Nicht nur in Zeiten der DSGVO ist es wichtig, auf die Sicherheit Deiner WordPress Installation zu achten. Die Gefahr durch Hackerangriffe ist leider gegeben und eine gehackte Website kann nicht nur im Hinblick auf den Datenschutz Probleme verursachen, sondern auch Deinen Umsätzen und Deinem Ruf schaden. Dabei ist es gar nicht so schwer, seine Website zu schützen. In diesem Artikel zeige ich Dir, wie Du mit ein paar einfachen Handgriffen Deine WordPress Website schützen kannst.
Update, Update, Update!
Tipp Nummer 1: Halte WordPress immer auf dem neuesten Stand. Standardmäßig installiert WordPress kleinere Updates selbst. Für größere Versionsupdates musst Du selbst Hand anlegen.
Das gilt übrigens nicht nur für den WordPress Core: auch Plugins und Themes sollten regelmäßig aktualisiert werden. (Hinweis: schon aus diesem Grund solltest Du Änderungen am Theme immer in einem Child Theme durchführen, niemals im Eltern Theme – denn Deine Änderungen werden durch ein Theme Update überschrieben).
Sichere Passwörter und Nutzerrechte vergeben
Die meisten Hacking Versuche basieren auf gestohlenen Passwörtern. Wenn Du sichere, schwer zu erratende Passwörter vergibst, und dafür sorgst, dass diese Passwörter nicht in die falschen Hände geraten können, ist das schon die halbe Miete.
Unter Passwort-Generator.com kannst du sichere Passwörter generieren. Die Passwörter werden nicht gespeichert und Du kannst die gewünschte Passwortsicherheit per Schieberegler auswählen.
Auch Passwortmanager wie der von mir favorisierte KeePass für Windows bzw. MacPass für Mac (das Tool gibt es auch für iPhone, Android und weitere Betriebssysteme und Geräte, siehe Download Page) haben eine Funktion, sichere Passwörter zu generieren.
Überhaupt würde ich Dir raten, Passwörter generell nur in solchen Programmen bzw. Apps zu speichern, die die Passwörter verschlüsselt ablegen und die sich mit einem Masterpasswort schützen lassen (hier auch bitte auf die Passwortsicherheit achten ?). Passwörter im Browser zu speichern ist nicht unbedingt die sicherste Variante. Alternative hierzu: der Cloud-Passwortmanager LastPass, den Du mittels Browser-Addon installieren kannst.
Bitte die Passwörter auch nicht im Klartext notieren (z.B. in einem frei zugänglichen Word oder Excel Dokument oder in einem Notizbuch, das Du dann in der Bahn oder im Flugzeug liegen lässt…)
Und bitte keine Passwörter im Klartext per Email verschicken! Dafür solltest Du Emailverschlüsselung verwenden oder Passwörter auf einem anderen Wege, über ein anderes Medium (wenn es geht: nicht Facebook oder WhatsApp Messenger) übertragen.
Thema Nutzerrechte: solltest Du mehrere Autoren auf Deinem Blog haben, vielleicht eine VA, die Artikel einpflegt, empfiehlt es sich, nur die Rechte zu vergeben, die auch dringend nötig sind. Wer nur Artikel veröffentlicht, aber keine Plugin Updates etc. macht, der braucht auch keinen Admin Zugang.
Auf gutes Hosting setzen
Sicherheit fängt schon beim Hosting an. Hier solltest Du nicht am falschen Ende sparen. Falls Du selber keine Erfahrung mit der Administration von Webservern hast, solltest Du auf Managed Hosting setzen. Hier kümmert sich der Hoster um wichtige Updates der Serversoftware. Empfehlenswerte Hoster sind All-inkl.com und Raidboxes.
Nur Themes & Plugins aus sicheren Quellen installieren
Installiere Plugins und Themes nur von WordPress.org übers Repository oder über vertrauenswürdige Quellen. Achte darauf, dass Du Dir eine aktuelle Version runterlädst.
Eine kleine Faustregel, mit der ich ganz gut fahre: Ich schaue immer, ob das jeweilige Plugin vor kurzem upgedatet wurde (und das letzte Update nicht schon 2 Jahre zurückliegt) und wie viele Downloads das Plugin bisher hatte. So kann ich relativ sichergehen, dass das Plugin auch weiterhin supportet wird und es sich dabei nicht um eine „Eintagsfliege“ handelt.
Bei Plugins gilt die Devise: weniger ist mehr! Installiere nur die Plugins, die dringend nötig sind – damit minimierst Du das Risiko durch Sicherheitslücken noch einmal mehr.
Den Admin-Bereich absichern
Benutze niemals wp_admin!
Erste Regel: der Admin sollte niemals admin, wp_admin, Administrator oder root heißen! Falls das bei Dir so ist, solltest Du das über die Datenbank ändern.
Login-URL ändern
Die Login-URL bei WordPress heißt standardmäßig /wp-admin. Danach suchen Hacker natürlich als erstes. Mit Hilfe von Plugins wie WPS Hide Login und Loginizer kannst Du die URL ändern.
Dashboard per .htaccess sichern
Falls Du auf einem Apache-Server gehostet bist, empfiehlt sich die Nutzung eines .htaccess-Schutzes. Damit erschwerst Du Hackern noch einmal den Zugriff auf Deine Seite. Dabei wird vor das Login-Formular noch einmal eine Passwortabfrage geschaltet. Hier findest du eine gute Anleitung, wie Du einen solchen Schutz realisierst.
Sicherheits-Plugins nutzen
Es gibt zahlreiche Sicherheitsplugins wie iThemes Security, Sucuri, WordFence, Ninja Firewall. Im Prinzip brauchst Du die nicht unbedingt, wenn Du die obenstehenden Hinweise befolgt hast. Wichtig ist hier zu wissen: Sicherheitsplugins speichern in der Regel die IP Adressen der Nutzer, deshalb solltest Du hier einen Hinweis in die Datenschutzerklärung einbauen. Weitere Infos zu WordPress Sicherheitsplugins und DSGVO findest Du hier.
Backups machen!
Für den Notfall – nicht nur im Sinne von Hackerangriffen, sondern auch Bedienungsfehlern – empfiehlt es sich, immer ein Backup parat zu haben. Damit kannst Du im Notfall Deine Installation wiederherstellen. Gute Backup Plugins sind BackWPUp oder UpdraftPlus.
Dieser Artikel sollte einen kleinen Überblick geben, wie Du WordPress sicherer machen kannst. Für Fragen und Anregungen benutz gerne die Kommentarfunktion unter dem Artikel!
Erstmal danke für den tollen Artikel. Nur eine Sache verstehe ich nicht. 🙂
Was hat der Provider mit der Sicherheit der WordPress-Website am Hut?
LG
rene
Hallo Rene,
Freut mich, dass der Artikel Dir gefallen hat! Damit war gemeint, dass – bei Managed Hosting – der Provider für regelmäßige System Updates sorgen sollte.
LG Martina
Ein Backup zu esrtellen, ist mit den beschriebenen Plugins wirklich schnell und problemlos zu erstellen. Kann ich jedem nur empfehlen.
Auf jeden Fall!