WordPress Sicherheit

WordPress Sicherheit lässt sich schon mit einfachen Mitteln verbessern. Symbol bild Hackerangriff.

Einfache Maßnahmen zur WordPress Sicherheit

Aufgrund der weiten Verbreitung von WordPress sind WordPress-Installationen auch vielen Hacking­ver­suchen ausge­setzt. Aber keine Sorge, mit den nötigen Sicher­heits­vor­keh­rungen ist ihre Webseite sehr sicher.

Schon bei der Instal­lation von WordPress sollte man grund­le­gende Sicher­heits­aspekte berücksichtigen.

1. Wahl des Hosters

Schauen Sie bei der Auswahl des Providers nicht nur auf den Preis. Viele Anbieter bieten spezielle Pakete für WordPress-Hosting an. Gegen geringen Aufpreis kann man Sicherheits-Tools buchen, z. B. einen täglichen Scan auf Malware und eine Wieder­her­stellung des gesamten Webspace und der Datenbank auf einen früheren Zustand für den Fall einer Infektion oder eines Fehlers auf der Seite. Das erspart im Erstfall viel Arbeit.

Die Angebote der Hoster sind auf den ersten Blick sehr ähnlich. Sie sollst das Augenmerk auf die Zusatz­fak­toren richten: 

  • Sind SSL‐Zertifikate im Preis enthalten?
  • Gibt es für WordPress optimierte Pakete?
  • Wird eine aktuelle PHP‐Version verwendet?

2. Sicheres Passwort

Dass Namen und bekannte Zahlen­kom­bi­na­tionen als Passwörter nicht infrage kommen, sollte sich bereits herum­ge­sprochen haben. Hacker benutzen automa­ti­sierte Scripts (→ Brute‐Force‐Attacke), die mithilfe von umfang­reichen Wörter­bü­chern mit großer Geschwin­digkeit Login-Daten auspro­bieren. WordPress besitzt einen Passwort-Generator, der sichere Passwörter vorschlägt, die mit solchen Methoden nicht zu knacken sind. Die Verwendung eines Passwort­ma­nagers wie → KeePass kann die sichere Anmeldung wesentlich erleichtern.

Noch mehr Sicherheit bietet die Zwei-Faktor-Authentifizierung, die viele auf WordPress spezia­li­sierte Hoster anbieten oder leicht per Plugin nachge­rüstet werden kann.

Selbst­ver­ständlich muss auch der Zugang zu Ihrem Webspace und zur Datenbank bei Ihrem Hoster abgesi­chert sein. Auch hier sollten nur sichere Passwörter verwendet werden. Der Daten­verkehr mittels FTP (File-Transfer-Protokoll) zum Webspace sollte nur verschlüsselt über SFTP stattfinden.

3. Sicherer Arbeitsplatz

Natürlich nutzt das alles nichts, wenn das System, mit dem Sie WordPress-Seiten bearbeiten, schon korrum­piert ist, etwa durch einen Keylogger, der alle Tasta­tur­ein­gaben aufzeichnet und weiter­leitet. Deshalb sollte man sich nur von Arbeits­plätzen in WordPress einloggen, die über ein gut geschütztes Computer-System und eine verschlüs­selte Inter­net­ver­bindung verfügen. Ein unver­schlüs­seltes WLAN in einem Hotel oder öffent­lichen Hotspot zu benutzen, ist grob fahrlässig. Sämtliche übermit­telten Daten inklusive Passwörter könnten im Klartext mitge­lesen werden.

4. Benutzername

Beim Login in das WordPress-Backend werden Nutzername und Passwort abgefragt. In älteren WordPress-Versionen war für den Admini­strator der Nutzername »Admin« vorein­ge­stellt. Verwenden Sie diesen Namen nicht und auch keine Namen, die aus dem Kontext der Seite heraus zu erraten wären. Denn ist der Nutzername bekannt, muss nur noch das Passwort ermittelt werden, was Angriffe erleichtert.

5. Rechtevergabe

WordPress kennt fünf Benutzer-Rollen mit unter­schied­lichen Rechten:

  1. Der Admini­strator hat unbegrenzten Zugriff. Er kann Themes und Plug-ins instal­lieren, Beiträge und Seiten erstellen, veröf­fent­lichen oder löschen, Benutzer hinzu­fügen oder entfernen und ihnen Rechte zuweisen. Diese Rolle sollte nur dem Seiten­in­haber oder der beauf­trage Webmaster innehaben.
  2. Der Redakteur herrscht über die Inhalte. Er hat aber keinen Zugriff auf die technische Seite. Er kann Beiträge und Seiten auch von anderen Autoren hinzu­fügen, löschen oder veröf­fent­lichen, kann aber nicht in die Rechte­ver­waltung eingreifen.
  3. Der Autor kann eigene Beiträge schreiben, bearbeiten, veröf­fent­lichen oder auch entfernen. Kommentare zu seinen Beiträgen kann er lesen, aber nicht geneh­migen, moderieren oder löschen.
  4. Ein Mitar­beiter kann Beiträge schreiben und diese bearbeiten oder löschen. Er darf sie aber nicht veröf­fent­lichen. Er kann keine Dateien hochladen, also z. B. keine Bilder in seine Beiträge einfügen.
  5. Der Abonnent hat Zugang zum Backend, darf aber nur das eigene Profil bearbeiten, z. B. sein Passwort ändern. Er bekommt durch seine Anmeldung nur Leserechte der Seite.

Je nach Art um Umfang und Art des Webauf­tritts können also Aufgaben an Mitar­beiter mit spezi­ellen Rechten vergeben werden. Mit geeig­neten Plug-ins lässt sich die Rechte­ver­waltung noch erheblich erweitern. Etwa bestimmte Kategorien nur für die davor vorge­se­henen Mitar­beiter zur Bearbeitung freizu­geben. Oder für umfang­reichen Content Co-Autoren zu bestimmen, die gemeinsam an einem Thema arbeiten und vieles mehr.

Grund­sätzlich gilt immer: Keine unnötigen Rechte vergeben. Die Administratoren-Rechte sollten beim Inhaber der Seite und bei dem beauf­tragten Webmaster bleiben.

6. Updates

Sehr wichtig ist, alle verwen­deten Module auf den neuesten Stand zu halten. Jede Software hat Sicher­heits­lücken, so auch WordPress. Eine hundert­pro­zentige Sicherheit gibt es nicht. Alle verfüg­baren Updates sollten zeitnah nach Erscheinen instal­liert werden. Ein Kennzeichen einer guten Software ist, dass auf bekannt gewordene Sicher­heits­lücken schnell mit einem Patch reagiert wird. Es ist also nicht damit getan, eines der vielen Security-Plug-ins zu instal­lieren, um sich dann in Sicherheit zu wiegen. Das betrifft nicht nur WordPress selbst, sondern auch die Themes und Plugins, die verwendet werden.

Mit WordPress Version 5.5 wurde die automa­tische Aktua­li­sierung von Plug-ins einge­führt. Im Backend kann die automa­tische Aktua­li­sierung für jedes Plug-in einzeln einge­stellt werden. Das erleichtert die Pflege einer WordPress-Seite natürlich sehr – wird aber in der Fachwelt teilweise kritisch gesehen. Plug-ins könnten einander in die Quere kommen. Bei der Vielzahl an Plug-ins, die sich allein im offizi­ellen Plug-in-Verzeichnis bei WordPress befinden, kann es vorkommen, dass sich zwei Plug-ins nach einer Aktua­li­sierung zusammen nicht mehr vertragen und Fehler produ­zieren, die die ganze Seite lahmlegen können.

7. Sicherheit bei der Auswahl von Plugins

Im offizi­ellen → Plug-in-Verzeichnis von WordPress sind aktuell über 60 000 Plug-ins gelistet. Program­mierer können dort selbst entwickelte Plug-ins einreichen. Sie werden vor der Veröf­fent­li­chung manuell auf ihre Funktio­na­lität und Unbedenk­lichkeit geprüft. Ob sie auch mit der eigenen Instal­lation und zusammen mit anderen Plug-ins reibungslos funktio­nieren, kann nicht garan­tiert werden. Bei Plug-ins von Anbietern, die nicht im WordPress-Verzeichnis gelistet sind, ist Vorsicht geboten. Der Sicher­heits­aspekt ist hier wichtiger als bei Themes, weil Plug-ins sehr komplexe Funktionen in den WordPress-Core imple­men­tieren können. Hilfreich ist es, im Plug-in-Verzeichnis die Angaben zu dem dazu zu betrachten. Wie häufig wird es verwendet? Wann ist es zuletzt aktua­li­siert worden? Getestet, mit welcher WordPress-Version usw. Mit der Schalt­fläche »Belieb­teste« lassen sich die Einträge nach der Häufigkeit Ihrer Verwendung sortieren. Mit der Suchmaske kann nach bestimmten Funktionen gesucht werden.

Logo Jakob Mühlbeger - Webdesign mit WordPress