WordPress absichern - mehr SicherheitWie lässt sich WordPress am einfachsten und effektivsten vor Hackerangriffen schützen? Zum Thema WordPress Sicherheit gibt es bereits viele umfangreiche Artikel und verschiedene Herangehensweisen, wie man WordPress absichern kann. In diesem Artikel geht es darum, mit wenig Aufwand deutlich mehr Sicherheit zu schaffen.

Dieser Blogpost ist absichtlich kurzgehalten. Was nicht viel bringt, zu kompliziert ist oder ohne Fachkenntnisse kaum umsetzbar, wurde bewusst weggelassen.



WordPress Sicherheit - effektive Maßnahmen für erweiterten Schutz

Um WordPress sicher zu betreiben, ist allem voran die Wartung des Systems sehr wichtig. Regelmäßige Updates, besonders das schnellstmögliche Einspielen sicherheitskritischer Updates stehen klar im Vordergrund. Es sollte immer jemand ein Auge darauf haben.

WordPress absichern - was bedeutet das eigentlich?
Bevor wir zu den erweiterten Absicherungsmaßnahmen kommen, eine Kurzzusammenfassung der Basics:

  • Starke Passwörter (Admin Konto, FTP/SSH, Datenbank, Hosting Control Panel).
  • HTTPS/SSL für die gesamte Site erzwingen.
  • So wenige Plugins und Themes wie möglich installieren (ungenutzte löschen).
    • Themes und Plugins nur aus sicheren/originalen Quellen beziehen.
  • Regelmäßige Backups (z.B. per "UpdraftPlus Backup Plugin").
  • Eine sichere Hosting Umgebung.
    • Mehrere WordPress Instanzen sollten unbedingt isoliert, unter jeweils eigenen Systemusern laufen (-> vermeidet Massenhacks).
      Einfache Hostingpakete, in denen eine Trennung nicht möglich ist, sind für das Hosting mehrerer Sites ungeeignet.
  • Sichere Endgeräte, von denen aus auf die Website zugegriffen wird.

Über diese grundlegenden Dinge hinaus haben sich die folgenden Maßnahmen für das weiterführende Hardening bewährt.

 

.htaccess AbsicherungDie Macht der .htaccess-Datei ist in Sachen Sicherheit unübertroffen. Einzelne Dateiaufrufe lassen sich darüber sperren und sogar ganze Verzeichnisse abriegeln.

Gerade beim sehr dynamischen und umfangreichen /wp-content Verzeichnis macht das überaus viel Sinn. Eingeschleustem PHP-Code und Backdoors wird so der Garaus gemacht.

Angenommen ein Hacker hätte unter
https://www.webseite-bereinigen.de/wp-content/plugins/akismet/wrapper.php
einen Backdoor-Code platziert, ist diese Datei bei abgesichertem wp-content Verzeichnis nicht aufrufbar (403 - Forbidden). Gleiches gilt für alle anderen Dateien, die sich in den Tiefen von wp-content befinden oder, wie auch immer, eingeschleust werden.
In der Vergangenheit gab es Angriffe auf Plugin-Sicherheitslücken, die sich allein durch die .htaccess Absicherung sogar vollständig abwehren ließen.
Siehe WP File Manager und Contact Form 7 Vulnerabilities.

Das WordPress Verzeichnis überhaupt - wp-content absichern

Die .htaccess Anweisungen können einfach in eine neu erstellte oder in eine dort bereits bestehende Datei kopiert werden. In sehr seltenen Fällen sind weitere Ausnahmen nötig. Falls hier etwas noch nicht erfasst sein sollte, bitte die Kommentar Funktion unten nutzen.

Upload-Ordner schützen

Auch der /wp-content/uploads Ordner kann noch mal eigenständig mit einer .htaccess Datei geschützt werden. PHP Dateien haben darin grundsätzlich nichts zu suchen - daher sollte man alle .php Aufrufe sperren. Die /wp-content/.htaccess deckt zwar auch schon das uploads Verzeichnis ab - fall diese mal abhanden kommen sollte (versehentlich gelöscht wird), kann dieser doppelte Schutz jedoch nicht schaden.

 

1b) Nginx Konfiguration für den wp-content Schutz

Das .htaccess Konzept wird nur vom Apache Webserver unterstützt. Die Nginx Konfiguration lässt sich leider nur bei wenigen Hostern anpassen.

 

 

NinjaFirewall LogoAls hochwirksame und performante Firewall ist das Plugin "NinjaFirewall" zu empfehlen. Entgegen anderer Lösungen gibt es hier keine datenschutzrechtlichen Bedenken - die Firewall telefoniert nicht nach Hause. Zudem ist die NinjaFirewall eine der performantesten Firewalls, da sie die Datenbank nicht mit Logeinträgen befeuert, wie z.B. Wordfence.

Neue Sicherheitsregeln werden allen Usern gratis zur Verfügung gestellt. Standardmäßig wird stündlich gecheckt, ob es Updates gibt, die vor neuartigen Hacks schützen.
Ein weiteres nützliches Feature sind die E-Mail Benachrichtigungen bei ausstehenden Sicherheitsupdates.

 

 

Wenn es darum geht, den WordPress Login zusätzlich abzusichern, kann man entweder die Login Protection der NinjaFirewall nutzen (dafür gibt es einen Menüpunkt) oder man versteckt den Login - ändert die Login-URL einfach ab. Eine weitere schöne Lösung wäre die 2-Faktor-Authentifizierung.

Bei der ersteren Variante (NinjaFirewall Login Protection) wählt man idealerweise die "Username + Password" Option und setzt diese auf "Always enabled".

WPS Hide Login

Als zweite Variante (- beides zusammen funktioniert nicht -) kann es durchaus Sinn machen, den Login komplett zu verstecken. Eher weniger Nutzen hat das natürlich, wenn es einen Frontend Login gibt (wie z.B. den Kundenlogin im Shop).

Für die Umbenennung des Logins bietet sich das Plugin "WPS Hide Login" an. Nach der Aktivierung lässt sich unter Einstellungen -> Allgemein am Seitenende nun eine individuelle Login-URL festlegen - /admin-in beispielsweise.
wp-login.php und /wp-admin sind dadurch ausgeloggt nicht mehr aufrufbar. Dementsprechend wird es gar nicht mehr zu Login Versuchen kommen.

Bei vielen Hacks aus der Vergangenheit wurden Plugins/Themes hochgeladen. Und zwar per Einstieg über wp-login.php / wp-admin.
0815-Passwörter/Privilege Escalation/Session Hijacking oder Cookie Stealing sind die Ursachen.
Die Login Absicherung nach einer der drei vorgeschlagenen Möglichkeiten setzt dem einen Riegel vor.
 
 
Wer sich detaillierter mit dem Thema WordPress Sicherheit befassen möchte, kann sich hier eine 7-teilige Artikelserie dazu anschauen: https://www.kuketz-blog.de/basisschutz-wordpress-absichern-teil1/

Zusammenfassend betrachtet ist die Maximierung der Sicherheit kein Hexenwerk - WordPress absichern für Aufsteiger - in erster Linie NinjaFirewall sei Dank.

Ergänzende Angebote

Kunden über uns

„Umstellung unserer Joomla Website von PHP 5.3 auf PHP 7 lief super schnell, günstig und mit tadellosem Ergebnis. Sehr gute und nette Kommunikation.“
– H. Bergmann

„Innerhalb eines Tages wurde alles extrem professionell und extrem schnell gemacht. Sehr vertrauenswürdig. Excellent. 5 Sterne“
– Fernando V.

„Ich selbst wusste mir nicht zu helfen, fand hier aber die nötige Kompetenz, um alles wieder bereinigen zu lassen. Nötige Updates und Sicherungen wurden gemacht, alles äußerst preiswert, schnell und gut!“
– Klaus-Peter

„Die Seite sieht super aus – alles wie zuvor – und das unter PHP 7.2 – ich bin beeindruckt - ganz herzlichen Dank!“
– Dr. Ingo Wuddel

„Da wir einen Onlineshop betreiben war es für uns sehr wichtig, dass unsere Seite schnell wieder im vollen Funktionsumfang für unsere Kunden zur Verfügung steht. Alle Arbeiten wurden äußerst schnell zu unserer vollen Zufriedenheit ausgeführt.“  – Löwen Handels GmbH

„Sehr schnelle, seriöse und zielführende Bearbeitung des Problems. Zusätzlich wurden mir Tipps und Strato spezifische Infos mitgegeben, um das Risiko eines Wiederkehrens des Problems zu verringern.“
– Heino B.

„Der Kontakt war besonders freundlich, einige kosmetische Zusatzarbeiten wurden - als sei es selbstverständlich - von selbst in Angriff genommen. Ich bin erleichtert und sehr dankbar.“
– R. Mayer

„Super. In einer absoluten Notlage bei Sperrung von 2 Domains durch Strato wegen Hackerangriff wurden beide Domains zunächst temporär noch am gleichen Tag wieder live geschaltet.“
– I. Radchenko

„Hervorragender Service. Problem innerhalb von 18 Stunden gelöst. Wir sind begeistert. Vielen Dank 🙏“
– Tien Sy Vuong

Website-Bereinigung.de Support Service Google Bewertungen

Kontaktmöglichkeiten

Chat starten (online)
Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein!
Kontaktformular

Telefonat vereinbaren
+49 (0)2406 969796
Mo. - Fr. | 9 - 18 Uhr