WordPress einfach und effektiv absichern

WordPress ist sehr rasch installiert, konfiguriert und mit Inhalten befüllt. Nur ist die veröffentlichte Webseite auch abgesichert? Speziell in Hinblick auf Datenverlust und Angriffe von extern. Es gibt viele Möglichkeiten WordPress sicherer zu machen. Es gibt aber eine Hand voll Verbesserungen, die mit wenig Aufwand viel an Sicherheit bringen. Diese sind folgende:

  • Default Admin Login Name ändern

  • Starkes Admin Kennwort verwenden

  • WP-Admin Backend verstecken bzw. schützen

  • WP-Admin Backend Login IP einschränken

  • Backup Plugin verwenden

  • Security Plugin verwenden

  • WordPress Core und Plugins aktuell halten

Default Admin Login Name ändern

Den Admin User Namen zu ändern hat den Hintergrund, dass mit dem default Namen “Admin” ein Angreifer bereits einen von zwei Faktoren für einen erfolgreichen Login kennt. Somit muss nur noch ein Programm automatisiert Kennwörter mittels Brute Force bzw. Dictionary Attacke ausprobieren. Abhängig von der Rechenleistung des Angreifers kann so das Kennwort in wenigen Sekunden bis hin zu mehreren Tagen erlangt werden. Kennt der Angreifer weder Login Namen noch Kennwort, so wird der Angriff unverhältnismäßig schwieriger und zeitaufwendiger. So ändert man den WordPress Admin:

  1. Login mittels aktuellem “admin” in WordPress
  2. Unter Benutzer einen neuen Benutzer mit Administrator Berechtigungen anlegen, z.B. adwp
  3. Logout und anschließender Login mit dem neuen Admin User, in unserem Beispiel adwp
  4. Unter Benutzer den alten “admin” Benutzer löschen

Starkes Admin Kennwort verwenden

Die Wahl eines starken Kennwortes ist natürlich genau so wichtig, wie ein angepasster Admin Login Name. Was zeichnet ein starkes Kennwort aus? Es gilt einerseits die Länge des Kennwortes von mehr als 8 Zeichen und andererseits die Verwendung unterschiedlicher Zeichen. Bei der Länge des Kennwortes steigt die Sicherheit mit jedem Zeichen, 8 darf als absolutes Mindestmaß angesehen werden. Bei den Zeichen unterscheidet man zwischen Großbuchstaben, Kleinbuchstaben, Zahlen und Sonderzeichen. Ein definitives “NoGo” ist es, Wörter im Kennwort zu verwenden. Alibaba123 ist trotz der Länge von 10 Zeichen ein sehr schwaches Kennwort. Eine gute Möglichkeit sind Passwort Generatoren bzw. die Bildung von ganzen Sätzen, von denen man jeweils den ersten Buchstaben für das Kennwort heranzieht.

Dieses Kennwort setzt sich zusammen aus den Anfangsbuchstaben von dem Satz “Ich verwende WP für meine Webseite!” -> ivWPfmW!

Socialized Hinweis

Dieses Kennwort wurde mit dem Passwort Programm “KeePass” zufällig generiert -> 2Pvwn8a4

Socialized Hinweis

WP-Admin Backend verstecken bzw. schützen

Der Admin Backend Bereich von WordPress ist unter https://meineseite.tld/wp-admin erreichbar, das wissen auch die Angreifer. Will man diesen Bereich schützen, so gibt es zwei grundsätzliche Herangehensweisen. Das Ändern der Backend URL oder das Aktivieren eines Verzeichnisschutzes für den Admin Bereich. Letzteres bedarf einen eigenen Artikel, da der Schutz mittels .htaccess doch etwas ausführlicher erklärt werden müsste. Somit konzentrieren wir uns hier auf das Ändern der Admin Backend URL mittels Plugin.

Ein gutes Plugin mit der Funktion das Backend zu verstecken lautet WPS Hide Login.

  1. Gehe zu Plugins › Hinzufügen.
  2. Suche nach WPS Hide Login.
  3. Klicke auf Download und anschließend auf aktivieren.
  4. Nach Installation erscheint die Konfiguration des Plugins. Dort kann nun die WP Admin URL geändert werden.
  5. Die Konfiguration des Plugins kann jederzeit unter Settings › WPS Hide Login wieder geändert werden.

Wichtig ist es, sich die neue Admin URL zu notieren oder als Lesezeichen zu speichern.

WP-Admin Backend Login IP einschränken

Der Admin Backend Bereich kann mittels unzähliger Plugins wie z.B. WPS Limit Login geschützt werden. Will man den Schutz des Admin Backend Bereiches auf bestimmte IP Adressen oder IP Ranges einschränken, so macht man das mittels Webserver Zugriffsschutz .htaccess. Für diese Maßnahme benötigt man ausreichenden Zugriff auf die Webserver Konfigurationsdateien. Wenn man das Recht besitzt, um einen Verzeichnisschutz zu aktivieren, dann kann man durch Hinzufügen von folgenden Code Zeilen in der .htaccess Datei den Zugriff auf das Admin Backend von WordPress auf IP Adressen einschränken. Es ist neben einer .htaccess Datei auch eine .htpasswd Datei für die Login Daten erforderlich. Für Details bitte separat eine Anleitung suchen, hier wollen wir nur grob die Möglichkeiten aufzählen und erklären.

Copy to Clipboard

Die beiden “allow” Zeilen enthalten jene IP Adressen, von denen man den Zugriff erlauben möchte. Jede weitere Zeile darunter könnte eine weitere IP Adresse enthalten, wenn man z.B. von unterschiedlichen Orten auf das Admin Backend zugreifen möchte. Wichtig ist, dass ihr die beiden Dateien .htaccess und .htpasswd in das WordPress Unterverzeichnis /wp-admin hochladet, denn nur dann ist auch nur das Admin Backend geschützt und nicht gleich eure ganze Webseite.

Backup Plugin verwenden

Wenn alle Sicherheitsvorkehrungen getroffen wurden, die in eurer Zeit und eurem Wissen möglich waren und trotzdem etwas mit eurer Webseite oder euren Daten passiert, dann ist man immer gut beraten, ein Backup zu haben. Diesbezüglich gibt es auch mehrere Wege, die hier kurz aufgelistet werden:

  • Backup mittels Webhoster Tools

  • Backup manuell mittels SFTP

  • Backup mittels UpdraftPlus Backup Plugin

  • Backup mittels BackWPup Plugin

Die ersten beiden Möglichkeiten zielen darauf ab, dass man etwas mehr technisches Hintergrundwissen besitzt. Wobei sich eine Sicherung der Daten bei dem Webhoster noch einfacher darstellt, als die manuelle Variante. Beide wollen wir hier nur aufzählen und nicht näher beschreiben. Webhoster gibt es viele und somit auch unterschiedliche Lösungswege. Üblicherweise findet man Backup und Restore Routinen im Admin Dashboard des Webhosters, auf welchen die Webseite betrieben wird. Für eine manuelle Sicherungen der WordPress Dateien gibt es SFTP Programme wie FileZilla und Datenbank Admin Tools zum Exportieren der entsprechenden Datenbank. Hat man diese beiden Sicherungen, so kann WordPress im Fall der Fälle wieder manuell hergestellt werden.

Eine durchaus einfachere Methode ist das Installieren und Deaktivieren von einem Backup und Restore Plugin für WordPress. Dabei ist zu erwähnen, dass diese Methode nur so lange einfachst funktioniert, so lange das WordPress Admin Backend noch funktioniert. Ist eine WordPress Installation so stark beschädigt, dass sich der Admin nicht mehr anmelden kann, dann gestaltet sich die Wiederherstellung mittels Plugin schwieriger. Je nach Anwendungsfall sind dann trotzdem manuelle Schritte nötig, bzw. muss WordPress sogar komplett neu installiert werden. Die Vorgehensweise ist wie immer, Plugin suchen, runterladen, installieren, aktivieren, konfigurieren. Wir empfehlen folgende zwei Plugins:

Wichtig ist die Auslagerung der Datensicherung. Egal ob auf eine externe Festplatte, einem Netzlaufwerk, einem NAS oder einem Cloud Storage.

Socialized Hinweis

Security Plugin verwenden

Wenn man eine Security Suite mit einem ganzheitlichem Umfang sucht, dann ist Wordfence sicher eines der empfehlenswertesten Security Plugins an dieser Stelle. Wordfence ist eines der bekanntesten Plugins, wenn man über WordPress Security spricht. Damit ist es möglich, mit wenigen Einstellungen einen großen Sprung in Bezug auf Sicherheit zu erlangen. So ist man zumindest im unangenehmen Fall eines erfolgreichen Angriffes innerhalb einer vertretbaren Sorgfaltspflicht. Das Plugin ist in einer kostenlosen und einer kostenpflichtigen Version verfügbar. Hier der und eine Aufzählung der Core Features von Wordfence Security.

  • Firewall
  • Malware Scanner
  • Login Schutz (Zweifaktor-Authentifizierung und Login Block)
  • Security Dashboard für einen raschen Überblick
  • WordPress Core und WordPress Plugin Update Check
  • E-Mail Benachrichtigung anhand definierter Trigger

Die zwei bekanntesten und sehr gut bewerteten WordPress Security Plugins:

WordPress Core und Plugins aktuell halten

Update WordPress

Updates, immer wieder kann man es nur betonen, Updates müssen installiert werden – und zwar regelmäßig. Sicherheitslücken werden fast täglich gefunden und veröffentlicht. Software Hersteller versuchen darauf rasch zu reagieren und bringen dann kleinere und größere Updates. Diese werden natürlich nur dann effektiv, wenn diese Updates von Webseiten Betreibern auch zeitgerecht eingespielt werden. Dabei muss darauf geachtet werden, dass sowohl

  • WordPress Core
  • die verwendeten Themes
  • und auch Plugins

immer möglichst auf dem aktuellen Stand gebracht sind. Im Umkehrschluss bedeutet das, je weniger Themes und Plugins in Verwendung sind, um so weniger Aufwand hat man mit der Wartung durch Updates.