überhaupt gibt. Aber auch hier gibt es zahlreiche Möglichkeiten, den Spammern den Kampf anzusagen. So kann man beispielsweise in WordPress die Einstellung treffen, dass Kommentare erst einmal geprüft werden müssen, bevor sie veröffentlicht werden.

Eine andere Möglichkeit wäre, Kommentare nur von registrierten Mitgliedern zu akzeptieren. Doch dann muss man die neuen Mitglieder nach Registrierung ebenfalls erst einmal überprüfen. Man sollte jedenfalls eine der beiden Möglichkeiten in Betracht ziehen, wenn man verhindern möchte, dass unerlaubterweise Werbung oder schadhafte Internetseiten auf der eigenen Internetseite verlinkt werden.

Es gibt jedoch auch Plugins, die automatisch Spammer erkennen und den Zugriff auf die eigene Seite verhindern. Ein sehr verbreitetes Plugin ist Akismet. Dieses Plugin ist kostenlos und bereits bei der Installation von WordPress integriert. Es blockiert Spam-Kommentare recht zuverlässig. Man sollte vor der Nutzung jedoch abklären, ob Akismet den Datenschutzbestimmungen des eigenen Landes Gerecht wird.

Eine gute Alternative ist Antispam Bee, das ebenfalls weit verbreitet ist und auch aktuell noch weiter entwickelt wird. Außerdem werden die Daten anonym verarbeitet, was das Plugin in Sachen Datenschutz unbedenklich macht.

Checkliste der oben genannte Punkte:

  • WordPress, installierte Plugins & Themes aktualisiert?
  • Automatische Backups für WordPress eingerichtet?
  • Benutzerrechte der Mitglieder, Autoren und Redakteure geprüft?
  • Admin-Verzeichnis mit Verzeichnisschutz versehen?
  • Admin-Daten überprüft?
  • SQL-Datenbank abgesichert?
  • Unnötige oder veraltete Plugins und Designs gelöscht?
  • Anti-Spam Maßnahmen getroffen?
  • Kommentar-Einstellungen in WordPress vorgenommen?

Manipulationen automatisch erkennen & mehr:

Die Google Search Console (auch bekannt als Google Webmaster Tools) bietet die Funktion, die dort verifizierte Internetseite auf Probleme zu überprüfen. Die Google Search Console lässt sich so einstellen, dass man automatisch E-Mail Benachrichtigungen erhält, sobald Google etwas Verdächtiges entdeckt hat. Dazu benötigt man lediglich kostenloses ein Google Benutzerkonto, dass man auf der offiziellen Google Search Console Webseite erstellen kann.

Man kann die eigene Internetseite aber auch von anderen Anbietern auf installierte Malware scannen lassen. So bietet der Sitecheck von Sucuri.net ebenfalls die Möglichkeit, auf eingeschleusten Spam, Blacklisting, Defacements, und vieles mehr zu scannen.

Das Bearbeiten von Theme  Dateien über den Editor im Administrator-Bereich kann ebenfalls zu einem Problem werden, wenn der Angreifer sich erst einmal Zugriff verschaffen hat. Denn sobald die PHP- und CSS-Dateien bearbeitet werden können, kann der Eindringling schadhaften Programmcode platzieren. Um dies zu verhindern, reicht es, wenn man in der Datei: „wp-config.php“ den folgenden Wert übernimmt:  define( ‘DISALLOW_FILE_EDIT’, true );

Es gibt zahlreiche, wenn nicht sogar unzählige Tipps, die mit Sicherheit noch von mir zusammengetragen werden wollen. Doch an dieser Stelle ist erst einmal Schluss, da die Zeit drängt und der Abend noch recht jung ist.

Blogger-Base

Blogger-Base

Mein Name ist David und ich bin Gründer dieses Blogs. Ich versuche Dir & mir WordPress in Form von interessanten & ausführlichen Anleitungen näher zu bringen.

Wenn Du Fragen zu meinen Beiträgen oder generell zu WordPress hast, kannst Du Dich gerne bei mir melden. 👍
Blogger-Base
0 Antworten

Hinterlassen Sie einen Kommentar

Wollen Sie an der Diskussion teilnehmen?
Feel free to contribute!

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.