WordPress absichern - mehr SicherheitWie lässt sich WordPress am einfachsten und effektivsten vor Hackerangriffen schützen? Zum Thema WordPress Sicherheit gibt es bereits viele umfangreiche Artikel und verschiedene Herangehensweisen, wie man WordPress absichern kann. In diesem Artikel geht es darum, mit wenig Aufwand deutlich mehr Sicherheit zu schaffen.

Dieser Blogpost ist absichtlich kurzgehalten. Was nicht viel bringt, zu kompliziert ist oder ohne Fachkenntnisse kaum umsetzbar, wurde bewusst weggelassen.



WordPress Sicherheit - effektive Maßnahmen für erweiterten Schutz

Um WordPress sicher zu betreiben, ist allem voran die Wartung des Systems sehr wichtig. Regelmäßige Updates, besonders das schnellstmögliche Einspielen sicherheitskritischer Updates stehen klar im Vordergrund. Es sollte immer jemand ein Auge darauf haben.

WordPress absichern - was bedeutet das eigentlich?
Bevor wir zu den erweiterten Absicherungsmaßnahmen kommen, eine Kurzzusammenfassung der Basics:

  • Starke Passwörter (Admin Konto, FTP/SSH, Datenbank, Hosting Control Panel).
  • HTTPS/SSL für die gesamte Site erzwingen.
  • So wenige Plugins und Themes wie möglich installieren (ungenutzte löschen).
    • Themes und Plugins nur aus sicheren/originalen Quellen beziehen.
  • Regelmäßige Backups (z.B. per "UpdraftPlus Backup Plugin").
  • Eine sichere Hosting Umgebung.
    • Mehrere WordPress Instanzen sollten unbedingt isoliert, unter jeweils eigenen Systemusern laufen (-> vermeidet Massenhacks).
      Einfache Hostingpakete, in denen eine Trennung nicht möglich ist, sind für das Hosting mehrerer Sites ungeeignet.
  • Sichere Endgeräte, von denen aus auf die Website zugegriffen wird.

Über diese grundlegenden Dinge hinaus haben sich die folgenden Maßnahmen für das weiterführende Hardening bewährt.

 

Gerade beim sehr dynamischen und umfangreichen /wp-content Verzeichnis macht das überaus viel Sinn. Eingeschleustem PHP-Code und Backdoors wird so der Garaus gemacht.

Angenommen ein Hacker hätte unter
https://www.webseite-bereinigen.de/wp-content/plugins/akismet/wrapper.php
einen Backdoor-Code platziert, ist diese Datei bei abgesichertem wp-content Verzeichnis nicht aufrufbar (403 - Forbidden). Gleiches gilt für alle anderen Dateien, die sich in den Tiefen von wp-content befinden oder, wie auch immer, eingeschleust werden.
In der Vergangenheit gab es Angriffe auf Plugin-Sicherheitslücken, die sich allein durch die .htaccess Absicherung sogar vollständig abwehren ließen.
Siehe WP File Manager und Contact Form 7 Vulnerabilities.

Das WordPress Verzeichnis überhaupt - wp-content absichern

Die .htaccess Anweisungen können einfach in eine neu erstellte oder unter /wp-content/.htaccess bereits bestehende Datei kopiert werden. In sehr seltenen Fällen sind weitere Ausnahmen nötig. Falls hier etwas noch nicht erfasst sein sollte, bitte die Kommentar Funktion unten nutzen.

Upload-Ordner schützen

Auch der /wp-content/uploads Ordner kann noch mal eigenständig mit einer .htaccess Datei geschützt werden. PHP Dateien haben darin grundsätzlich nichts zu suchen - daher sollte man alle .php Aufrufe sperren. Die /wp-content/.htaccess deckt zwar auch schon das uploads Verzeichnis ab - fall diese mal abhanden kommen sollte (versehentlich gelöscht wird), kann dieser doppelte Schutz jedoch nicht schaden.

 

2b) Nginx Konfiguration für den wp-content Schutz

Das .htaccess Konzept wird nur vom Apache Webserver unterstützt. Die Nginx Konfiguration lässt sich leider nur bei wenigen Hostern anpassen.



NinjaFirewall LogoAls hochwirksame und performante Firewall ist das Plugin "NinjaFirewall" zu empfehlen. Entgegen anderer Lösungen gibt es hier keine datenschutzrechtlichen Bedenken - die Firewall telefoniert nicht nach Hause. Zudem ist die NinjaFirewall eine der performantesten Firewalls, da sie die Datenbank nicht mit Logeinträgen befeuert, wie z.B. Wordfence.

Neue Sicherheitsregeln werden allen Usern gratis zur Verfügung gestellt. Standardmäßig wird stündlich gecheckt, ob es Updates gibt, die vor neuartigen Hacks schützen.
Ein weiteres nützliches Feature sind die E-Mail Benachrichtigungen bei ausstehenden Sicherheitsupdates.



Aktuelle WordPress-Hacks stehen vielfach auch im Zusammenhang mit unerwünschten oder gestohlenen Admin User Zugängen - Logins über /wp-admin oder wp-login.php mit anschließendem malicious Plugin/Theme Upload.  

Wenn es darum geht, den WordPress Login zusätzlich abzusichern, kann man entweder die Login Protection der NinjaFirewall nutzen (dafür gibt es einen Menüpunkt) oder man versteckt den Login - ändert die Login-URL einfach ab.
Eine weitere Lösung für mehr Sicherheit ist die im WordPress Umfeld noch wenig etablierte 2-Faktor-Authentifizierung.

 

4a) 2-Faktor-Authentifizierung einrichten und für Admin User erzwingen

 

Fingerabdruck als Login Schutz

WebAuthn - passwortloser Login als 2FA Alternative

Eine moderne Möglichkeit, sich ohne direkte Passworteingabe einloggen zu können, ist der WebAuthn Standard (ein FIDO2-Projekt des W3C). 

 

Anstelle des Passworts können hier Apples Touch/Face ID, Windows Hello (Pin, Gesichtserkennung) und die biometrische Bildschirmsperre unter Android für die Authentifizierung genutzt werden.
Einmal eingerichtet, kann die Anmeldemethode in den Benutzereinstellungen als primär gewählt werden und sorgt so für eine schnelle, komfortable und sichere Anmeldung. 

WPS Hide Login

Als zweite Variante kann es durchaus Sinn machen, den Login komplett zu verstecken. Eher weniger Nutzen hat das natürlich, wenn es einen Frontend Login gibt (wie z.B. den Kundenlogin im Shop).

Für die Umbenennung des Logins bietet sich das Plugin "WPS Hide Login" an. Nach der Aktivierung lässt sich unter Einstellungen -> Allgemein am Seitenende nun eine individuelle Login-URL festlegen - /admin-in beispielsweise.
wp-login.php und /wp-admin sind dadurch ausgeloggt nicht mehr aufrufbar. Dementsprechend wird es gar nicht mehr zu Login Versuchen über die Standard URLs kommen.

Bei vielen Hacks aus der Vergangenheit wurden Plugins/Themes hochgeladen. Aus vielen Logs ersichtlich per Einstieg über wp-login.php / wp-admin.
0815-Passwörter/Privilege Escalation/Session Hijacking oder Cookie Stealing sind die Ursachen.
Die Login Absicherung nach einer der hier vorgeschlagenen Möglichkeiten setzt dem einen Riegel vor.
 
 
Wer sich detaillierter mit dem Thema WordPress Sicherheit befassen möchte, kann sich hier eine 7-teilige Artikelserie dazu anschauen: https://www.kuketz-blog.de/basisschutz-wordpress-absichern-teil1/

Zusammenfassend betrachtet ist die Maximierung der Sicherheit kein Hexenwerk - WordPress absichern für Aufsteiger - in erster Linie NinjaFirewall sei Dank.

Kommentare  
Alex
# Alex 2021-11-07 21:03
Sehr guter Artikel.
Nginx ist allerdings in Sachen Sicherheit ziemlich leistungsfähig. Auch was die Verwendung von Resourcen und die Performance im Allgemeinen angeht...
Ich habe letztens einen guten Badbotblocker installiert. Seitdem ist auf dem Server Ruhe eingekehrt.
github.com/.../...
Auch XSS, CSP header usw. lassen sich relativ einfach einrichten.
Vielen Dank für den Beitrag!
Antworten
Maykay
# Maykay 2022-03-30 13:32
Vielen Dank für die ausführliche Anleitung. Ninjafirewall ist mir jetzt schon von mehreren empfohlen worden, scheint also sehr gute Dienste zu leisten.
Antworten
sandra
# sandra 2022-05-22 21:29
"Auch der /wp-content/uploads Ordner kann noch mal eigenständig mit einer .htaccess Datei geschützt werden. PHP Dateien haben darin grundsätzlich nichts zu suchen - daher sollte man alle .php Aufrufe sperren. "

Hier sollte aber beachtet werden, dass viele Chache-Programme ihre php Dateien dort ablegen. Z.B. WP-Rocket.
Antworten
Pascal
# Pascal 2022-06-24 11:07
Hi Sandra,

es gibt sehr vereinzelt Themes oder Theme Bestandteile, die über PHP Skripte in /wp-content ihre Ressourcen laden - mit WP Rocket generell gibt es keine Probleme - nutze ich auch häufig in dem Setup.

Um sicherzugehen, dass nichts ungewollt blockiert wird, sollte man die Site mit Blick auf den Netzwerk Tab der Browser Konsole durchtesten. Einige Ausnahmen für gängige Plugins gibt es ja schon - ob ggf. weitere nötig sind, sieht man dann.
Antworten
Conny
# Conny 2022-06-13 17:07
Der Artikel (WP NinjaFirewall) hat mir sehr geholfen. Danke :-)
Antworten
Timo Sprecht
# Timo Sprecht 2022-07-18 15:10
Ich denke, dass Sicherheit für jeden Geschäftsinhaber die Priorität Nr. 1 sein sollte. Und wenn man mit Wordpress arbeitet, kann man leicht zum Opfer werden.

Meistens liegt es daran, dass die Leute sich nicht die Zeit nehmen, wichtige Updates und Wartungsarbeiten an ihrer Website durchzuführen.

Sie haben einige großartige Wege beschrieben, wie man die Website zu 100% sichern kann. Echt gut! Hoffentlich werden mehr Leute diese Anleitungen lesen.

Vielen Dank für die Zusammenstellung des Artikels! :)
Antworten
Adriano
# Adriano 2022-07-22 11:12
Guter Artikel. Man kann hier heraus immer wieder erkennen: Mit wenigen Schritten, kann man sich das Leben viel einfacher machen. Danke Pascal für den Artikel - Lesezeichen ist gesetzt ;-)
Kollegiale Grüße - Adriano
Antworten
Argin Vartanian
# Argin Vartanian 2022-08-25 21:53
Wir arbeiten generell auch immer mit versteckter Login Seite. Gibt es noch Plugins, die deiner Meinung nach sinnvoll sind für die Sicherheit einer WP Seite?

Gruß
Argin
Antworten
Pascal
# Pascal 2022-10-15 22:58
Nicht direkt. Bei Spam Problemen nutze ich gern WP Mail Log (zur Nachvollziehbarkeit aus dem Backend heraus) und WP Armour (Honeypots zur Täuschung von Spambots).
Antworten
Noah
# Noah 2023-01-10 22:41
Danke für diesen großartigen Beitrag! Wie stehst du denn zu Plugins wie Wordfence oder itheme Security?
LG
Antworten
Pascal
# Pascal 2023-02-05 16:49
Wordfence ist #1 im WordPress Security Sektor und hat den am besten funktionierenden Malware Scanner. Allerdings ist das Plugin (wie auch iThemes Security) recht aufgebläht und performance-hungrig.
Im laufenden Betrieb bevorzuge ich die NinjaFirewall als beste Lösung.
Antworten
wintergarten
# wintergarten 2023-02-14 00:26
Eine tolle Webseite, vor allem in den gemütlichen Winterzeiten ist es schön solche tolle Blogs zu entdecken.

Lieben Gruß Mia
Antworten
Sonja
# Sonja 2023-07-24 14:41
Super Website mit hilfreichen Inhalten.
Danke und weiter so!
Antworten
DBM
# DBM 2023-08-08 02:25
Vielen Dank für die Informationen. Sehr gut, habe mir einiges notiert, um nicht zu vergessen.
Antworten

Ergänzende Angebote

Kunden über uns

„Umstellung unserer Joomla Website von PHP 5.3 auf PHP 7 lief super schnell, günstig und mit tadellosem Ergebnis. Sehr gute und nette Kommunikation.“
– H. Bergmann

„Innerhalb eines Tages wurde alles extrem professionell und extrem schnell gemacht. Sehr vertrauenswürdig. Excellent. 5 Sterne“
– Fernando V.

„Ich selbst wusste mir nicht zu helfen, fand hier aber die nötige Kompetenz, um alles wieder bereinigen zu lassen. Nötige Updates und Sicherungen wurden gemacht, alles äußerst preiswert, schnell und gut!“
– Klaus-Peter

„Die Seite sieht super aus – alles wie zuvor – und das unter PHP 7.2 – ich bin beeindruckt - ganz herzlichen Dank!“
– Dr. Ingo Wuddel

„Da wir einen Onlineshop betreiben war, es für uns sehr wichtig, dass unsere Seite schnell wieder im vollen Funktionsumfang für unsere Kunden zur Verfügung steht. Alle Arbeiten werden äußerst schnell zu unserer vollen Zufriedenheit ausgeführt.“  – Löwen Handels GmbH

„Sehr schnelle, seriöse und zielführende Bearbeitung des Problems. Zusätzlich wurden mir Tipps und Strato spezifische Infos mitgegeben, um das Risiko eines Wiederkehrens des Problems zu verringern.“
– Heino B.

„Der Kontakt war besonders freundlich, einige kosmetische Zusatzarbeiten wurden - als sei es selbstverständlich - von selbst in Angriff genommen. Ich bin erleichtert und sehr dankbar.“
– R. Mayer

„Super. In einer absoluten Notlage bei Sperrung von 2 Domains durch Strato wegen Hackerangriff wurden beide Domains zunächst temporär noch am gleichen Tag wieder live geschaltet.“
– I. Radchenko

„Hervorragender Service. Problem innerhalb von 18 Stunden gelöst. Wir sind begeistert. Vielen Dank 🙏“
– Tien Sy Vuong

Website-Bereinigung.de Support Service Google Bewertungen

Kontaktmöglichkeiten

Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein!
Kontaktformular

Telefonat vereinbaren
+49 (0)2406 969796
Mo. - Fr. | 9 - 21 Uhr