WordPress ist mit einem Marktanteil von 44 Prozent aller Websites im Internet ein äußerst beliebtes Content-Management-System (CMS). Ich bin ja selber Nutzer… Leider macht es seine weite Verbreitung auch zu einem bevorzugten Ziel für Angreifer. Häufige Angriffsszenarien umfassen Brute-Force-Attacken, SQL-Injection und das Ausführen von Schadcode. Ohne ausreichenden Schutz können sensible Nutzerdaten kompromittiert werden, die Website in Suchergebnissen abrutschen (Abstrafung durch Google) oder im schlimmsten Fall der komplette Zugriff verloren gehen. Doch keine Sorge: Mit einfachen Maßnahmen können Sie Ihre Website deutlich besser schützen.
Hier sind die wichtigsten Schritte, um Ihre WordPress-Installation sicherer zu machen:
• Plug-ins und Themes sorgfältig wählen und aktuell halten
◦ Drittanbieter-Erweiterungen sind oft das Problem: Themes und Plug-ins von Drittananbietern weisen immer wieder Sicherheitslücken auf.
◦ Weniger ist mehr: Installieren Sie nur so wenige Plug-ins wie wirklich nötig. Prüfen Sie, ob sich Funktionen von Plug-ins überschneiden.
◦ Regelmäßige Updates: Halten Sie installierte Erweiterungen stets auf dem neuesten Stand. Überprüfen Sie im Dashboard unter „Plugins“, ob automatische Aktualisierungen aktiviert sind, aber beachten Sie, dass dies auch zu Konflikten führen kann. Manuelle Updates sind ebenfalls möglich.
◦ Seriosität prüfen: Vor der Aktivierung eines neuen Plug-ins sollten Sie prüfen, wer der Hersteller ist, ob es regelmäßig aktualisiert wird und wann das letzte Update erfolgte. Nutzerkommentare im offiziellen Verzeichnis auf wordpress.org geben Aufschluss über Probleme.
◦ Vorsicht vor „Gratis“-Angeboten: Kostenlose oder „Premium“-Themes und Plug-ins aus inoffiziellen Quellen können mit Schadcode verseucht sein.
◦ Informiert bleiben: Verfolgen Sie Sicherheitsnews auf Plattformen wie heise security, WP Tavern und Sucuri Blog, um über Schwachstellen auf dem Laufenden zu bleiben. Deaktivieren Sie Erweiterungen im Zweifel, bis ein Sicherheitsupdate verfügbar ist.
• Sicherer Server und Webspace
◦ Aktuelle Server-Software: Achten Sie darauf, dass auf dem Server, auf dem WordPress läuft, nur stabile, sichere und aktuelle Software (z.B. eine aktuelle PHP-Version) eingesetzt wird.
◦ Seriöser Hoster: Bei Webspace-Paketen kümmert sich der Webhoster um Server-Updates und Sicherheit; wählen Sie einen Anbieter, der Lücken schnell schließt.
◦ HTTPS nutzen: Sichern Sie Ihre Website mit HTTPS ab, um Daten verschlüsselt zu übertragen.
◦ SFTP statt FTP: Verwenden Sie für den Upload von Daten und dem CMS selbst SFTP (verschlüsselte FTP-Verbindung), da Passwörter und andere Daten dabei verschlüsselt und nicht im Klartext übertragen werden.
◦ Separate Datenbank: Jede WordPress-Installation sollte eine eigene Datenbank haben.
◦ Tabellen-Präfix ändern: Verwenden Sie nicht das übliche Tabellen-Präfix wp_. Eine Änderung kann einige SQL-Injection-Angriffe vereiteln.
• Konto schützen und Rechte verwalten
◦ Starke Passwörter: Schützen Sie Ihr Admin-Konto mit einem sicheren, kryptischen Passwort, das Sonderzeichen und Zahlen enthält.
◦ Nutzername nicht „Admin“: Der Nutzername des Admin-Accounts sollte keinesfalls „Admin“ lauten, da die meisten unerlaubten Login-Versuche auf diesen Namen abzielen.
◦ Minimale Rechtevergabe: Vergeben Sie bei der Benutzerverwaltung so wenig Rechte wie möglich an „Redakteure“, „Autoren“ und „Mitarbeiter“. Ein Redakteur benötigt beispielsweise keinen Zugriff auf Plug-ins oder Einstellungen. Administrationsrechte sollten nur die Person erhalten, die tatsächlich für die Pflege verantwortlich ist.
◦ Admin-Account nur für Technik: Nutzen Sie den Admin-Account idealerweise nur für die technische Verwaltung und nicht zum Schreiben von Beiträgen; richten Sie dafür ein separates Nutzerkonto mit weniger Rechten ein.
◦ Ungenutztes entfernen: Löschen Sie verwaiste Accounts sowie ungenutzte Themes und Plug-ins, um die Angriffsfläche zu verkleinern.
◦ Aktivitäten verfolgen: Plug-ins wie „WP Activity Log“ oder „Simple History“ können helfen, Änderungen und Nutzeraktivitäten nachzuvollziehen.
• Brute-Force-Attacken abwehren
◦ Login-Versuche limitieren: WordPress erlaubt standardmäßig unbegrenzt viele Anmeldeversuche, was Brute-Force-Attacken (systematisches Ausprobieren von Passwort-Kombinationen) begünstigt.
◦ Plug-in nutzen: Das Plug-in „Limit Login Attempts Reloaded“ begrenzt die Anzahl der zulässigen Anmeldeversuche (z.B. „3 Versuche in 15 Minuten“) und schützt auch die XML-RPC-Schnittstelle.
◦ Login-URL ändern: „WPS Hide Login“ verändert die Standard-URL /wp-login, um Angriffe zu erschweren (Security through Obscurity). Beachten Sie, dass dies keine alleinige Schutzmaßnahme ist, da Angriffe über die XML-RPC-Schnittstelle weiterhin möglich sind.
• Zwei-Faktor-Authentifizierung (2FA) einrichten
◦ Starker Zusatzschutz: 2FA wird von WordPress dringend empfohlen und bietet einen starken Schutz, da zusätzlich zum Passwort ein zweiter Faktor zur Anmeldung nötig ist.
◦ Plug-ins erforderlich: WordPress enthält 2FA nicht von Haus aus. Beliebte Plug-ins sind „WP 2FA“, „MalCare“ oder das schlanke, kostenlose „Two-Factor“ von WordPress.org selbst.
◦ Funktionsweise: 2FA kann über eine Zusatz-App (z.B. Google/Microsoft Authenticator) oder einen per E-Mail versandten Code funktionieren. Das „Two-Factor“ Plug-in arbeitet mit Einmalpasswörtern (TOTP).
◦ Wiederherstellungscodes: Erzeugen und sichern Sie Wiederherstellungscodes für den Notfall, um sich nicht versehentlich auszusperren.
◦ Für alle Nutzer: Wenn weitere Nutzer aktiv sind, sollten auch diese 2FA einrichten. Viele Plug-ins erlauben Regeln, um bestimmte Nutzergruppen zur 2FA zu verpflichten.
• WordPress durchleuchten
◦ Schwachstellen-Scan: Die Erweiterung „Jetpack Protect“ scannt Ihre WordPress-Installation (Core, Themes, Erweiterungen) auf Schwachstellen und Schadcode.
◦ Umfassende Datenbank: Das Plug-in nutzt die WPScan Sicherheitslücken-Datenbank mit über 63.000 Einträgen.
◦ Premium-Funktionen: Für ca. 60 Euro/Jahr bietet es Funktionen wie „One-click fix“ zur Problemlösung und eine Firewall gegen Brute-Force-Attacken.
• Regelmäßige Backups und Wiederherstellung
◦ Gold wert: Ein aktuelles Backup ist im Problemfall Gold wert und erleichtert die schnelle Wiederherstellung.
◦ Zwei Bereiche sichern: Sie müssen die Datenbank und die Dateien Ihrer WordPress-Seite sichern.
◦ Backup-Plug-ins: Plug-ins wie „Jetpack Backup“ (kostenpflichtig) oder ehemals „BackWPup“ (aktuell mit Problemen) können diesen Job übernehmen. Sie sichern die Installation und stellen sie wieder her, oft auch in Cloud-Dienste.
◦ Manuelle Sicherung:
▪ XML-Export: Das integrierte Export-Werkzeug unter „Werkzeuge / Export“ sichert alle Inhalte (Beiträge, Seiten, Kommentare, etc.) als XML-Datei.
▪ phpMyAdmin für Datenbank: Exportieren Sie die komplette Datenbank über phpMyAdmin (die meisten Webhoster bieten dieses Tool an). Markieren Sie alle Tabellen mit dem Präfix wp_ und exportieren Sie sie als SQL-Datei.
▪ FTP für Dateien: Laden Sie Themes, Plug-ins und hochgeladene Medien-Dateien (Bilder, Videos) per FTP herunter. Das Verzeichnis wp-content ist hier entscheidend. Sichern Sie auch die Konfigurationsdatei wp-config.php.
• Regelmäßiger Website-Zustand prüfen
◦ Dashboard-Überblick: Überprüfen Sie regelmäßig den Bereich „Werkzeuge / Website-Zustand“ im WordPress-Dashboard. Hier werden Probleme angezeigt, z.B. wenn Themes länger keine Updates erhalten haben. Das Tool empfiehlt auch, inaktive Plug-ins und Design-Vorlagen zu entfernen.
Fazit: WordPress ist leistungsstark und flexibel, aber nie eine absolut sichere Festung. Die genannten Maßnahmen – regelmäßige Updates, sichere Passwörter, Zwei-Faktor-Authentifizierung und restriktive Rechtevergabe – erhöhen die Sicherheit deutlich. Bleiben Sie am Ball, behalten Sie die Lage im Blick und reagieren Sie frühzeitig. Glücklicherweise übernehmen Erweiterungen einen Großteil der Arbeit, sodass mehr Zeit zum Bloggen bleibt.
