Sieben Schritte für mehr WordPress Sicherheit

In 7 Schritten zu mehr WordPress Sicherheit

WordPress ist häufig Ziel von Angriffen jeglicher Art. Das liegt zum einen daran, dass es ein sehr weit verbreitetes Content Management System ist. Zum anderen aber auch daran, dass es immer mal wieder zu Sicherheitslücken im Core, in Plugins oder Themes kommt. Hier zeige ich dir, wie du die WordPress Sicherheit erhöhst.

Ich hoffe sehr, dass es dich bzw. deine WordPress Website noch nicht „erwischt“ hat!
Im besten Fall möchtest du vorbeugen und es möglichen Angreifern so schwer wie möglich machen.
Ich zeige dir hier sieben einfache Punkte auf, mit denen du WordPress sicherer machen kannst.

Mehr WordPress Sicherheit – wie geht das?

Halte WordPress, deine Themes und Plugins aktuell

Als erste, einfachste, aber auch wirksame Maßnahme solltest du dafür sorgen, dass deine WordPress-Installation, deine Themes sowie die Plugins immer die neueste Version erhalten. In der Regel geschieht dies bei den Plugins und WordPress ja von allein. Automatische Updates lassen sich aber auch deaktivieren. Themes musst du immer manuell auf den neuesten Stand bringen. Schaue also regelmäßig im Backend nach, ob Updates verfügbar sind. Diese schließen nämlich oft auch Sicherheitslücken.

Starke Passwörter und Zwei-Faktor-Authentifizierung

Auch wenn es manchmal etwas mühselig erscheint: verwende starke Passwörter für deine Benutzer. 12 Zeichen sollten es schon sein und bestimmten Kriterien unterliegen (Groß-/Kleinschreibung, Ziffern, Sonderzeichen). Und verwende das Passwort nicht noch an anderer Stelle, z.B. Online-Shops oder Social-Media-Accounts. Das ist zwar etwas aufwändiger, bietet aber auch mehr Sicherheit.

Wenn möglich, aktiviere die 2-Faktor-Authentifizierung. Damit sicherst du dich zusätzlich ab – ein Login erfolgt dann nur durch eine Bestätigung z.B. über dein Smartphone. Eine Anleitung zur Einrichtung der 2-Faktor-Authentifizierung folgt hier später.

Verwende Sicherheits-Plugins

Es gibt einige gut Plugins, mit denen du die Sicherheit von WordPress erhöhen kannst. Sie implementieren verschiedene Schutzmaßnahmen, können bekannte Angriffe verhindert oder auch Malware erkennen.
Bekannte Plugins dafür sind Wordfence, Sucuri oder Solid Security (ehemals iThemes Security). Mit ihnen kannst du zum Beispiel Dateiänderungen überwachen, Malware-Scans durchführen, dein Login sichern und vieles mehr. Es gibt bei allen wirklich eine Menge an Einstellungen, die du sorgfältig durchgehen solltest.

Ändere die Dateiberechtigungen

Du kannst es Angreifern erschweren, Daten zu manipulieren oder Schadcode auf deine Website einzuschleusen, in dem du die Dateiberechtigungen mit einem FTP-Programm auf deiner Website überprüfst und gegebenenfalls anpasst. In der Regel sollten Dateien auf „644“ und Verzeichnisse auf „755“ gesetzt sein. Ebenfalls kannst du wichtige Dateien wie die .htaccess und die wp-config.php schützen, indem du den Zugriff beschränkst.

Richte regelmäßige Backups ein

Als eine der Grundlegenden Maßnahmen um sicherzustellen, dass du im Falle eines Falles deine Website schnell wiederherstellen kannst, sind regelmäßige Backups. Hiermit kannst du sämtliche Dateien und die Datenbank bei Bedarf schnell wieder zurückspielen. Bekannte Plugins hierfür sind UpdraftPlus, BackWPup oder Duplicator. Am besten sicherst du deine Backups an einem externen Ort, wie einem Cloud-Speicher, einem andern Server oder auch lokal auf deinen Rechner. Je nachdem, wie häufig sich die Inhalte auf deiner Website ändern, sollte sich die Frequenz der Backups danach richten.

Verschiebe die wp-config-Datei

In der wp-config.php befinden sich wichtige Einstellungen und Datenbankinformationen. Ohne sie ist ein normaler Betrieb deiner WordPress-Website nicht möglich. Diese Datei befindet sich standardmäßig im Hauptverzeichnis von WordPress und ist somit für Angreifer leichter zugänglich.
Du kannst die Datei einfach eine Ebene über das Hauptverzeichnis verschieben. Dieses Verzeichnis ist nicht Teil des Web-Roots und somit nicht von außen erreichbar. WordPress erkennt sie dort automatisch. Dies geht natürlich nur, wenn deine WordPress-Installation nicht im Webroot deines Hosts liegt.

Ändere den Admin-Benutzer

WordPress legt standardmäßig den Benutzer „admin“ als Administrator-Konto an. Da Angreifern der Benutzername bekannt ist, ist dieses Konto natürlich ein beliebtes Ziel für Attacken. Deshalb solltest du den Namen des Standard-Admins in einen benutzerdefinierten Namen ändern oder löschen. Dazu erstellst du ein neues Benutzerkonto mit Administratorrechten. Damit loggst du dich dann ein und kannst das alte Admin-Konto löschen. Hier, wie immer, noch der Hinweise: verwende komplexe Passwörter.

Du siehst, es gibt eine ganze Reihe von potentiellen Angriffszielen in WordPress – und das ist nur ein kleiner Teil. Ich hoffe diese Tipps können dir dabei helfen, deiner Website etwas mehr Schutz gegen Angreifer zu bieten.

Foto von Negative Space auf Pexels

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert