9 Tipps für eine sicherere WordPress-Website

Milou de Kleijn, 12 März 2018

Wenn Sie im Internet als Unternehmer oder Vermarkter tätig sind und eine eigene Website haben, ist die Chance groß, dass Sie WordPress – oder im Falle eines Webshops WooCommerce- verwenden. Hierbei handelt es sich um die beliebtesten Content-Management-Plattformen im Internet.

Wenn Sie in letzter Zeit die Nachrichten verfolgt haben, werden Sie bereits wissen, dass Websites ständig angegriffen werden. DDoS-Angriffe, Phishing, Malware: Kriminelle nutzen alle möglichen Techniken, um Organisationen Schaden zuzufügen. Obwohl die meisten Hosting-Provider bereits umfangreiche Maßnahmen ergreifen, um die Sicherheit Ihrer Websites zu gewährleisten, gibt es immer noch viele Möglichkeiten, wie Sie selbst zum Schutz Ihrer Website beitragen können. Im Internet gibt es Hunderte von Artikeln mit Tipps und Tricks, die Ihnen zeigen, wie man damit anfängt.

Wenn Sie eine WordPress-Website haben, ist dieser Artikel für Sie bestimmt. Er enthält 9 nützliche Tipps, die speziell entwickelt wurden, um Ihnen dabei zu helfen, die Sicherheit Ihrer WordPress-Website zu verbessern.

Tipp 1: Sorgen Sie dafür, dass Ihr WordPress Core immer auf dem neuesten Stand ist

Es kommt zwar extrem selten vor, aber vereinzelt werden Schwachstellen in WordPress selbst entdeckt. Sie sollten daher sicherstellen, dass Sie immer die neuesten Minor Releases des WordPress Core installieren. Sie können dies über die Auto-Update-Einstellungen von WordPress tun oder indem Sie Ihre Systemsteuerung entsprechend konfigurieren.

Tipp 2: Deaktivieren Sie Pingbacks und Trackbacks

Pingbacks und Trackbacks sind Benachrichtigungen von anderen Websites, die Ihnen mitteilen, dass sie einen Link zu Ihrer Website enthalten. Diese werden jedoch häufig für Spam-Zwecke verwendet. Klicken Sie im WP-Adminbereich auf Einstellungen > Diskussionen und entfernen Sie das Häkchen bei „Erlaube Link-Benachrichtigungen von anderen Blogs (Pingbacks und Trackbacks) bei neuen Beiträgen“.

Discussion settings

Tipp 3: Deaktivieren Sie XML-RPC

Sie können XML-RPC verwenden, um Daten zwischen dem WP-Adminbereich und Ihrer Website auszutauschen. Wenn Sie diese Option nicht verwenden, ist es ratsam, XML-RPC zu deaktivieren. Es handelt sich hierbei um einen klaren Angriffsvektor, da diese Option schnelle und einfache Anmeldeversuche ermöglicht. Sie können dieses Problem selbst über .htaccess beheben (wenn Sie Apache verwenden), indem Sie diesen Code hinzufügen:

# Block WordPress xmlrpc.php requests??order deny,allow?deny from all?allow from 123.123.123.123?

Wenn Sie irgendwelche Zweifel haben sollten, kann Ihnen Ihr Hosting-Provider mehr Auskunft geben.

Tipp 4: Zugang zur WordPress API deaktivieren

Sie sollten den Zugang zu Ihrer API natürlich nur dann deaktivieren, wenn Sie sie nicht benutzen. Wenn Sie sie verwenden, können Sie in der API eine IP-Whitelist erstellen. Diese Maßnahme ist äußerst wichtig, da es für böswillige Dritte möglich ist, über die API wichtige Informationen, wie z.B. Benutzernamen (über den Slug des Autors), zu erlangen.

Tipp 5: Deaktivieren Sie die Benutzerregistrierung

Viele Bots erstellen WordPress-Benutzerkonten für Spam-Zwecke. Wenn es für die Besucher Ihrer Website nicht notwendig ist, Benutzerkonten zu erstellen, sollten Sie diese Option deaktivieren, indem Sie unter „Einstellungen > Allgemein“ die Option „Jeder kann sich registrieren“ deaktivieren.

 Tipp 6: Theme- und Plugin-Editor deaktivieren

Sollte sich jemand unberechtigterweise Zugang zu Ihrem WP-Adminbereich verschaffen, kann dieser Eindringling mithilfe des eingebauten Datei-Editors viel Schaden anrichten. Deaktivieren Sie diese Option, indem Sie die folgende Zeile zu Ihrer wp-config hinzufügen:

define('DISALLOW_FILE_EDIT', true);

Tipp 7: Verwenden Sie niemals „admin“ als Benutzernamen

Bei einem so genannten Brute-Force-Angriff versucht ein Angreifer, sowohl Ihren Benutzernamen als auch Ihr Passwort zu erraten. Da „admin“ der Standardbenutzername für jede neue WordPress-Installation ist, bedeutet dies oft, dass ein potenzieller Angreifer nur das Passwort erraten muss, um Zugang zu einer Website zu erhalten.

Legen Sie zuerst einen neuen Administrator-Benutzer mit einem eindeutigen Benutzernamen an und löschen Sie danach den Benutzer mit dem Benutzernamen „admin“, um das Risiko eines erfolgreichen Brute-Force-Angriffs zu reduzieren.

strong passwords

Tipp 8: Verwenden Sie unterschiedliche Benutzerkonten für die Verwaltung von Websites und die Veröffentlichung von Inhalten.

Es ist möglich, einen Benutzernamen über die API und über die URL der Autorenseite zu ermitteln. Aus diesem Grund ist es ratsam, dass Personen, die sowohl die Website verwalten als auch Inhalte veröffentlichen, zwei Konten verwenden. Verwenden Sie ein Konto mit möglichst wenigen Berechtigungen für die Veröffentlichung von Inhalten. Sollte es einem Angreifer gelingen, sich als dieser Benutzer einzuloggen, kann er Ihrer Website keine größeren Schäden zufügen.

Tipp 9: Verwenden Sie einzigartige „Salts“ und „Keys“

Verwenden Sie einzigartige Werte von ausreichender Länge für die „Salts“ und „Keys“ in der wp-config.php. Dadurch wird sichergestellt, dass die in Cookies gespeicherten Daten noch besser verschlüsselt werden. Mit dem Salt- und Key-Generator von WordPress selbst können Sie gebrauchsfertige Werte generieren, die Sie direkt in Ihre wp-config.php einfügen können.

Bonustipp: Verwenden Sie ein einzigartiges und sicheres Passwort

Sie haben diesen Tipp wahrscheinlich schon unzählige Male gehört. Trotzdem sind viele Passwörter immer noch nicht stark genug.

Verwenden Sie ausschließlich sichere Passwörter!

Brute-Force-Methoden, bei denen versucht wird, das Passwort einer Seite zu erraten, gehören zu den am häufigsten verwendeten Werkzeugen für Angriffe auf Websites. Sie sollten sicherstellen, dass Ihr Passwort entweder aus einer langen Zeichenkette aus zufälligen Zeichen oder aus einer ausreichend langen Passphrase besteht.

Eine Passphrase ist ein Passwort, das sich aus mehreren zufälligen Wörtern oder Namen zusammensetzt. Dadurch können Sie sich die Phrase leichter merken. Mit Hilfe eines Passwort-Managers wie 1Password oder LastPass können Sie für jedes Benutzerkonto ein anderes Passwort verwenden, müssen sich dabei aber nur ein einziges Passwort merken.

Achten Sie auch darauf, dass Sie Ihre Passwörter niemals wiederverwenden. Wenn Sie das gleiche Passwort mehrmals verwenden, kann es passieren, dass Ihre Website gehackt wird, weil Ihr Passwort bei einem Angriff auf eine andere Website entdeckt wurde.

Das sind sie also: 9 Tipps zur Verbesserung Ihrer WordPress-Sicherheit. Es gibt natürlich noch viel mehr Möglichkeiten, sich sicherer im Internet zu bewegen, aber diese Tipps sind ein guter Anfang. Wir haben eine Checkliste mit einer Reihe weiterer Tipps zum Download bereitgestellt. Haben Sie noch mehr Tipps? Lassen Sie es uns in den Kommentaren oder über Social Media wissen!


Checkliste herunterladen

Hinterlassen Sie eine Antwort

Lernen Sie uns näher kennen!