WordPress Sicherheit für Experten


Firewall Block Bad Queries (BBQ)

BBQ ist eine superschnelle Firewall, die WordPress automatisch vor Versuchen schützt, Schadcode über URL-Aufrufe auszuführen. Das Plugin ist einfach zu installieren und erfordert in der Grundinstallation keinerlei weitere Einstellungen. Im Übrigen ist es auch DSGVO konform.

WordPress-Plugins und -Themes: Quality first

Plugins und WordPress-Themes von Drittanbietern sind oft mit Sicherheitslücken versehen, wenn sie nicht aktuell sind. Das öffnet natürlich Hackern Tür und Tor. Grundsätzlich sollten nur solche Plugins installiert werden, die auch sinnvoll sind und unbedingt benötigt werden. Je mehr Plugins in der WordPress Installation integriert sind, desto größer ist die Gefahr, dass Probleme mit der Kompatibilität auftreten und damit Systemausfälle vorprogrammiert sind.

Es sollten auch nur Plugins verwendet werden, die im offiziellen WordPress-Verzeichnis gelistet sind. damit kann man relativ sicher sein, dass die registrierten Plugin-Entwickler fehlerfreie Plugins zur Verfügung stellen.

Bei WordPress-Themes ist ebenfalls darauf zu achten, dass diese im offiziellen WordPress-Theme-Directory: https://wordpress.org/themes/ gelistet sind. Das gilt besonders für kostenlose Themes.

Bei kostenpflichtigen Themes und Plugins (z.B. auf Themeforest etc.) kann man ziemlich sicher sein, dass man Qualitätsprodukte für sein Geld bekommt. In den meisten Fällen wird von den Entwicklern auch Support angeboten.

Aktualität der WordPress Software

Für eine sichere WordPress Website ist die Aktualität der installierten WP Software ein entscheidender Faktor. Die Zeiträume der Aktualisierungen für die WordPress Software sind ziemlich kurz bemessen. Pro Jahr werden mehrere Updates angeboten. Bei den meisten Plugins und Themes sind diese Zyklen noch kürzer gesetzt, so dass über das Jahr eine Vielzahl an Aktualisierungen in der WordPress Installation vorgenommen werden müssen.

Die Updates sind besonders wichtig, weil damit meist auch Sicherheitslücken geschlossen werden. Insbesondere vor größeren Updates sollte eine komplette Sicherung des gesamten Systems vorgenommen werden (Dateien und Datenbank). So kann im Notfall immer auf die ursprünglichen Daten zurückgegriffen werden und die ursprüngliche Installation wieder hergestellt werden.

Im Dashboard von WordPress werden Updates immer mit einem Hinweis angezeigt. Man weiß also sofort, welches Plugin reif für ein Update ist.

Regelmäßige Backups

Ist Ihre Website in kürzeren Zeitabständen gesichert, ist dies ein guter Schutz vor Hacker-Angriffen. Auf diese Weise kann die Website nach einer Infizierung oder Zerstörung durch einen Angriff im Notfall wieder hergestellt werden. Bei ständig aktualisierten Websites sollte ein Backup täglich vorgenommen werden. Wird die Website nur gelegentlich aktualisiert durch neuen Content, dann reichen auch wöchentliche oder monatliche Backups.

Manuelle Sicherung

Sicherungen können manuell durchgeführt werden. Über den FTP Client (z.B. FileZilla) können die Daten vom Webserver auf den örtlichen Rechner heruntergeladen werden. Die Datenbank wird über PHPMyAdmin im Kundenaccount des Providers gesichert und ebenfalls auf dem eigenen Rechner abgespeichert.

Automatische Sicherung per Plugin

Mit einem geeigneten Backup-Plugin wie BackWPup oder UpdraftPlus können sowohl die Daten als auch die Datenbank in unterschiedlichen Formaten gesichert werden und anschließend lokal auf dem eigenen PC gespeichert werden. Es ist aber auch möglich, den Download der Sicherungen in die eigene Dropbox oder Google-Cloud-Account zu sichern.

Sicherung des Admin-Bereichs

Was besonders wichtig ist: Der Admin-Bereich sollte unbedingt vor Hackern abgesichert werden. Bei WordPress lautet der Login-Link immer: www.ihrewebsite.com/wp-admin oder …/wp-login.php.

Um die Login-URL umzubenennen, kann man das Plugin „Rename wp-login.php“ nutzen. Damit wird die Login-Seite komplett abgeschottet.

Es gibt noch ein weiteres Plugin für eine Zwei-Wege-Authentifizierung: „Google Authenticator“. Dies sichert den Login-Bereich in der Form ab, dass zusätzlich zu den normalen Zugangsdaten ein weiterer Code im Login-Formular eingegeben werden muss. Man benötigt hier jedoch eine App für sein Smartphone, über die jedes mal ein neuer Login-Code generiert wird.

Sicherung per .htaccess

Eine weitere Sicherheitsmaßnahme ist die serverseitige Absicherung der „wp-login.php“. Hier muß eine .htaccess- und .htpasswd-Datei erstellt werden, vorausgesetzt man hostet auf einem Apache Webserver.

Security Plugins

Die Verwendung der meisten Security Plugins ist leider nicht mehr DSGVO konform, da diese Userdaten aufzeichnen. Deshalb führen wir diese Plugins hier nicht mehr auf. Im Einzelfall kann aber auch geprüft werden, ob die Konformität noch vorhanden ist.

Fazit

Mit den genannten Maßnahmen kann die eigene WordPress Installation sehr gut gegen Hackerangriffe abgesichert werden. Eine 100%-ige Sicherheit gibt es allerdings nicht. Ist die eigene Website wirklich gehackt, hat man das aktuelle Backup seiner Website immer griffbereit und kann so den Internetauftritt wieder online stellen.

JoeWP WordPress Agentur - Anfrage

Du willst diese Maßnahmen durch uns vornehmen lassen?

Du willst jetzt gleich loslegen? Bespreche Dein Projekt mit uns!