Sicherheit klingt immer gut. Aber worum geht es dabei? Ist WordPress unsicher? Wogegen und wie soll WordPress geschützt werden?

WordPress & Sicherheit

Aktuelle Gefahr droht hauptsächlich durch böswillige Eindringlinge, die im System Code platzieren, um einerseits diesen weiter zu verbreiten und andererseits um Angriffe auf andere Systeme ausführen zu können z.B. mit der Brute-Force-Methode. Dies geschieht möglichst verdeckt, damit der Betreiber der Website keinen Verdacht schöpft und keine Gegenmaßnahmen ergreift.

WordPress selbst ist relativ sicher. Das Projekt wird aktiv entwickelt und falls Sicherheitslecks bekannt werden, wird die Schwachstelle in der Regel in kurzer Zeit behoben und ein Sicherheitsupdate bereit gestellt. Ein guter Grund auf regelmäßige Updates zu achten, auch wenn kleinere Aktualisierungen sogar automatisch ausgeführt werden. Es gibt darüber hinaus einige Punkte, die gerade Anfänger berücksichtigen sollten, um einen unbefugten Zutritt zum System zu verhindern.

WordPress Sicherheitstipps für Anfänger

Sicheres Passwort

Ein sicheres Password sollte für jeden zum Standard gehören. Obwohl das nicht ganz richtig ist. Die Mehrzahl fehlt: Sichere Passwörter sollten zum Standard gehören. Selbst ein gutes Passwort, das für viele Seiten und Logins verwendet wird, kann auf eine der von Hackern verwendeten Passwortlisten gelangen, weil z.B. nur einer der genutzten Seiten oder Dienste gehackt und das Passwort ausgespäht wurde. Also stets für jeden Dienst und jede Seite ein eigenes Passwort erstellen.

Als Gedächtnisunterstützung sind Apps wie 1Password, LastPass und KeePass empfehlenswert, die auch gleichzeitig eine Funktion zum Erstellen von sicheren Passwörtern bieten. Wer noch Passwörter wie "Test", "123456", "Passwort" oder ähnlich einfach zu erratende Varianten nutzt, sollte sich den Artikel "Was macht ein sicheres Passwort aus?" durchlesen und anschließend umgehend ein neues Passwort erstellen, das die genannten Kriterien Zufall, Länge und Einmaligkeit erfüllt.

Backup

Da es keine absolute Sicherheit gibt, ist mit einer guten Backupstrategie im Ernstfall die Website komplett wiederherstellbar. Bei den Empfehlungen aus unserem "WordPress Backup" Artikel, sollte in diesem Zusammenhang dringend auf folgende zwei Kriterien geachtet werden:

  1. Backups nicht nur auf dem Server sichern: Falls die Website gehackt wird, ist das Backup ggf. beeinträchtigt oder nicht mehr zugänglich.
  2. Auch längerfristig Backups speichern: Wenn das eigene System unbemerkt vor einem Monat gehackt wurde, helfen Backups der letzten zwei Wochen nicht weiter.

Updates, Updates, Updates

Sämtliche Systemkomponenten so aktuell wie möglich zu halten ist eine ausgezeichnete Vorsichtsmaßnahme. Während WordPress einfache Updates automatisch ausführt, gilt dies leider nicht für Plugins und Themes. Letztere enthalten viel häufiger die ausgenutzte Schwachstelle für einen erfolgreichen Angriff als WordPress selbst. Insofern immer achtsam bei der Auswahl von Plugins und Themes sein und auf regelmäßige Aktualisierungen achten.

Sicherheitsplugin

Es gibt ausgezeichnete kostenfreie Sicherheitsplugins, die das System überwachen und Maßnahmen zum Schutz vor Angriffen vornehmen. Unsere Empfehlungen: Wordfence Security oder Sucuri Security. Beide Plugins sind auch in einer kostenpflichtigen Version mit erweiterten Funktionen zu haben.

Zusätzliche Sicherheitstipps zur Bereinigung von Altlasten

Für Anfänger sind die oben genannten Hinweise eine gute Ausgangsbasis. Folgende Hinweise können bei bereits länger aktiven WordPress Installationen wichtig sein.

Kein admin als Benutzernamen

Mittlerweile zwingt WordPress jeden bei der Installation einen anderen Benutzernamen als "admin" zu vergeben. Das war nicht immer so und damit hatten Angreifer leichteres Spiel, weil diese bei ihrem Zugriffsversuchen davon ausgehen konnten, dass der Benutzername in vielen Fällen "admin" lautet. Leider wird dieser Benutzername auch heute noch von einigen Webhostingdiensten in deren 1-Klick WordPress Installationsroutinen verwendet.

Falls ein Benutzer namens "admin" in WordPress existiert, sollte ein neuer Nutzer mit Administrationsrechten und anderem Benutzernamen eingerichtet werden. Und anschließend wird der Benutzer "admin" gelöscht. WordPress lässt keine Änderung von Benutzernamen zu.

Authentifizierungsschlüssel und Salts in der wp-config.php

WordPress erzeugt während der Installation automatisch Authentifizierungsschlüssel und Salts, die der Verschlüsselung von Informationen dienen und in der in der wp-config.php gesichert werden. Findet sich in der Datei ein entsprechender Abschnitt mit Zufallszeichenketten ist alles in Ordnung:

define('AUTH_KEY',         'daG[N?f-zo3t)~`3r;S_+-mZ:w1lwhiYv?M1|Bn__G]s+$U-aj#?,NS-s,+p2t');
define('SECURE_AUTH_KEY',  'HzGIYn?.{DoAW(,<hXknw4bto&@c9f 2ulBg<VEw<Ozw`Jowt{oll|rN7i;Kqzy3');
define('LOGGED_IN_KEY',    '?Svsy-y%qSgkvxe3.5v^D)7a=sj-Wj5}n]tg*.T5$>&+kh&-%}DP0?[ip$/}bQdU');
define('NONCE_KEY',        'lE9}I)<][,<o{Y PC2SUedqXXeoIBfw#|dJ^=+M5N&:+yEL+bZM_2sFDXbDuk1c@');
define('AUTH_SALT',        'RN>4j_P0ofurW;PH[2KjL=)50j[J;c1*HmakxG=5-fC&+9F/+F>DW2,M)r-MJ*Y>');
define('SECURE_AUTH_SALT', '{5blN_-1Dvnt>D&#%nqXZCE7p7LY98%MIm!NDd@f77t$I?LSg~I9-uMXM+gPch8n');
define('LOGGED_IN_SALT',   'a4APNC8K(qz}zH(B^6MA6$-utW0iC}/b]U:tz:tLYG1ASo|]06At=TRl|r~>Vp');
define('NONCE_SALT',       'bg%-<`dNlLT+._J|gtu3B=oi+/A#7/c0zNlOxJGv@isV@Z8h?+3/V:4M@NB/?%');

Bei älteren Installationen kann dieser Abschnitt fehlen und sollte zur Erhöhung der Sicherheit nachgetragen werden (Achtung: nicht mit den oben genannten Beispieldaten!). Eine schnelle Methode neue, sichere Keys per Zufall zu generieren bietet der Online Salt-Key Generator. Weitere Informationen finden sich in unserem Artikel zur wp-config.php.

Weiterführende Tipps

Fremde Anmeldeversuche einschränken

Angreifer nutzen Bots, um durch automatisiertes Austesten von verschiedenen Benutzernamen und Passwortkombinationen den Login zu erraten. Daher ist es ratsam die Anmeldeversuche zu begrenzen. Dies erledigen die oben genannten Sicherheitsplugins bereits recht gut. Zusätzlich kann das Hinzufügen von Sicherheitsfragen zum Login automatisierte Anmeldeversuche weiter behindern. Dabei hilft das WP Security Question Plugin.

Kommentarspam verhindern

Spam in den Kommentaren ist kein Sicherheitsproblem für das System, aber trotzdem nervig und unangenehm. Falls die Kommentarfunktion freigeschaltet ist, lassen sich viele Spamkommentare mit Hilfe des Plugins Antispam Bee verhindern.

Fazit WordPress Sicherheit für Anfänger

Mit nur wenigen anfängerfreundlichen Maßnahmen lässt sich die Sicherheit einer WordPress Installation deutlich erhöhen. Mit dem Wissen, dass es keine absolute Sicherheit gibt, sollte trotzdem stets für ein regelmäßiges Backup gesorgt werden.