WordPress Sicherheit
Wie Sie sich gegen Angriffe schützen


Jede Webseite wird täglich Ziel von durchschnittlich 44,36 böswilligen Angriffen. Nur die wenigsten davon sind tatsächlich erfolgreich.


Gelingt jedoch ein Angriff, können Ihr Unternehmen und Ihre Besucher erheblich geschädigt werden. Vom Sammeln von Kreditkarteninformationen Ihrer Kunden bis hin zum Verlust der SEO-Rankings sind viele Szenarien möglich.


Die Sicherung Ihrer WordPress-Seite ist nicht kompliziert. Trotzdem sind zum jetzigen Zeitpunkt über 70 % aller WordPress-Webseiten nicht ausreichend geschützt.


Als Hosting Provider bekommen wir häufig Anfragen bezüglich gehackter Websites. Unsere Erfahrungen teilen wir mit Ihnen in diesem Ratgeber. Wir zeigen Ihnen effektive Maßnahmen, wie Sie Ihre Seite praktisch verriegeln und gegen Hacker-Angriffe absichern können.


Cyber Crime


1. Wie sicher ist WordPress?


WordPress ist im Grunde ein sicheres Content Management System. Böswillige Angriffe können nur erfolgreich sein, wenn Hacker eine bestimmte Schwachstelle ausmachen und diese nutzen.


Als Webmaster gehört es zu Ihren Aufgaben, diese Schwachstellen auszumerzen und das Aufkommen möglicher neuer Schwachstellen zu verhindern.


Ohne ein aktives Sicherheitsmanagement kann Ihre WordPress-Installation schnell zum Ziel von Angriffen werden, denn:

  • Alle 39 Sekunden findet ein Angriff auf eine Webseite statt.
    (Quelle: Security Magazine)
  • Alle 75 Sekunden stehlen Hacker dabei erfolgreich Daten.
    (Quelle: Breach Level Index)
  • Täglich werden 300.000 neue Malware-Programme von Hackern kreiert.
    (Quelle: McAfee)
  • 98 % aller Verwundbarkeiten hängen jedoch nicht mit dem WordPress-System, sondern mit vom Webmaster installierten Themes oder Plugins zusammen.
    (Quelle: WebARX)
  • Der Sicherheitsanbieter Sucuri hat in einer umfangreichen Studie im Jahr 2019 festgestellt, dass 49 % aller WordPress Core-Installation nicht aktualisiert und daher angreifbar waren.
  • Das Unternehmen SiteLock hat 2018 festgestellt, dass weltweit bis zu 18,5 Millionen Webseiten mit Malware oder ähnlichen toxischen Elementen infiziert sind.

Das klingt erstmal schlecht.


Die gute Nachricht ist:


Nur selten greifen Hacker gezielt einzelne Webseiten an. Dass sich jemand genau Ihre Webseite anschaut und versucht ein individuelles Konzept zu entwerfen, um Sie zu hacken, ist äußerst unwahrscheinlich.


Vielmehr werden flächendeckende Schwachstellen von massenhaft installierten Software-Produkten wie Themes oder Plugins identifiziert und gleichzeitig tausende oder hunderttausende Webseiten angegriffen.


Generell gilt:


Eine hundertprozentige Sicherheit für Ihre WordPress-Seite gibt es nicht. Das Ziel jeglicher Maßnahmen ist es, die Angriffsfläche zu reduzieren und es potenziellen Eindringlingen so schwer zu machen, dass Sie sich ein anderes Ziel suchen.


Mit den von uns vorgestellten Maßnahmen wird die Wahrscheinlichkeit eines erfolgreichen Hacker-Angriffes verschwindend gering.


2. Diese Arten von Angriffen könnten Ihre Webseite treffen



Wenn Sie schon länger eine Webseite betreiben, wurden Sie mit hoher Wahrscheinlichkeit bereits Ziel einer der folgenden Angriffe.

  2.1  Brute Force-Attacken


Hierbei versuchen Hacker, eine der typischen Schwachstellen von Internetnutzern auszunutzen:
schwache Passwörter und Benutzernamen.


Im Jahr 2019 waren die folgenden Passwörter in Deutschland am beliebtesten:

  1. 123456
  2. 123456789
  3. 12345678
  4. 1234567
  5. password
  6. 111111
  7. 1234567890
  8. 123123
  9. 000000
  10. abc123

Zwar arbeiten die meisten Webmaster mit besseren Passwörtern, doch eine ähnliche Sicherheitslücke gibt es bei vielen WordPress-Seiten.


Bei einer neu installierten WordPress-Webseite> existiert häufig ein Benutzer mit einer Administrator-Rolle und den folgenden Login-Details:

  • Benutzername: Admin
  • Passwort: "Ein typisches Passwort"

Eine typische Brute Force-Attacke ist ein flächendeckender, tausendfacher Versuch, sich mit diesen typischen Login-Daten auf etlichen WordPress-Seiten einzuloggen.


Gelingt der Versuch, so haben die Hacker die sofortige Kontrolle über die WordPress-Installation und können nach Belieben Malware installieren oder die Seite zerstören.

  2.2  SQL-Injektionen


WordPress-Datenbanken basieren auf der Programmiersprache PHP, die extra für Datenbanken kreiert wurde. SQL ist ein spezifisches Datenbanksystem, das auf PHP basiert.


SQL-Injektionen hingegen sind böswillige Interaktionen mit SQL-Datenbanken. Dabei werden bestimmte PHP-Befehle auf unterschiedlichem Weg in die Datenbank eingeschleust.


Hacker können beispielsweise über ein Kontaktformular mit der Datenbank interagieren. Anstatt die gefragten Informationen einzugeben, kann ein Befehl der Programmiersprache PHP übermittelt werden.


Ohne die notwendigen Vorkehrungen kann die Datenbank nicht zwischen den injizierten Befehlen und den gewollten Befehlen in der eigentlichen Datenbank unterscheiden.


Gibt der Angreifer nun den PHP-Befehl mit dem Ergebnis "Blogartikel löschen" ein, so werden bei der nächsten PHP-Ausführung die Blogartikel gelöscht.


Zwar ist dieses Beispiel stark simplifiziert, doch es erklärt anschaulich das Prinzip einer böswilligen SQL-Injektion.


Die Ziele dieser Art von Angriffen sind:

  • Webseiten zu zerstören
  • Sensible Daten von Kunden oder Besuchern auszulesen
  • Verschaffen von Zugriff zu geschützten Bereichen

SQL Injektion

  2.3  Malware


Malware ist weniger ein Angriffs-Typ, sondern das Ergebnis einer Attacke.


Dabei wird ein toxisches Stück Code oder eine ganze Software auf Ihrer Webseite implementiert. Häufig soll der Angriff dabei nicht auffallen, sodass die Funktionalität der WordPress Seite nicht offensichtlich eingeschränkt ist. Der Schaden für Sie oder Ihr Unternehmen kann hingegen enorm sein.


In den meisten Fällen verfolgen die Hacker dabei wirtschaftliche Interessen.


Im Zusammenhang mit WordPress sind die folgenden Malware-Untertypen relevant:


SEO-Spam

Die Angreifer injizieren Content, Links oder Befehle wie Redirects auf Ihrer Webseite, um sich kurzfristig SEO-Vorteile zu verschaffen. Die bevorteilten Seiten sind dabei häufig von unseriöser Natur.


Ziel ist es, Link Juice oder Besucher Ihrer Seite auf die Zielseiten umzuleiten. Der wirtschaftliche Schaden kann daher enorm sein. Sie könnten nicht nur Besucher und Kunden, sondern auch Ihre SEO-Rankings verlieren.


SEO Spam Seite

Eine typische SEO Spam-Seite


Backdoors

Das Ziel von Backdoors ist es, sich einen dauerhaften Zugang zu der Webseite auf Administratoren-Ebene zu verschaffen, um etwa Malware zu platzieren. Durch eine erfolgreich platzierte Backdoor können nicht nur der Angreifer selbst, sondern auch andere Akteure einen Zugang zu Ihrer Seite haben.



Mailers

Mailer sind Skripte, die Mails von der Domain einer infizierten Webseite versenden, ohne dass der Webmaster zugestimmt hat. Dadurch können große Mengen an Mails verschickt werden, ohne dass die typischen Spam-Schutzmaßnahmen greifen, die sonst auf Mail-Servern aktiv sind.


Mailers werden häufig als unterstützende Malware für Phishing-Attacken verwendet. Eine jüngste prominente Mailer- und Phishing-Attacke war der versuchte Betrug um die Corona-Hilfsgelder in Deutschland.


Mailers
Mails dieser Art werden mit Mailers verschickt. Der Spam-Schutz wird so umgangen.


Defacements

Diese Art eines Angriffs zielt lediglich auf die Zerstörung einer Webseite ab. Dabei werden etwa die CSS-Dateien korrumpiert, um das Layout einer Webseite zu verunstalten.



E-Commerce Malware oder Kreditkarten-Stealers

Laut des Sicherheitsanbieters Sucuri hat diese Form von Angriffen besonders im Jahr 2019 zugenommen. Entgegen einem allgemeinen Trend des Web Hackings, bei dem massenhaft Webseiten infiziert werden, ist diese Art von Malware individuell gestaltet und auf einzelne Webseiten gerichtet.


Dabei werden die Kundendaten von Onlineshops, wie Kreditkarten- oder Kontodaten ausgelesen und für betrügerische Zwecke verwendet. Der finanzielle Schaden der Betroffenen kann enorm sein.

  2.4  Cross Site Scripting (XXS)


84 % aller Schwachstellen von Internetseiten laden Angreifer ein, ein sogenanntes Cross Site Scripting (XXS) zu implementieren. Das Skript, das auf der Programmiersprache Javascript (für dynamische Webinhalte) basiert, soll die Daten der Besucher abfangen. Viele Internetnutzer speichern in Ihrem Browser Daten, wie Kreditkarten, Benutzernamen und Passwörter oder Suchhistorien.


Betritt einer dieser Nutzer eine mit XXS infizierte Seite, so können die Angreifer die Daten des Nutzers auslesen.


Umso sensibler die Daten sind, umso größer ist der potenzielle Schaden.

  2.5  DDoS-Angriff


DDoS-Angriffe sind Attacken mit weniger wirtschaftlichen Interessen. Das Ziel ist es, die Funktionalität der Webseite zu beeinflussen, indem der Server überlastet wird.


Das wird in der Regel durch das massenhafte Abrufen der Webseite, etwa mit künstlichen Besuchern, erreicht. Da die Aufrufe von einer Vielzahl von Quellen ausgehen, ist eine Abwehr generell schwierig, aber möglich.


Diese Art der Angriffe findet häufig in politischen Zusammenhängen statt. Sie sind selbstredend illegal.


3. Rechtliche Aspekte: Sind Sie zu WordPress Sicherheit verpflichtet?


Cybersicherheit und Datenschutz sollten von Webseiten- und Onlineshop-Betreibern ernst genommen werden. Nicht zuletzt im Sinne der Nutzer- und Kundenzufriedenheit.




Sicherheitsmaßnahmen für einen effektiven Datenschutz erhöhen die Kundenzufriedenheit um 13 %. Jeder zweite Verbraucher ist zudem bereit, seine Ausgaben um 20 % zu erhöhen, wenn er dem Unternehmen diesbezüglich Vertrauen schenkt.
Quelle: Capgemini


Doch abseits der Umsatzsteigerung könnten Sie rechtlich dazu verpflichtet sein, Ihre WordPress-Seite sicher zu machen.


Seit der Einführung der DSGVO im Jahr 2018 gelten folgende Vorgaben:


Verschlüsselte Datenübertragung

Nach Art. 13 DSGVO müssen alle Webseiten mit einer SSL-Verschlüsselung ausgestattet werden.


Maßnahmen gegen Datenmissbrauch

Art. 32 DSGVO sieht vor, dass Webseiten- und Onlineshop-Betreiber "technische und organisatorische Maßnahmen" treffen, welche die Sicherheit der verarbeitenden Daten gewährleisten. Nach Art. 82 DSGVO hat jede Person, der durch einen Verstoß gegen die DSGVO ein Schaden entstanden ist, einen Anspruch auf Schadensersatz.



Kommt es nun zu einem Hackerangriff auf Ihren Onlineshop oder Ihre Webseite, sodass sensible Kundendaten abgegriffen und in einer Art verwendet werden, dass dem Kunden ein Schaden entsteht (etwa durch eine missbräuchliche Verwendung der Kreditkarte), könnten Sie haftbar gemacht werden.


Daher ist WordPress Security nicht nur im Sinne der Kundenfreundlichkeit angebracht, sondern auch durch gesetzliche Anforderungen verpflichtend.


DSGVO

Die DSGVO zwingt Webmaster zu Datenschutz und IT-Sicherheit.

4. Ist Ihre Seite infiziert? 6 Indizien für einen erfolgreichen Angriff


Schätzungsweise 3 % aller Webseiten sind momentan infiziert. Es ist also nicht ausgeschlossen, dass sich irgendeine Form von Malware auf Ihrer Webseite befindet.


Wenn eine der folgenden Punkte auf Sie zutrifft, sollten Sie Ihre Seite durchleuchten:


Sie verlieren massiv an Besuchern und SEO-Rankings

Prüfen Sie mit Google Analytics oder der Google Search Console, ob Sie unnatürlich starke Verluste bei Ihren Besucherzahlen und SEO-Rankings hinnehmen mussten.


Für Turbulenzen im Ranking kann vorerst einmal ein großes Google Update sorgen. Nach einem sogenannten Core Update können Sie plötzlich viele Klicks verlieren oder auch dazubekommen. Stellen Sie also zuerst fest, ob Google ein neues Core Update ausgerollt hat. Dies wird meist bei Twitter angekündigt und viele SEO Blogs berichten davon.


Schließen Sie außerdem eine manuelle Abstrafung in der Search Console aus. Klicken Sie dazu im Seitenmenü auf Sicherheit & Manuelle Maßnahmen → Manuelle Maßnahmen.


Sollten Sie keine Abstrafung erhalten haben, könnte ein böswilliger Angriff auf Ihre Webseite die Ursache sein.



Ihre Webseite ist langsam geworden

Sie haben das Gefühl, dass Ihre Webseite langsamer lädt?


Prüfen Sie mit einem Tool wie Pingdom oder PageSpeed Insights, ob Ihre Ladezeit sich deutlich verschlechtert hat. Falls ja, könnte ein Angriff dahinterstecken.


PageSpeed Insights



Neue, eigenartige WordPress-Benutzer tauchen auf

Befinden sich in Ihrem WordPress-Backend auf einmal eigenartige Benutzernamen, könnte das ein Anzeichen auf einen Eingriff sein.


Prüfen Sie daher gelegentlich, ob Sie Benutzer finden, die Sie nicht zuordnen können.


Eigenartige WordPress Benutzer, die Sie nicht zuordnen können, sind ein starkes Indiz für eine infizierte Website.



Mehrere gescheiterte Login-Versuche

Bei WordPress gibt es unterschiedliche Mechanismen, um böswillige Logins zu unterbinden. So kann unter Umständen eine Sperrung vonseiten des Servers oder von der WordPress-Installation erfolgen.


Wenn jemand mehrfach versucht hat, sich auf Ihrer Seite einzuloggen, könnte das ein Anzeichen für eine Brute Force-Attacke sein.



Neue Links und neuer Content

Wenn Sie bemerken, dass sich Links oder neuer Content auf Ihrer Webseite befinden, die Sie selber dort nicht platziert haben, ist das ein starkes Indiz für einen böswilligen Angriff.


Entfernen Sie die Links und den Content schnellstmöglich und nehmen Sie im Anschluss einen Sicherheits-Audit vor.



Das Layout Ihrer Seite ist verunstaltet

Ihre Seite ist optisch verunstaltet und Sie wissen nicht, wieso.


5. Wie Sie WordPress sicher machen - 17 effektive Maßnahmen gegen böswillige Angriffe



Um Ihre WordPress Website gegen böswillige Angriffe abzusichern, müssen Sie die Angriffsfläche verringern und vor allem gängige Sicherheitslücken ausbessern. Umso mehr dieser typischen Mängel Sie ausmerzen, die bei tausenden Webseiten massenhaft vorhanden sind, umso geringer ist die Wahrscheinlichkeit eines erfolgreichen Angriffs.


Hacker suchen den Weg des geringsten Widerstandes. Wenn Sie es ihnen möglichst schwer machen, suchen sie sich ein leichteres Ziel.


Wir zeigen Ihnen heute drei Sicherheitsebenen mit unterschiedlichen Maßnahmen, die mit geringfügigem Aufwand umsetzbar sind. Trotzdem verbessern Sie die Sicherheit Ihrer WordPress-Installation massiv.

  5.1  Externe Faktoren auf Server-Ebene



Einige Sicherheitsmaßnahmen werden nicht auf Ihrer Website, sondern auf Server-Ebene vorgenommen. Auf diese Faktoren haben Sie einen geringen bis mittelmäßigen Einfluss. Die Wahl des Webhosts spielt eine zentrale Rolle.

  5.1.1 Setzen Sie auf sicheres WordPress-Hosting


Eine der einfachsten, aber wirkungsvollsten Maßnahmen ist es, einen sicheren Hosting-Anbieter zu nutzen. Stellen Sie sicher, dass Ihr Host die folgenden Features mitbringt:



SSL-Verschlüsselung

Eine verschlüsselte Datenübertragung ist seit der Einführung der DSGVO nicht nur Pflicht, sondern schützt auch gegen böswillige Angriffe. Andernfalls ist es für Angreifer ein Leichtes, sensible Kundendaten abzufangen.


Ihr Server sollte im Optimalfall die kostenlose Einrichtung eines SSL-Zertifikates ermöglichen.


Sichere Übertragung mit einem SSL Zertifikat



Automatische Backups

Wenn Ihr Host automatisch Backups Ihrer WordPress-Datei macht, können Sie Malware und ähnliches schnell loswerden. Indem Sie eines der Backups installieren, stellen Sie den vorherigen Zustand wieder her.


Bei Domaintechnik sichern wir die Serverdaten unserer Kunden täglich und speichern diese mindestens für 7 Tage. Bleibt die Malware-Infektion länger als 7 Tage unbemerkt, sollten Sie auf eine manuelle Backup-Datei zurückgreifen können.



Malware Scan

Ein vertrauenswürdiger Hosting-Anbieter, der das Thema Sicherheit ernst nimmt, sollte regelmäßige Malware Scans anbieten.


Bei Domaintechnik bieten wir einen kostenlosen Malware Scan an, der Sie bei einem positiven Fund informiert.


Sollten Sie einen konkreten Verdachtsfall haben, nehmen unsere Sicherheitsexperten eine manuelle Detailprüfung gegen eine einmalige überschaubare Gebühr vor.



Virenscanner und Spamfilter

Ein Virenscanner schützt Sie vor infizierten E-Mails, indem er diese auf Schadsoftware überprüft. Sobald ein Virus gefunden wird, wird das betroffene E-Mail blockiert.


Mit einem Spamfilter werden Sie unerwünschte Nachrichten los und genießen einen noch sichereren E-Mail-Verkehr.

   Unsere domaintechnik.at Kunden genießen selbstverständlich höchste Sicherheitsstandards.

  Tägliche Malwarescans
  Tägliche Backups von Webspace und Datenbank
  Spamfilter
  Virenscanner
  SSL verschlüsselte E-Mail Übertragung
  SSL verschlüsselte Onlineverwaltung
  Kostenlose SSL Zertifikate
  Vollkommen redundante Hosting Infrastruktur garantiert 99,9 % Webspace Verfügbarkeit
  24/7 elektronische Überwachung unseres Netzwerks und der Server in unserem Datencenter in Wien

  5.2.1 Verwenden Sie die neuste PHP-Version


WordPress basiert unter anderem auf der Programmiersprache PHP. Sie wird für die Programmierung der Datenbank eingesetzt und kann als das Hirn Ihrer Webseite verstanden werden.


Die Programmiersprache wird jedoch regelmäßig aktualisiert, was unterschiedliche Herausforderungen mit sich bringt. Die Updates korrigieren in der Regel bestehende Sicherheitslücken.


Nach einem Update wird die vorherige Version zwei weitere Jahre unterstützt, sodass die Entwickler von WordPress Plugins und Themes die Möglichkeit haben, ihre Entwicklung an die neuen Updates anzupassen. Danach besteht eine eklatante Sicherheitslücke, die sich Hacker gerne zunutze machen.


Ihre WordPress-Seite sollte daher zumindest auf der zuletzt aktuellen Version laufen. Aktuell laufen noch 79 % aller WordPress-Seiten auf einer veralteten PHP-Version.


Wir unterstützen die neusten PHP-Versionen 4.4 bis 7.4 (Stand 05/2020). Sie können Ihre Version einfach in Ihrem Kundenkonto aktualisieren. Zuvor sollten Sie jedoch prüfen, ob eine Kompatibilität mit Ihren Plugins und Themes vorhanden ist.


 Anleitung: WordPress PHP-Version aktualisieren 

  5.2.2 Nutzen Sie komplexe Passwörter und Benutzernamen


Dass viele Internetnutzer sich keine Mühe bei der Auswahl und Verwaltung von Passwörtern und Benutzernamen machen, ist ein Fehler.


Sie sollten unbedingt die nach der WordPress-Installation zugewiesenen Benutzernamen und Passwörter vermeiden.


Verwenden Sie lieber ein Tool wie z. B. diesen Passwort-Generator, um schnell ein sicheres Passwort zu generieren.
Ein tolles Programm zur Passwortverwaltung ist KeePass.


Innerhalb von 2 Minuten können Sie sich gegen eine Vielzahl von Brute Force-Angriffen schützen.


Sicheres Passwort

  5.2.3 Aktivieren Sie die 2-Faktor-Authentifizierung


Wenn jemand auf irgendeinem Weg an Ihr Passwort gekommen ist, etwa durch das Auslesen Ihrer Browser-Daten, hilft auch ein komplexes Passwort nicht.


Die 2-Faktor-Authentifizierung hingegen schon.


Dabei wird Ihr Benutzername mit Ihrem Smartphone oder Tablet verknüpft. Wenn Sie sich einloggen, wird nicht nur das Passwort, sondern auch ein zusätzlicher Code abgefragt, der auf Ihrem verknüpften Endgerät erscheint.


Um sich nun bei Ihnen einloggen zu können, bräuchte ein Angreifer nicht nur Ihre Login-Daten, sondern auch Ihr Smartphone.


Brute Force-Angriffe werden damit unmöglich.


Die folgenden Plugins helfen Ihnen dabei:

  • Google Authenticator
  • Two Factor Authentication
  • Two Factor

  5.2.4 Ergänzen Sie das Login mit einer Sicherheitsfrage


Ein weiterer Login-Schutz ist die Ergänzung des Logins mit einer Sicherheitsfrage.


Indem Sie eine Frage definieren, zu der lediglich Sie die Antwort kennen, erhöhen Sie Ihren allgemeinen Passwortschutz.


Am einfachsten geht das mit dem Plugin WP Security Question.

  5.2.5 Sperren Sie die Unterseite für das WordPress-Login


Um sich auf Ihrer WordPress-Seite einzuloggen, besuchen Sie wahrscheinlich eine der folgenden URLs:

  • muster.at/wp-login.php
  • muster.at/wp-admin/

Damit spielen Sie Angreifern in gewisser Weise zu, da dieser Zugang allgemein bekannt ist. Sie könnten jedoch eine andere Unterseite als Login-Seite definieren, um Unklarheit zu stiften und somit Sicherheit zu schaffen.


Beinahe jedes WordPress Security Plugin verfügt über diese Funktion. Alternativ können Sie das kostenlose WPS Hide Plugin verwenden.


Über Einstellungen → Allgemein können Sie nun die individuelle URL definieren.


WPS Hide Login


Somit ist Ihre Seite sicher gegen alle automatischen Skripte und Bots, die in Form einer Brute Force-Attacke versuchen, sich auf Ihrer Seite Zutritt zu verschaffen.

  5.2.6 Installieren Sie ein SSL-Zertifikat


Mittlerweile ist es gesetzlich vorgeschrieben, dass Ihre Webseite über ein SSL-Zertifikat zu verfügen hat.


Wenn Sie ein SSL-Zertifikat installieren, müssen Sie zudem einstellen, dass alle bestehenden Inhalte und Unterseiten auf die neue URL weitergeleitet werden. Schließlich werden Inhalte nun über

https://muster.at statt http://muster.at

abgerufen.


Mit dem kostenlosen Plugin "Really Simple SSL" können Sie zügig auf SSL umstellen.


Sie müssen es lediglich installieren und aktiveren. Alle Inhalte werden nun per 301-Redirect umgeleitet. Sollten aus Kompatibilitätsgründen einzelne Unterseiten nicht umgeleitet werden, müssen Sie hier manuell nachbessern.

  5.2.7 Aktualisieren Sie WordPress, Themes und Plugins immer schnellstmöglich


Sie sollten sowohl die WordPress Core-Installation, als auch Themes und Plugins immer auf dem neuesten Stand halten.


Der Grund dafür ist denkbar einfach:


Entwickler veröffentlichen im Rahmen des Updates eine Release Note, welche die ausgemerzten Sicherheitslücken und ergänzten Features auflistet. Was einerseits praktisch ist, zeigt öffentlich bestehende Schwachstellen von nicht-aktualisierten WordPress Webseiten auf.


Prüfen Sie mindestens 2 mal pro Woche, ob Ihre Webseite aktualisiert werden muss. Bevor Sie ein Update durchführen, sollten Sie jedoch ein Backup machen.

  5.2.8 Blenden Sie Ihre WordPress-Version aus


Damit potenzielle Angreifer Ihre Schwachstellen nicht erkennen können, sollten Sie Ihre aktuelle WordPress-Version ausblenden.


Viele Security Plugins verfügen über diese Funktion.


Sie können die Ausblendung auch manuell (ohne Plugin) umsetzen.


Achtung: Dieser Tipp sollte nur von erfahrenen WordPress-Nutzern oder Webentwicklern vorgenommen werden.


Fügen Sie unten in die functions.php Datei Ihres WordPress Themes folgenden Code hinzu:


function wp_version_remove_version() {
return '';
}
add_filter('the_generator', 'wp_version_remove_version');

Die functions.php Datei in FileZilla.

Die functions.php Datei in FileZilla.

  5.2.9 Nehmen Sie regelmäßig manuelle Backups vor


Vor und nach jeder technischen Änderung oder nach jeder Ergänzung von neuem Content sollten Sie ein manuelles Backup vornehmen.


Nutzen Sie dazu eines der Plugins wie

  • All-in-One-Migration Plugin
  • WP-Duplicator

Sollte Ihre Webseite in Folge eines Angriffes beschädigt sein, können Sie einfach das aktuelle Backup aufspielen.

  5.2.10 Verwenden Sie ein WordPress Security Plugin


Es gibt zahlreiche Security Plugins, mit denen Sie die oben genannten Maßnahmen in kürzester Zeit umsetzen können.


Manche davon sind kostenlos und manche berechnen eine einmalige oder jährliche Gebühr.


Zu den besten gehören:

  • SecuPress
  • Sucury
  • iThemes Security
  • WordFence

Mit kleinen Unterschieden verfügen alle über folgende wichtige Funktionen:

  • Firewall
  • Malware Scan
  • Änderung der Login-Seite
  • Zwei-Faktor-Authentifizierung
  • Generierung sicherer Passwörter
  • Protokollierung von Logins
  • Generierung und Aktualisierung sicherer Passwörter
  • Handlungsvorschläge für mehr Sicherheit
  • IP-Black und Whitelisting
  • Email-Benachrichtigung bei Vorkommnissen
  • Sperrung bei Login-Versuchen (Anti-Brute-Force)
  • Backups
  • Deaktivierung von XML-RPC
  • Verstecken der WordPress-Version
  • uvm.

In der Premium-Variante stellen die meisten dieser Plugins eine effektive Rundum-Lösung für Ihre WordPress Sicherheit dar. Die überschaubare Investition kann sich durch die eingesparte Zeit schnell bezahlt machen.


  5.3  Zusätzliche Maßnahmen mit Codierung - Für Fortgeschrittene



Die nachfolgenden Maßnahmen erfordern etwas mehr Einsatz. Es müssen kleine Änderungen am Code Ihrer Webseite vorgenommen werden.


Wenn Sie sich damit nicht wohlfühlen, sollten Sie einen Webentwickler hinzuziehen.


Probieren Sie es eigenhändig, sollten Sie vor jedem Schritt eine Sicherung durchführen.


Zudem müssen Sie wissen, wie Sie sich über einen FTP-Client mit Ihrer Datenbank verbinden.

  5.3.1 Deaktivieren Sie die PHP-Ausführung in sensiblen Verzeichnissen


Bei einer SQL-Injektion werden schädliche PHP-Befehle in der Datenbank Ihrer WordPress-Installation platziert.


Einen vollkommenen Schutz dagegen gibt es nicht. Es wird immer eine Möglichkeit geben, die Befehle in Ihre Seite zu injizieren.


Sie können sich allerdings gegen die schädlichen Befehle wehren, indem Sie deren Ausführung verbieten.


Am besten tun Sie dies für sensible Verzeichnisse, wie etwa das /wp-content/uploads/ Verzeichnis.


Kreieren Sie dort eine Text-Datei mit dem Namen ".htaccess".


Bringen Sie nun den folgenden Code in die .htaccess Datei ein und speichern Sie diese:


<Files *.php>
deny from all
</Files>

Dadurch werden PHP-Skripte aus dem Upload-Verzeichnis nicht ausgeführt.


Bei komplexeren WordPress-Seiten kann es sich lohnen, diese Maßnahme noch für andere Verzeichnisse vorzunehmen, in denen keine Ausführung von PHP erforderlich ist.

  5.3.2 Stellen Sie Datenbanksicherheit her


Das Prinzip der "Sicherheit durch Verschleierung" zieht sich durch sämtliche WordPress Sicherheitsmaßnahmen.


Ihre Datenbank trägt typischerweise den Namen, den Sie bei der Installation Ihrer Seite zugeschrieben haben.


Um potenzielle Angreifer zu verwirren, sollten Sie Ihre Datenbank allerdings umbenennen.


Stellen Sie über Ihren FTP-Client eine Verbindung zu Ihrer Datenbank her und suchen Sie die Datei wp-config.php.


Laden Sie die Datei herunter.


Sie sollten den folgenden Code innerhalb der Datei finden können:


// ** MySQL settings - You can get this info from your web host ** //
/** The name of the database for WordPress */
define('DB_NAME', 'your_db');

/** MySQL database username */
define('DB_USER', 'yourusername');

/** MySQL database password */
define('DB_PASSWORD', 'this-is-your-password');

/** MySQL hostname */
define('DB_HOST', 'localhost');

/** Database Charset to use in creating database tables. */
define('DB_CHARSET', 'utf8');

Anstelle von "your_db" werden Sie den Namen Ihrer WordPress-Datenbank finden.


Ersetzen Sie ihn mit einem einfallsreichen Namen und es wird schwerer für die Angreifer, Ihre Datenbank zu finden.


Mit dieser Maßnahme schützen Sie sich vor SQL-Injektionen, Malware und XXS.

  5.3.3 Deaktivieren Sie den Appearance Editor


Sollte ein Angreifer auf irgendeinem Weg Zugang zu Ihrem WP-Backend erhalten haben, kann er in kurzer Zeit großen Schaden anrichten.


Eine vorbeugende Sicherheitsebene diesbezüglich können Sie einführen, indem Sie auf eine korrekte Rollenverteilung achten. Niemand, außer der tatsächliche Admin, sollte eine Administratorenrolle erhalten. In der Praxis passiert eine ungeschickte Rollenverteilung jedoch immer wieder mal.


Benutzerrollen WordPress


Gerade bei größeren Teams kann es sich lohnen, diesem Umstand vorzubeugen, indem Sie die Bearbeitung des "Appearance Editors" im WordPress Backend deaktivieren.


Theme Editor


Schon eine kleine Veränderung führt nämlich zu einem Totalabsturz Ihrer Webseite in Form des "White Screen of Death".


Die meisten Sicherheits-Plugins, wie auch iThemes Security, deaktivieren diese Funktion automatisch.


Wenn Sie es manuell umsetzen möchten, sollten Sie den folgenden Code in Ihre wp-config.php Datei einfügen:


define('DISALLOW_FILE_EDIT', true);

  5.3.4 Hardening der Datei wp-config.php


Im Kontext der Cyber-Security meint "Hardening" das Erschaffen einer zusätzlichen Sicherheitsschicht.


Die wp-config.php Datei spielt bei WordPress eine zentrale Rolle.


Sie enthält die wichtigsten Informationen über die Datenbank und zentrale Einstellungen zu der WordPress-Webseite.


Eine böswillige Veränderung oder Beschädigung der Datei führt schnell zu einem Systemabsturz.


Die Datei ist daher besonders zu sichern. Es gibt dafür drei Möglichkeiten:


Verlegung in ein anderes Verzeichnis

Verschieben Sie die Datei von dem öffentlich einsehbaren Ordner /www/ in ein Verzeichnis, das nicht einsehbar ist.


Diese Diskussion erklärt Ihnen, wie es möglich und wieso es sinnvoll ist.



Aktualisierung der WordPress-Schlüssel

Sollten Sie Ihre Seite mal umgezogen haben, ist eine Aktualisierung der Sicherheitsschlüssel empfehlenswert.


Dieses Tool generiert neue Schlüssel samt Code, die einfach in der wp-config.php ersetzt werden müssen.



Änderung der Zugangsberechtigung

Ändern Sie die Berechtigung Ihrer wp-config Datei so, dass nur der Eigentümer sie lesen und beschreiben kann.


Der Vorgang ist etwas komplexer und wird hier im offiziellen WordPress-Forum beschrieben.

  5.3.5 XML-RPC Funktionen einschränken


Die XML-RPC ist eine veraltete Schnittstelle zur Kommunikation mit anderen Systemen.


Mittlerweile hat die neue WordPress API diese Aufgabe übernommen. Die Schnittstelle ist dennoch standardgemäß bei WordPress-Installationen vorhanden und sollte zumindest in Teilen deaktiviert werden. Sie stellt ein leichtes Angriffsziel dar.


Verwenden Sie dazu das kostenlose Plugin XML-RPC Pingback oder eines der von uns vorgeschlagenen Security Plugins.

  5.3.6 DDoS-Schutz


DDoS-Attacken sind nach wie vor eine ernsthafte Gefahr. Besonders, wenn Sie eine Webseite mit einer bestimmten Risiko-Exposition wie mit einem politischen Kontext oder dem kurzfristigen Verkauf von limitierten Waren (Konzertkarten oder exklusive Sneaker) betreiben.


Um sich zu schützen, sollten Sie eine Firewall einrichten. Sie können zwischen legitimen Besuchern und schädlichem DDoS-Traffic unterscheiden.


Als WordPress-Nutzer ist es am einfachsten, die Premium-Version eines Sicherheitsplugins zu erwerben. Diese verfügen über effiziente Firewalls.


6. Fazit: Sicher ist sicher


Als Webseitenbetreiber sollten Sie sich mit WordPress Sicherheit auseinandersetzen.


Umso sensibler die Daten sind, die Sie verarbeiten, umso eher müssen Sie entsprechende Maßnahmen umsetzen.


Ein absolut sicheres IT-System existiert nicht und ist auch nicht erstrebenswert. Im Zusammenhang mit WordPress ist "Security through Obscurity", also "Sicherheit durch Unklarheit" das Gebot der Stunde.


Indem Sie die Grundregeln befolgen, wie:

  • WordPress, Plugins und Themes aktuell halten
  • Sichere Passwörter nutzen
  • Zugriffe beschränken
  • Einen sicheren Webhost verwenden

... ist Ihre WordPress-Seite bereits deutlich sicherer als der Durchschnitt. Ein erfolgreicher Angriff wird damit unwahrscheinlicher.


Sollten Sie Ihre Webseite mit einem wirtschaftlichen Interesse betreiben, so empfiehlt sich die Anschaffung der Premium Version eines WordPress Sicherheit Plugins. Die Kosten liegen bei 50 - 100 € pro Jahr.


So lassen sich fast alle der im Artikel aufgeführten Maßnahmen mit einem minimalen Zeitaufwand umsetzen.


7. FAQ


Hier finden Sie die meistgestellten Fragen zum Thema WordPress Sicherheit:


1. Wie kann ich die Sicherheit meiner Website erhöhen?

Um Ihre WordPress Website praktisch zu verriegeln, können Sie einige Maßnahmen vornehmen.


Der erste Schritt in die richtige Richtung ist ein sicheres WordPress Hosting.


Weiters gibt es einige simple Dinge, die Sie auch als Anfänger umsetzen können, z. B.: die 2-Faktor-Authentifizierung zu aktivieren oder Ihre WordPress Version auszublenden.


Auf fortgeschrittener Ebene können Sie z. B. die PHP-Ausführung in sensiblen Verzeichnissen deaktivieren.


2. Ist WordPress sicher?

Grundsätzlich ist WordPress ein sicheres CMS. Hacker nutzen jedoch oft flächendeckende Schwachstellen aus und greifen gleichzeitig tausende Websites an.


Um Ihre Website abzusichern und vor solchen Angriffen zu schützen, gibt es viele wirkungsvolle Maßnahmen. So reduzieren Sie die Angriffsfläche und die Wahrscheinlichkeit eines erfolgreichen Angriffs wird verschwindend klein.


3. Wie merke ich, dass meine Website gehackt wurde?

Indizien für eine infizierte Website können z. B. neue Links und Content sein, die Sie nicht selber hinzugefügt haben, neue, eigenartige Benutzer oder eine deutliche Verlangsamung der Ladezeit.


4. Welche Angriffe können auf meine Website gemacht werden?

Es gibt eine Vielzahl an Angriffen, die auf Ihre Website vorgenommen werden könnten, u. a. Brute-Force-Attacken, die schwache Passwörter ausnutzen oder Cross Site Scripting (XXS), wo die Daten der Besucher abgefangen werden.


Sie wollen mehr über WordPress lernen?