WordPress absichern

WordPress ist kostenlos und populär. Doch die hohe Verbreitung macht das CMS für Hacker attraktiv! Außerdem gefährden zu komplexe Konstruktionen die Stabilität deiner Website. In diesem Security-Tutorial erkläre ich dir, wie du WordPress-Katastrophen auf fünf Ebenen vermeidest.

1. Bei der Konzeption deiner Website.
2. Bei der Installation von WordPress.
3. Im laufenden Betrieb.
4. Durch Backup und Wiederherstellung (Spiegelung).
5. Duch Aneignung von aktuellem WordPress-Knowhow.

1.WordPress bei der Konzeption absichern

Regel Nummer 1: Erschaffe dir kein Monster. Unproblematisch und gut für deine SEO ist die Kombination verschiedener Funktionen einer Website kombinieren. Zum Beispiel:

• Portfolio-Website plus Blog und Shop
• Blog mit angeschlossenem Shop
• Onlineshop mit angeschlossenem Blog

Problematisch sind dagegen:

• Plugins, die Social-Media-Beiträge auf deiner Website ausspielen
• Plugins, die länger nicht mehr vom Hersteller upgedatet wurden
• Themes, die länger nicht mehr vom Hersteller upgedatet wurden
• Zu komplexe Konstruktionen aus Plugins und Extensions. Beispiel: WooCommerce plus Membership-Bereich plus wiederkehrende Zahlung plus Terminbuchungs-Funktion.
• Ein schlechter Hoster.
• Komplexe Pagebuilder mit einer geringen Nutzerbasis. Wenn so ein Nischen- Pagebuilder nämlich in fünf Jahren vom Hersteller aufgegeben wird, hast du ein Problem.

2. WordPress bei der Installation absichern

Verwende ein SSL-Zertifikat

Für WordPress und erst recht für einen Shop benötigst du immer ein SSL-Zertifikat.

• Die meisten Hoster bieten ein kostenloses SSL-Zertifikat innerhalb des Hostingpakets an.
• Weise das SSL-Zertifikat vor der Installation von WordPress der Domain zu, auf der du WordPress installieren willst. Damit ersparst du dir später den Umzug von HTTP auf HTTPS.
• Installiere WordPress sofort auf eine HTTPS-Domain – nicht auf eine HTTP-Domain.

Erzwinge HTTPS

Kontrolliere bei der Installation von WordPress, ob du im Kundencenter des Hosters alles richtig eingestellt hast, insbesondere die Weiterleitung aller HTTP-Anfragen auf HTTPS. Probiere es aus! Du musst bei der Eingabe der Installations-URL sofort auf eine HTTPS-Seite umgeleitet werden, auch wenn du HTTP eingegeben hast. An diesen beiden Merkmalen erkennst du eine verschlüsselte Seite:

1. Zeichen mit Schlösschen
2. https:// statt http://

Funktioniert die Weiterleitung von HTTP auf HTTPS nicht, dann kontaktiere deinen Hoster. Das macht vor der Installation ein bisschen Arbeit, erspart aber nachher ein ganze Menge Ärger. 😉

MySQL und PHP – neueste Versionen

Bei guten Hostern kannst du für MySQL und PHP zwischen unterschiedlichen Versionen wählen. Stelle hier die aktuellen Versionen ein. Die älteren Versionen sind nur für die Fehleranalyse gedacht!

Datenbank-Prefix ändern

Bei der Installation von WordPress musst du die Zugangsdaten zur Datenbank in die Datei config.php eintragen. Dabei hast du die Möglichkeit, das Datenbank-Prefix zu ändern. Voreingestellt ist wp_ verwende zum Beispiel wukw7_. Weil Hacker mit Standardkonfigurationen ein leichtes Spiel haben, erhöht ein individuelles Prefix die Sicherheit.

Noch ein Tipp zum sicheren Upload deiner WordPress-Dateien auf den Server des Providers: Verwende SFTP statt FTP in deinem FTP-Client. Das geht mit FileZilla.

Sicheres Passwort

Bei der Passwortvergabe für WordPress verwendest du natürlich NICHT 1234 oder Admin oder deinen Shopnamen! WordPress nimmt dich hier bei der Hand und blendet die Sicherheitsstufe ein. Stark ist die richtige.

Installation aufräumen

Die Datei wp-config-sample.php hat keine Funktion, außer den Hackern zu verraten, welches CMS aufgesetzt ist.

Also weg mit der wp-config-sample.php. Aber die wp-config.php bleibt auf dem Server, denn da sind ja die Zugangsdaten für deine Datenbank gespeichert! Löschen kannst du auch die Readme-Dateien und die Lizenzinformationen. Es genügt wenn du diese Dateien lokal gespeichert hast.

3. WordPress im laufenden Betrieb absichern

WordPress ist schon nach der Installation unter Dauerbeschuss automatisierter Hacker-Scripte. Schützen kannst du dich mit Sicherheits-Plugins. Hierbei gibt es zwei Ansätze:

• Ein großes Sicherheits-Plugin einsetzen, zum Beispiel WordFence.
• Mehrere kleine Sicherheits-Plugins, zum Beispiel Antispam Bee (Falls du die Kommentarfunktion nutzt plus Limit Login Attempts Reloaded plus Remove XML-RPC Methods.

Achtung: Betreibe keine Plugins parallel, die die selben Funktionen ausführen

Updates, Updates, Updates

Veraltete Software ist früher oder später gehackte Software. Diese Updates musst du durchführen, um Sicherheitslücken zu schließen:

• WordPress Core – sicherheitstechnisch sehr relevant
• Plugins – sicherheitstechnisch extrem relevant
• Themes – sicherheitstechnisch sehr relevant
• Übersetzungen – sicherheitstechnisch wenig relevant

Core-Updates

WordPress unterscheidet Minor Updates und Major Updates.

• Minor Updates – du erkennst Sie an der dreistelligen Nummer, zum Beispiel WordPress 6.6.1. Minor Updates sind problemlos, sie beheben nur kleinere Fehler und Sicherheitslücken
• Major Updates – du erkennst Sie an der dreistelligen Nummer, zum Beispiel WordPress 6.7. Major Updates bringen neue Funktionen in den WordPress Core, sie können zu unliebsamen Überraschungen führen. Tipp: WordPress vorher spiegeln und Update auf Testumgebung durchführen.

PS: Die Major-Versionen von WordPress werden einfach durchgezählt. Das Update von 6.9 auf 7.0 ist also nicht spektakulärer als von 6.8 auf 6.9.

Jedes Plugin ist ein Sicherheitsrisko

• Verzichte auf überflüssige Plugins. Je mehr Plugins, desto instabiler und angreifbarer dein WordPress,

Registrierungs-Haken entfernen

• Kontrolliere bei Einstellungen / Allgemein, ob die Checkbox bei Mitgliedschaft deaktiviert ist.
• Setze die Standardrolle eines neuen Users auf Abonnent.

Social Engineering

Zun den verblüffend erfolgreichen Angriffsmethoden zählt des Social Engineering. Hier habe ich die Technik des Social Engineering mal erklärt:

4. WordPress spiegeln und auf eine weitere Art sichern

WordPress zu spiegeln bedeutet, eine exakte Kopie deiner bestehenden WordPress-Website zu erstellen. Dies kann aus verschiedenen Gründen nützlich sein, wie z.B. für Backup-Zwecke, zum Testen von Plugins oder Änderungen in einer sicheren Umgebung oder beim Umzug auf einen neuen Server. Hier sind die beiden grundlegenden Schritte, um eine WordPress-Website zu spiegeln:

Backup erstellen

• Erstelle ein Backup von Dateien und der Datenbank (MySQL oder MariaDB), in der alle Inhalte und Einstellungen deiner WordPress-Seite gespeichert sind. Am einfachsten funktioniert das über das Plugin Backup Migration.

Backup einspielen

• Installiere auf dem neuen Server (oder auf Lokal WP) ein neues WordPress.
• Installiere Backup Migration
• Überspiele das neu installierte WordPress mit der Sicherung aus Backup Migration

WordPress auf eine weitere Art sichern

Sichere WordPress zusätzlich auf eine weitere Art!

• Per XML-Export
• Über deinen Hoster und über dein FTP-Programm

5. WordPress-Knowhow aneignen

Aktuelles WordPress-Wissen bekommst du auf WordPress-Veranstaltungen (Meetups und WordCamps). Die zukünfigen Events werden dir in deinem Backend angezeigt.

Du kannst dabei einen Ort auswählen, im Beispiel oben ist es Frankfurt. Angezeigt werden:

1. Ein Online-Meetup, ausgerichtet vom Meetup Mannheim (kostenlos)
2. Ein Präsenz-Meetup, augerichtet vom Meetup Koblenz (kostenlos)
3. Das WordCamp Karlsruhe (25 Euro pro Person, es gibt aber auch eine Möglichkeit der kostenlosen Teilnahme)

Voraussetzung zur Teilnahme ist eine Anmeldung.

• Anmeldung bei Meetups: Über die Meetup-App
• Anmeldung zum WordCamp: Über die betreffende WordCamp-Website

Sicherheitsfragen werden auch auf dem WordPress-Support-Forum behandelt.