Header für Artikel: WordPress absichern vor Hackern

WordPress absichern – so einfach geht’s

Eine WordPress-Website ist komplett Hackern ausgeliefert. Sie ist online und daher für jeden erreichbar. Daher sollte man unbedingt ein paar Sicherheitsmaßnahmen ergreifen, um die eigene Website vor unbefugten Zugriffen zu schützen.

Wie sichere ich mein WordPress Webseite vor Hackern?

  1. Sie sollten das System samt Plugins und Themes auf dem neuesten Stand halten. Also immer alle Updates installieren. Damit haben Sie schon einen großen Schritt gemacht, Richtung hoher Sicherheit.
  2. Machen Sie regelmäßig Backups.
  3. Schützen Sie das Backend von WordPress, also den WP-Admin-Bereich.
  4. Halten Sie Ihren Rechner auf dem neuesten Stand und lassen Viren-Scanner laufen. Sollte Ihr Rechner gehackt sein, kann der Angreifer womöglich auch auf Ihr Backend der Website zugreifen.
  5. Benutzen Sie einen sicheren Hosting-Anbieter.

Warum Updates für WordPress, Plugins und Theme installieren?

Das größte Einfallstor für Hacker sind WordPress-Installationen mit veralteten Plugins usw. Ähnlich wie bei Windows ist Ihr System angreifbar, wenn nicht die Sicherheitsupdates durchgeführt werden.

WordPress führt normalerweise selbstständig die wichtigsten Updates durch, sodass auch ältere Versionen geschützt sind. Plugins muss man allerdings selber pflegen. Es sei denn, man hat die automatische Aktualisierung aktiviert. Meiner Meinung nach sollte man dies machen.

Auto Updates für Plugins in WordPress
Automatische Updates sind aktiv

Eine automatische Aktivierung vom Theme sehe ich eher kritisch, weil dies zu ungewünschten Design-Änderungen führen kann. Außerdem gibt es selten Sicherheitslücken in Themes. Wer wirklich sicher gehen will, kann dies natürlich aktivieren.

Wie mache ich Backups von WordPress?

Backups sind eigentlich ein eigener Bericht, doch im Zuge der Absicherung vermutlich auch sinnvoll, grob zu klären. Im Ernstfall, also wenn die Website gehackt worden ist, ist es sehr viel einfacher eine alte Version der Website zu installieren als in der befallenen Version nach dem Hacker und den betroffenen Dateien zu suchen. Man kann nie ausschließen, dass sich der Angreifer irgendwo ein Schlupfloch gelassen hat.

Ein Backup kann man erstellen

  • über ein WordPress-Plugin
  • per Hand mithilfe von PHPMyAdmin und einem SFTP-Zugang
  • oder über eine Backup-Funktion des Hosters.

WordPress-Plugin für Backups

Es gibt zahlreiche Plugins und mein präferiertes ist sicher nicht DIE einzige Lösung. Da ich aber schon über Jahre sehr gute Erfahrung damit gemacht habe (und mittlerweile auch die Pro-Version nutze), möchte ich es hier vorstellen.

Duplicator von snapcreek erstellt nach der Installation in WordPress einen eigenen Menü-Eintrag links. Dort auf Archive klicken und ein neues erstellen. Es wird eine Überprüfung vorgenommen und anschließend bestätigt man den Vorgang. Am Ende erhält man ein Archiv und eine Installer-Datei. Mit diesen beiden Dateien kann man komfortabel die Website-Kopie installieren. Auch auf anderen Domains.

Scan mit Duplicator in WordPress
Check des Systems mit Duplicator bevor alles gesichert wird

Backup per Hand mit PHPMyAdmin und SFTP

Hier wird etwas technisches Wissen vorausgesetzt. Zuerst meldet man sich beim Hoster an und sucht nach dem Eintrag für Datenbanken. Dort klickt man auf die entsprechende WordPress-Datenbank mit „PHPMyAdmin öffnen“. Dies kann natürlich von Hoster zu Hoster anders formuliert sein.

Es öffnet sich dann ein neues Fenster mit der Datenbank-Verwaltung namens PHPMyAdmin. Klicken Sie oben auf den Reiter „Export“. Dort nur noch auf „OK“ klicken und die eine Sicherung der Datenbank wird geladen. Speichern Sie diese Datei auf Ihrem Rechner.

Datenbank exportieren
MYSQL-Datenbank exportieren

Nun fehlen noch die Dateien des WordPress-Systems. Erstellen Sie dafür einen SFTP-Zugang und öffnen diesen. Ziehen Sie nun alle Dateien bzw. am besten den ganzen Ordner vom System auf Ihre lokale Festplatte. Die FTP-Software zeigt meistens links den Server und rechts die Festplatte (oder umgekehrt). Nachdem alle Daten geladen worden sind, haben Sie ein vollständiges Backup erzeugt und auf Ihrem Rechner gesichert!

Backup mit dem Hoster

Diesen Service bieten nicht alle Hoster; manche nur gegen Aufpreis. Suchen Sie im CPanel oder im Backend vom Hoster nach etwas wie „Backup“ oder „Sicherungen“. Vielleicht werden Sie fündig und können dann eine automatische Sicherung einrichten. Strato macht dies zum Beispiel automatisch. Man kann dort sogar anwählen, welcher Zustand aus der Vergangenheit wieder hergestellt werden soll.

Wie schütze ich das Backend von WordPress?

Über den Link webadresse/wp-admin oder webadresse/wp-login.php kann jeder auf die Anmeldeseite Ihrer Website zugreifen.

Anmelde URL verändern

Der erste Schritt ist also, hier einen anderen Namen bzw. URL einzurichten.

Ich verwende dafür das Plugin: WPS Hide Login.

Die Anwendung ist simpel. Einfach installieren und dann unter Einstellungen – Allgemein nach unten scrollen und die neue Adresse angeben – zum Beispiel: meinLogin123. Das Wort sollte natürlich nicht einfach login oder anmelden heißen. Das wird leicht erraten.

Anmelde-Bereich durch htaccess schützen

Der zweite Schritt besteht darin, den Aufruf der Anmeldeseite noch mit einem zusätzlichen Schutz zu sichern. Dies geht serverseitig, kann aber auch bequem mit einem Plugin gelöst werden: htaccess protect.

Mit diesem Plugin können Sie wählen, welche Bereiche geschützt werden sollen. Legen Sie im unteren Bereich der Einstellungen Benutzernamen und Kennwort fest. Sie können auch mehrere Benutzer anlegen!

Anmelde-Versuche blockieren

Der dritte Schritt macht es noch sicherer: Falls jemand tatsächlich alle vorigen Hürden geschafft hat, kann man noch die Anmelde-Versuche protokollieren lassen. Sollte jemand nach dem dritten Versuch immer noch das falsche Kennwort eingegeben haben, wird er vom System für eine bestimmte Zeit ausgesperrt.

Diese Funktion kann man mit dem Plugin „Limit Login Attempts“ realisieren.

XML-RPC abschalten

Im vierten Schritt stelle ich die Möglichkeit ab, über die externe Schnittstelle von WordPress Anmeldeversuche zu starten: Deaktivieren Sie dafür das XML-RPC Protokoll zum Beispiel mit dem Plugin „Disable XML-RPC-API„.

Admin-Namen ändern und Inhalte mit Redakteurs-Rechten schreiben

Als weiteren Schritt, den man am besten schon von Anfang an macht, ist die Einrichtung eines Redakteurs zum Schreiben von Blog-Artikeln bzw. des Inhalts. So kann niemand den Namen des Admins erkennen. Der Name des Autors wird nämlich mit dem Inhalt ausgeliefert.

Natürlich sollte man auch den Namen des Admins von Admin auf einen anderen anpassen. Falls dies nicht schon bei der Einrichtung des Systems gemacht wurde, muss man einen neuen Admin-Account erstellen und den alten löschen.

Einfache Firewall installieren für WordPress

Zusätzlich zu den bereits genannten Plugins gibt es ein weiteres namens BBQ Firewall, welches ohne Einstellungen sofort alles Wichtige regelt und bösartige Anfragen blockiert.

Zwei Faktor Authentifizierung einrichten

Dies kennen Sie womöglich schon vom Online-Banking: Sie erhalten nach der Anmeldung einen Code an Ihr Handy oder an Ihre E-Mail-Adresse. Diesen müssen Sie zur vollständigen Anmeldung auch noch eintragen. Diese Möglichkeit gibt es für WordPress auch. Allerdings sehe ich dies nur als Beiwerk an; wenn Sie alle Schritten von oben ausgeführt haben, ist eine weitere Authentifizierung nicht notwendig. Wer aber noch nichts eingerichtet hat, der kann auf diesem Weg schon mal ein großen Riegel vorschieben.

Vor der Manipulation des Systems durch veraltete Plugins ist man damit aber trotzdem nicht sicher!

Wie kann man seine WordPress am einfachsten schützen?

Tatsächlich ist der Aufwand, den ich oben beschrieben habe, groß und umständlich, da man viele Plugins installieren muss. In der Praxis ist es aber schnell erledigt.

Wer sich in Sicherheit wiegen möchte, kann auch auf Sicherheits-Plugins zurückgreifen. Diese regeln alles in Einem, sind aber nicht immer einfach in der Konfiguration. Wer richtigen Schutz möchte, muss dann meistens auf die PRO-Variante zurückgreifen und dafür bezahlen. Außerdem wird die Website durch diese Form des Schutzes meistens langsamer.

Die wichtigsten Sicherheits-Plugins lauten

Warum werden WordPress-Seiten überhaupt gehackt?

Natürlich aus monetären Gründen. Der Angreifer möchte mit Ihrem System Geld verdienen. Das kann er auf verschiedene Weise:

  1. Mit Aufruf Ihrer Website wird automatisch eine Umleitung aktiv, die auf eine andere zwielichtige Website umleitet.
  2. Mit Aufruf Ihrer Website wird im Hintergrund Schadcode aktiv, der dem Besucher einen Trojaner oder anderes unterjubeln will.
  3. Es wird Werbung auf Ihrer Website eingeblendet.
  4. Es werden neue Unterseiten erstellt, mit illegalen Angeboten. Gerne genutzt für angebliche Probleme mit Ihrem Bank-Konto, der DHL-Lieferung usw.

Der Fantasie sind dort keine Grenzen gesetzt und das erstaunliche ist die Intelligenz dahinter: Die meisten Hacks sind so programmiert, dass der Admin die Änderungen nicht sieht! Nur normale Benutzer bekommen dies untergeschoben. Ein Administrator der Website ist also lange Zeit ahnungslos, weil er diesen Müll nicht sehen kann.

Schreibe einen Kommentar