9 Profi-Tipps, wie Sie Ihr WordPress vor Hacker-Angriffen schützen

Wordpress sicher machen

Statistisch gesehen wird jeder Blogger einmal im Leben Opfer eines professionellen Hacker-Angriffs. Das Installieren von scheinheiligen Sicherheits-Plugins bringt oft nicht viel, denn IP-Adressen können schnell geändert und somit diese Plugins ausgetrickst werden. Sind den Hackern große Hürden geboten, reicht die Ausdauer dieser meist nicht lange.

Wie Sie solche Hürden effektiv stellen und Angreifer abblitzen lassen, erfahren Sie im Folgenden.

1. Aktualität ist sehr wichtig

Achten Sie darauf, dass Sie Ihr WordPress immer auf dem neuesten Stand halten. Updates sind wichtig, um Sicherheitslücken zu schließen. Heißt, um eine hohe Sicherheit zu erhalten, sollten Sie sich mindestens einmal pro Woche auf Ihrem Blog beziehungsweise im Backend Ihrer Website einloggen. Aktualisierungen lassen sich auch per Email von Plugins wie dem WP Updates Notifier abrufen.

2. Benutzername und Passwort

Die Sicherheit von Benutzernamen und Passwörtern ist auch heute noch aktuell. Für Administrator-Konten auf keinen Fall den Benutzernamen „admin“ verwenden, das macht es Hackern mehr als einfach. Passwörter sollten generell aus vielen Zahlen in Kombination mit Buchstaben und Sonderzeichen bestehen, um den Schwierigkeitsgrad für Angreifer zu erhöhen.

3. Hoster

Sie sollten sich vorab bei Hostanbietern informieren, was diese serverseitig gegen Angriffe unternehmen und Ihre Website präventiv davor schützen. Es empfiehlt sich bei Nutzern in Deutschland Hostanbieter mit deutschem Serverstandort auszuwählen. So können Sie auch die Ladezeit Ihrer Seite verkürzen. Gute Beispiele hierfür sind all-inkl oder RAIDBOXES.

4. So wenig Plugins wie möglich

In Puncto Plugin gilt das altbewährte Sprichwort: „So viel wie nötig, so wenig wie möglich“. Jedes zusätzliche Plugin bringt Unmengen an neuem Programmiercode mit und bietet hiermit eine größere Chance zum Angriff. Tipp: Bei Plugins zuerst schauen, wann die letzte Aktualisierung statt gefunden hat und ob bereits erstellte Bewertungen positiv ausfallen.

5. Backups machen

Backups tragen zum Erhalt Ihrer Seite bei. Diese lassen sich auch in WordPress automatisiert einstellen und legen somit in regelmäßigen Abständen Backups Ihrer Seite an. Wichtig ist, diese lokal oder in einem Online-Speicher zu verwalten. Auf Servern kann Schadcode Schlimmes anrichten.

6. Ihr Computer sollte sicher sein

Ein Schadprogramm kann ganz einfach über Ihren Computer anhand eines FTP-Programms über Bilder oder andere Dateien auf Ihren Blog oder Ihre Website übertragen werden. Um das zu vermeiden, sollten Sie auf Ihrem Computer ein Anti-Viren-Programm installieren. Das gibt es von beispielsweise Avast oder Avira sogar kostenlos.

7. Dateiberechtigungen einstellen

Anhand von einfach anzulegenden Dateiberechtigungen können Sie festlegen, wer auf Ihre WordPress Dateien zugreifen darf. Diese lassen sich unkompliziert per FTP erstellen.

Verbinden Sie sich über ein FTP Programm (beispielsweise FileZilla) mit Ihrem Webspace und klicken Sie auf die gewünschte Datei. Über „Dateiberechtigungen“ lassen sich Einstellungen vornehmen. Bereits bewährte und selbst von WordPress empfohlene Berechtigungen finden Sie im Folgenden.

Alle Dateien erhalten 644

Alle Ordner erhalten 755

Die wp-config.php erhält 660 oder 400

8. Login per Passwort schützen

Effektiver als die meisten Sicherheitsplugins ist das Anlegen eines Passworts für den Loginbereich. Dieser minimale Komfortverlust wird durch eine höhere Sicherheit Ihres WordPress ausgeglichen. Wie das umzusetzen ist, wird im Folgenden erklärt.

Leider funktioniert diese Maßnahme nur auf Apache-Servern, auf denen jedoch 90% aller Websites liegen.

1. Eine .htpasswd Datei wird im Hauptverzeichnis benötigt. Diese Datei wird mit einem gewählten Benutzernamen und verschlüsseltem Passwort gefüllt. Im Anschluss wird Code in die .htaccess Datei übertragen.

2. .htpasswd anlegen: Zu Beginn müssen Sie mit Hilfe eines Editors wie beispielsweise Sublime Text eine Datei, als .htpasswd benannt, anlegen. In dieser sind der Benutzername und das Passwort gespeichert. Dateiendungen wie zum Beispiel .txt müssen vermieden werden. Als Verschlüsselungsmöglichkeit muss „md5“ ausgewählt sein. Anschließend auf den Button „htpasswd generieren“ klicken.

3. Den generierten Text kopieren und in die zuvor erstellte .htpasswd einfügen. Nun kann diese Datei per FTP in das Hauptverzeichnis deiner WordPress Installation hochgeladen werden.

4. Die .htaccess Datei aus dem Hauptverzeichnis aufrufen. Nachfolgenden Code am Ende dieser einfügen. Dieser Code beschreibt für welche Datei (wp-login.php) der Schutz aktiv ist und wo die Datei mit Benutzername und Passwort zu finden ist.

# Ab Apache 2.4

# Auth protect wp-login.php

<Files wp-login.php>

AuthType Basic

AuthName „Restricted Admin-Area“

AuthUserFile /PFAD/ZUR/.htpasswd/EINGEBEN

Require valid-user

</Files>

# Deny access to important files

<FilesMatch „(\.htaccess|\.htpasswd)“>

Require all denied

</FilesMatch>

Der Pfad zur .htpasswd muss noch manuell gefüllt werden. Dieser ist jedoch nicht anders als /.

5. Nun können Sie einen Testvorgang vornehmen. Rufen Sie Ihre normale Login-Seite auf. Sie sollten nach diesem Vorgang ein weiteres Fenster zur Eingabe Ihres Benutzernamen mit Passwort erhalten.

9. SSL-Verschlüsselung aktivieren

Verschlüsseln Sie Ihren Traffic mit einem SSL-Zertifikat. Mit Hilfe diesem wird eine sichere https-Verbindung zwischen Client und Server aufgebaut und die Identität und Echtheit des Servers bestätigt. Wie man eine solche Verschlüsselung aktiviert, erfahren Sie im Blogbeitrag „Warum die Umstellung Ihrer Website auf SSL so wichtig ist“.

Kontakt

Wir helfen Ihnen gerne und zeigen Ihnen auch persönlich, wie Sie Ihr WordPress sicherer machen können. Einfach und unverbindlich Kontakt aufnehmen.