Sicherheit für Ihre WordPress Website: Was Sie selbst tun können, um Ihre Website zu schützen und sicher zu machen.
Die Sicherheit Ihrer WordPress Website schafft nicht nur Vertrauen bei Ihren Besuchern, sondern erspart Ihnen unter Umständen auch viel Ärger. Jede*r, dessen Website schon einmal einen Hackerangriff erlebt hat, weiß, wie viel Arbeit es ist, die Seite wiederherzustellen.
Vor allem, wenn Sie sensible Daten verarbeiten, wie Kundendaten, haben Sie eine große Verantwortung. Es gibt einiges, was Sie selbst für die Sicherheit Ihrer Website tun können.
Sicherheitsgundlagen für Ihre WordPress Website
Updates für die Sicherheit
Sicherheitslücken Ihrer WordPress-Installation werden durch Sicherheit-Updates geschlossen, sobald diese bekannt werden. Ebenso ist es bei Plugins. Bei diesen sollte vor dem Installieren darauf geachtet werden, dass es für die Plugins weiterhin Updates gibt und sie gepflegt werden.
Ihre Plugins sollten Sie, ebenso wie Ihre WordPress Installation, regelmäßig updaten, sobald ein Sicherheit-Update zur Verfügung steht. Dadurch schließen Sie mögliche „Tore“ für ungebetene Eindringlinge. Also, gehen Sie regelmäßig in das Backend Ihrer Seite, auch wenn Sie selten Texte aktualisieren. Alle nicht genutzten Plugins und Themes sollten Sie löschen, auch über diesen Weg können Hacker einfallen.
Aus diesem Grund sollten Sie regelmäßig Sicherheit-Updates von Ihrer Website erstellen.
WordPress kann sich selbständig updaten, aber Vorsicht, das kann zu Problemen führen. Eventuell funktionieren Plugins oder Themes mit der neuen Installation nicht mehr.
Wichtig: Bevor Sie ein Update starten, sollten Sie unbedingt Ihre Daten sichern.
Backups zur Sicherung Ihrer Daten
Es gibt eine große Anzahl von Backup-Plugins. Ein Plugin, das ich gerne verwende, ist UpdraftPlus WordPress Backup Plugin. Es ist einfach und selbsterklärend. Schnell hat man ein Datenbankupdate erstellt, manuell oder regelmäßig geplant. Das Plugin bietet zudem die Möglichkeit, die Daten wiederherzustellen. Das gibt Ihnen die Sicherheit Ihre WordPress-Installation wieder auf den aktuellen Stand zu bringen, ohne einen Verlust von Daten zu erleiden.
Des Weiteren sollten Sie Ihre gesamte Installation mittels eines FTP-Zugangs ab und zu herunterladen. Damit sichern Sie sich Dateien wie Bilder und Uploads und haben eine Kopie der Dateienstruktur. Dies erleichtert das Wiederherstellen einer Website, wenn Hacker es doch geschafft haben sollten, einen schädlichen Code auf Ihre Seite zu laden, ebenso bei technischen Problemen. Ein gutes, kostenloses FTP Programm ist FileZilla.
Sicheres Einloggen mit dem richtigen Passwort und Benutzernamen
Es gibt ein paar grundlegende, einfache Möglichkeiten, die Sicherheit der Anmeldung Ihrer WordPress-Site zu erhöhen.
- Verwenden Sie starke, sichere Passwörter. Sie sollten sowohl Groß- als auch Kleinbuchstaben enthalten, Zahlen und Sonderzeichen und eine Mindestlänge von 10 Zeichen haben, besser noch mehr.
- Verwenden Sie Passwörter nur einmalig.
- Verwenden Sie nicht den gleichen Benutzer / Anmeldename als öffentlichen Namen auf der Seite. In Ihrem Profil können Sie sich einen eigenen „öffentlichen Namen“ geben, der dann sofern sichtbar eingestellt als Autor oder Kommentarname angezeigt wird.
- Verändern Sie den Pfad der Admin-Anmeldung für Ihren Zugang zu Ihrem Backend. Dies können Sie mit Hilfe des einfachen Plugins „Lockdown WP Admin“ oder auch mit dem umfangreichen Sicherheits-Plugin „Cerber“ einstellen.
Mehr Informationen zu den Plugins finden Sie auch hier.
Ein Trick sich starke Passwörter besser zu merken
Wie war denn noch mal das Passwort? Das kennt jeder. Also, was nützt das beste Passwort, wenn Sie es sich nicht merken können? Aber es gibt einen Trick um selbst sichere Passwörter zu erstellen und zu behalten und zwar mit einer Eselsbrücke!
Überlegen Sie sich einen einprägsamen Satz, einen Spruch, ein Gedicht oder eine Liedzeile, in dem Zahlenwörter und Sonderzeichen vorkommen wie zum Beispiel:
Morgens früh um 6
kommt die kleine Hex‘;
Nehmen Sie nun die Anfangsbuchstaben und Sie erhalten:
Mfu6kdkH‘;
Nun haben Sie schon einmal ein gutes Passwort. Mit diesem haben sie ein Grund-Passwort erstellt. Wenn sie sich jetzt irgendwo ein Passwort einrichten, hängen sie einfach die ersten oder letzten vier Buchstaben in gleicher Regel hinten oder vorne an.
Anmelden bei z.B. Phantasie-shop.de:
Mfu6kdkH‘;Phan
Viel Spaß beim Passwortfinden!
Umgang mit Benutzeranmeldungen
Machen Sie sich vorab Gedanken, wie Nutzer auf Ihrer Seite aktiv werden können und dürfen. Haben Sie einen Shop, muss sich ein Benutzer direkt anmelden können, um ein Konto zu erstellen.
Wie möchten Sie Kommentare handhaben. Darf jeder einen Kommentar schreiben oder nur angemeldete Benutzer?
Weisen Sie diesen Nutzern nach ihrer Anmeldung entsprechende Rollen zu, damit diese nur die Aktionen ausführen können, die Sie wünschen.
Sollten Sie weder Kommentare noch einen Onlineshop haben, dann achten Sie darauf, dass bei Ihren Einstellungen kein Haken bei „Mitgliedschaft – Jeder kann sich registrieren.“ gesetzt ist.
Nutzen Sie auf jeden Fall ein Plugin, um Spam zu blocken z. B. Antispam, Cerber.
Nutzen Sie ein Captcha, um Ihre Formulare zu sichern. Dabei unterstützen Sie Plugins wie Advanced noCaptcha & invisible Captcha (v2 & v3), Login No Captcha reCAPTCHA.
Die eigene Seite vertrauenswürdig machen und sichern – SSL Verschlüsselung
Wer einen Onlineshop betreibt, kommt um ein SSL-Zertifikat nicht herum. Dieses bestätigt die Authentizität und Integrität des Shops. Aber auch jeder andere Website-Betreiber, der auf die Sicherheit achtet, sollte seine Seite mit einem SSL-Zertifikat ausstatten. Dies zeigt, dass Ihnen das Vertrauen Ihrer Nutzer wichtig ist. Zudem ist es für die Suchmaschinenoptimierung interessant.
Die Besucher*innen Ihrer Website können über ein SSL-Zertifikat Ihre Seite überprüfen. Die SSL Verschlüsselung zeigt den Nutzer*innen, dass sie wirklich auf der angegeben Website sind. Also dass dies keine nachgeahmte oder gefälschte Seite ist.
Die Daten aus Kontaktformularen und Anmeldeformularen landen ausschließlich beim richtigen Empfänger und können nicht unterwegs von Dritten abgefangen werden.
Aber woran erkenne ich, dass ich mich auf einer sicheren Website befinde?
In der Browserzeile, in der der Domainname angezeigt wird, steht statt „http://…“ ein „https://…“. Vor dem Domainnamen ist in der Regel ein Schlüsselsymbol zu erkennen.
9 Tipps, um WordPress einfach auf SSL umzustellen
Mehr Informationen zu SSL Verschlüsselung finden Sie auch hier.
Ein Sicherheits-Plugin für Ihre Website
Es gibt einige Plugins, die die Sicherheit Ihrer WordPress-Website deutlich erhöhen. Sie können Ihre Seite in diesen Bereichen schützen:
- Beschränken der Anmeldeversuche und deren Überwachung.
- Erlauben oder beschränken der Zugriffe per White IP Access List und Black IP Access List.
- Benutzerdefinierte Anmelde-URL erstellen (wp-login.php umbenennen).
- Schutz von Kontakt- und Registrierungsformularen.
- Erkennen und verschieben von Spam-Kommentaren.
- Protokollieren von Benutzer, Bots, Hacker und anderen verdächtigen Aktivitäten.
- Sicherheitsscanner verifiziert die Integrität von WordPress-Dateien, Plugins und Themen.
- wp-login.php, wp-signup.php und wp-register.php schützt vor Angriffen.
- Anti-Spam: reCAPTCHA zum Schutz von WordPress-Anmelde-, Registrierungs- und Kommentarformularen.
- Unsichtbares reCAPTCHA für WordPress-Kommentarformulare.
- Brute-Force-Angriffe abwehren (versucht Passwörter zu hacken).
Mein persönliches Lieblingsplugin ist Cerber, aber es gibt auch andere gute Plugins wie Wordfence Security, Sucuri Security oder iThemes Security.
WordPress – Website Zustand
Hilfreich ist eine Seite in Ihrer WordPress-Installation, die Ihnen eine Übersicht über den Zustand Ihrer Website mit Tipps zur Verbesserung aufzeigt. Die empfohlenen Maßnahmen tragen zu einer höheren Sicherheit Ihrer WordPress-Seite bei. Sie finden dies unter:
Werkzeuge > Website Zustand
Zusätzlich zu meinen Tipps stelle ich einige sehr hilfreiche Plugins für die Sicherheit Ihrer Website auf meinem Infothema WP-Plugins für eine höhere Sicherheit und technische Optimierung vor.
Autorin: Cornelia Holleck-Weithmann, Saarbrücken