WordPress Sicherheit
Einfache Maßnahmen zur WordPress Sicherheit
Aufgrund der weiten Verbreitung von WordPress sind WordPress-Installationen auch vielen Hackingversuchen ausgesetzt. Aber keine Sorge, mit den nötigen Sicherheitsvorkehrungen ist ihre Webseite sehr sicher.
Schon bei der Installation von WordPress sollte man grundlegende Sicherheitsaspekte berücksichtigen.
1. Wahl des Hosters
Schauen Sie bei der Auswahl des Providers nicht nur auf den Preis. Viele Anbieter bieten spezielle Pakete für WordPress-Hosting an. Gegen geringen Aufpreis kann man Sicherheits-Tools buchen, z. B. einen täglichen Scan auf Malware und eine Wiederherstellung des gesamten Webspace und der Datenbank auf einen früheren Zustand für den Fall einer Infektion oder eines Fehlers auf der Seite. Das erspart im Erstfall viel Arbeit.
Die Angebote der Hoster sind auf den ersten Blick sehr ähnlich. Sie sollst das Augenmerk auf die Zusatzfaktoren richten:
- Sind SSL‐Zertifikate im Preis enthalten?
- Gibt es für WordPress optimierte Pakete?
- Wird eine aktuelle PHP‐Version verwendet?
2. Sicheres Passwort
Dass Namen und bekannte Zahlenkombinationen als Passwörter nicht infrage kommen, sollte sich bereits herumgesprochen haben. Hacker benutzen automatisierte Scripts (→ Brute‐Force‐Attacke), die mithilfe von umfangreichen Wörterbüchern mit großer Geschwindigkeit Login-Daten ausprobieren. WordPress besitzt einen Passwort-Generator, der sichere Passwörter vorschlägt, die mit solchen Methoden nicht zu knacken sind. Die Verwendung eines Passwortmanagers wie → KeePass kann die sichere Anmeldung wesentlich erleichtern.
Noch mehr Sicherheit bietet die Zwei-Faktor-Authentifizierung, die viele auf WordPress spezialisierte Hoster anbieten oder leicht per Plugin nachgerüstet werden kann.
Selbstverständlich muss auch der Zugang zu Ihrem Webspace und zur Datenbank bei Ihrem Hoster abgesichert sein. Auch hier sollten nur sichere Passwörter verwendet werden. Der Datenverkehr mittels FTP (File-Transfer-Protokoll) zum Webspace sollte nur verschlüsselt über SFTP stattfinden.
3. Sicherer Arbeitsplatz
Natürlich nutzt das alles nichts, wenn das System, mit dem Sie WordPress-Seiten bearbeiten, schon korrumpiert ist, etwa durch einen Keylogger, der alle Tastatureingaben aufzeichnet und weiterleitet. Deshalb sollte man sich nur von Arbeitsplätzen in WordPress einloggen, die über ein gut geschütztes Computer-System und eine verschlüsselte Internetverbindung verfügen. Ein unverschlüsseltes WLAN in einem Hotel oder öffentlichen Hotspot zu benutzen, ist grob fahrlässig. Sämtliche übermittelten Daten inklusive Passwörter könnten im Klartext mitgelesen werden.
4. Benutzername
Beim Login in das WordPress-Backend werden Nutzername und Passwort abgefragt. In älteren WordPress-Versionen war für den Administrator der Nutzername »Admin« voreingestellt. Verwenden Sie diesen Namen nicht und auch keine Namen, die aus dem Kontext der Seite heraus zu erraten wären. Denn ist der Nutzername bekannt, muss nur noch das Passwort ermittelt werden, was Angriffe erleichtert.
5. Rechtevergabe
WordPress kennt fünf Benutzer-Rollen mit unterschiedlichen Rechten:
- Der Administrator hat unbegrenzten Zugriff. Er kann Themes und Plug-ins installieren, Beiträge und Seiten erstellen, veröffentlichen oder löschen, Benutzer hinzufügen oder entfernen und ihnen Rechte zuweisen. Diese Rolle sollte nur dem Seiteninhaber oder der beauftrage Webmaster innehaben.
- Der Redakteur herrscht über die Inhalte. Er hat aber keinen Zugriff auf die technische Seite. Er kann Beiträge und Seiten auch von anderen Autoren hinzufügen, löschen oder veröffentlichen, kann aber nicht in die Rechteverwaltung eingreifen.
- Der Autor kann eigene Beiträge schreiben, bearbeiten, veröffentlichen oder auch entfernen. Kommentare zu seinen Beiträgen kann er lesen, aber nicht genehmigen, moderieren oder löschen.
- Ein Mitarbeiter kann Beiträge schreiben und diese bearbeiten oder löschen. Er darf sie aber nicht veröffentlichen. Er kann keine Dateien hochladen, also z. B. keine Bilder in seine Beiträge einfügen.
- Der Abonnent hat Zugang zum Backend, darf aber nur das eigene Profil bearbeiten, z. B. sein Passwort ändern. Er bekommt durch seine Anmeldung nur Leserechte der Seite.
Je nach Art um Umfang und Art des Webauftritts können also Aufgaben an Mitarbeiter mit speziellen Rechten vergeben werden. Mit geeigneten Plug-ins lässt sich die Rechteverwaltung noch erheblich erweitern. Etwa bestimmte Kategorien nur für die davor vorgesehenen Mitarbeiter zur Bearbeitung freizugeben. Oder für umfangreichen Content Co-Autoren zu bestimmen, die gemeinsam an einem Thema arbeiten und vieles mehr.
Grundsätzlich gilt immer: Keine unnötigen Rechte vergeben. Die Administratoren-Rechte sollten beim Inhaber der Seite und bei dem beauftragten Webmaster bleiben.
6. Updates
Sehr wichtig ist, alle verwendeten Module auf den neuesten Stand zu halten. Jede Software hat Sicherheitslücken, so auch WordPress. Eine hundertprozentige Sicherheit gibt es nicht. Alle verfügbaren Updates sollten zeitnah nach Erscheinen installiert werden. Ein Kennzeichen einer guten Software ist, dass auf bekannt gewordene Sicherheitslücken schnell mit einem Patch reagiert wird. Es ist also nicht damit getan, eines der vielen Security-Plug-ins zu installieren, um sich dann in Sicherheit zu wiegen. Das betrifft nicht nur WordPress selbst, sondern auch die Themes und Plugins, die verwendet werden.
Mit WordPress Version 5.5 wurde die automatische Aktualisierung von Plug-ins eingeführt. Im Backend kann die automatische Aktualisierung für jedes Plug-in einzeln eingestellt werden. Das erleichtert die Pflege einer WordPress-Seite natürlich sehr – wird aber in der Fachwelt teilweise kritisch gesehen. Plug-ins könnten einander in die Quere kommen. Bei der Vielzahl an Plug-ins, die sich allein im offiziellen Plug-in-Verzeichnis bei WordPress befinden, kann es vorkommen, dass sich zwei Plug-ins nach einer Aktualisierung zusammen nicht mehr vertragen und Fehler produzieren, die die ganze Seite lahmlegen können.
7. Sicherheit bei der Auswahl von Plugins
Im offiziellen → Plug-in-Verzeichnis von WordPress sind aktuell über 60 000 Plug-ins gelistet. Programmierer können dort selbst entwickelte Plug-ins einreichen. Sie werden vor der Veröffentlichung manuell auf ihre Funktionalität und Unbedenklichkeit geprüft. Ob sie auch mit der eigenen Installation und zusammen mit anderen Plug-ins reibungslos funktionieren, kann nicht garantiert werden. Bei Plug-ins von Anbietern, die nicht im WordPress-Verzeichnis gelistet sind, ist Vorsicht geboten. Der Sicherheitsaspekt ist hier wichtiger als bei Themes, weil Plug-ins sehr komplexe Funktionen in den WordPress-Core implementieren können. Hilfreich ist es, im Plug-in-Verzeichnis die Angaben zu dem dazu zu betrachten. Wie häufig wird es verwendet? Wann ist es zuletzt aktualisiert worden? Getestet, mit welcher WordPress-Version usw. Mit der Schaltfläche »Beliebteste« lassen sich die Einträge nach der Häufigkeit Ihrer Verwendung sortieren. Mit der Suchmaske kann nach bestimmten Funktionen gesucht werden.