WordPress Sicherheit

WordPress Sicherheit – Tipps zu allgemeinen Sicherungsmaßnahmen und Sicherheits-Plugins

Unerlaubte Änderungen am Quellcode, Datenverluste oder Schäden für die Website-Besucher – Angreifer können einer ungeschützten WordPress-Seite großen Schaden zufügen. Im schlimmsten Fall wird die Seite völlig unbrauchbar oder landet auf einer Blacklist.
Interne und externe Sicherungsmaßnahmen haben daher oberste Priorität und sollten ein fester Bestandteil der regelmäßigen Website-Pflege sein.

Wir widmen uns im aktuellen Beitrag den typischen Sicherheitsgefahren für WordPress-Websites, zeigen allgemeine Sicherungsmaßnahmen auf und geben Tipps für WP Security-Plugins.

Die größten Gefahren für die WordPress-Website

WordPress gehört weltweit zu den meistgenutzten CMS. Die große Beliebtheit hat aber zugleich zur Folge, dass WordPress auch zu begehrten Hacker-Zielen gehört. Die Sicherheit der Websites wird vor allem durch folgende Angriffe gefährdet:

Automatische Login-Versuche: Brute-Force-Attacken

Bei diesen Attacken wird das System mit einer hohen Anzahl an Passwort-Kombinationen bombardiert, mit dem Versuch, Zugang zum Adminbereich zu erlangen. In dem Fall hätte der Angreifer die komplette Kontrolle über die Website.

Abhilfe schaffen hier neben Plugins zur Anmelde-Limitierung die Einrichtung starker, komplexer Passwörter.

Sicherheitslücken werden ausgenutzt

Angreifer nutzen Crawler, um Webseiten gezielt nach Sicherheitslücken abzusuchen, z.B., wenn sie wissen, dass ein bestimmtes Plugin eine Sicherheitslücke aufweist.

Manuelle Angriffe

Zwar laufen die meisten Angriffe auf WordPress-Seiten automatisiert. Locken aber viele lohnenswerte Daten, z.B. Zahlungsdaten, investieren Hacker auch die Zeit in manuelle Angriffe.

Allgemeine Tipps zur Sicherheit

Auch wenn Sicherheits-Plugins einen großen Anteil am Schutz Eurer Website leisten, solltet Ihr stets generelle Maßnahmen zur Sicherung ergreifen. Dazu gehören:

  • starke Passwörter verwenden für Datenbank und Verwaltung
  • nicht den Benutzernamen „Admin“ verwenden: Bei automatisierten Angriffen wird automatisch „Admin“ verwendet. Lautet der Benutzername anders, wird der automatische Anmeldeversuch zusaätzlich erschwert.
  • nicht genutzte Plugins und Themes IMMER entfernen
  • nur vertrauenswürdige Quellen für Themes und Plugins nutzen, am besten nur von: https://wordpress.org
  • WordPress-Installation und alle Erweiterungen auf dem aktuellen Stand halten

Tipps für WordPress Sicherheits-Plugins

Die meisten Sicherheits-Plugins für WordPress bieten einen Rundum-Schutz für Eure Website. Sie beinhalten u.a. folgende Schutzmechanismen:

  • Scanning nach Malware
  • Firewalls
  • IP-Adressen sperren
  • Benutzeraktionen protokollieren
  • WordPress Sicherheitsschlüssel aktualisieren
  • Blockade schädlicher Netzwerke
  • Zwei-Faktoren-Authentifizierung

Ihr solltet für die Sicherung Eurer Website besser ein multifunktionales Plugin nutzen, statt viele kleinere, zugleich aber darauf achten, inwieweit der Funktionsumfang notwendig ist. Wir haben im Folgenden 5 der meistgenutzten Security-Plugins für WordPress ausgewählt und geben Anhaltspunkte zum Anwendungsumfang.

All in one WP Security & Firewall

Dieses Plugin ist besonders gut für WordPress-Einsteiger geeignet, die sich einen Standardschutz wünschen. All in one WP Security & Firewall ist intuitiv und übersichtlich und bietet eine Zusammenstellung der wichtigsten WordPress-Absicherungen, z.B.:

  • kleine Firewall
  • Überwachung von Benutzern und Registrierungen
  • Schutz gegen Brute-Force-Angriffe

Der Schutzstatus wird über einen Score gekennzeichnet. Je höher, desto besser ist Eure Website geschützt.

iThemes Security

Ebenfalls gut für WordPress-Einsteiger geeignet ist das iThemes Security Plugin. Im Menü erhaltet Ihr einen Überblick über alle wichtigen Sicherheitseinstellungen, die von leichter bis hoher Sicherheit sortiert sind.

Das Plugin sichert u.a. gegen:

  • Brute-Force-Attacken
  • Codeeinschleusungen
  • Angriffe auf das Backend
  • nicht erlaubte PHP Ausführungen

Wordfence

Wordfence gehört eindeutig zu den beliebtesten Sicherheits-Plugins für WordPress. Es funktioniert mit Security Scans, d.h. alle Dateien und Ordner werden regelmäßig gescannt und Ihr erhaltet anschließend eine Benachrichtigung zu den Sicherheitslücken. Das Plugin ist jedoch nur in Englisch erhältlich, sodass es teilweise auch zu Falschmeldungen durch deutsche Dateinamen kommt.

Weiterhin solltet Ihr beachten, dass das Plugin auf den Benutzer-Servern läuft, die beim Scanvorgang überlastet werden können.

Sucuri Security

Wie Wordfence bietet auch Sucuri Security ständige Sicherheitsscans, sodass Malware und Hackerangriffe frühzeitig erkannt und Abwehrmaßnahmen ergriffen werden.

Für Anfänger bzw. Personen mit wenig WordPress-Erfahrung ist dieses Sicherheits-Plugin jedoch weniger geeignet, da die Analyse der Informationen von Sucuri einiges Fachwissen erfordert.

MalCare

Das Plugin MalCare verbindet einen großen Funktionsumfang mit leichter Bedienbarkeit und ist daher für WordPress-Benutzer mit geringer technischer Erfahrung gut geeignet. Mit nur einem Klick kann das tägliche automatische Scannen oder sofortiges Scannen ausgelöst werden.

Das Plugin läuft auf externen Server. Negative Geschwindigkeitsauswirkungen auf die eigene Website sind also nicht zu befürchten.

 

Egal, für welches Sicherheits-Plugin Ihr Euch entscheidet – denkt bitte immer daran, dass die Erweiterung nur ein Teil einer umfassenden Sicherheitsstrategie für Eure Website ist und nur im Zusammenspiel mit den oben genannten allgemeinen Sicherungsmaßnahmen ein hoher Schutz gewährleistet werden kann.

Weitere Blogbeiträge zum Thema WordPress


4 Kommentare  |  Kommentar schreiben

4 Kommentare zu “WordPress Sicherheit – Plugins & weitere Sicherheitsmaßnahmen

Martin #

Geschrieben am 21. Dezember 2018 um 11:50 Uhr

Beste Lösung: die komplette WordPress-Installation offline lokal installieren oder online hinter einem .htaccess Passwortschutz „verstecken“ und die eigentliche Website dann daraus statisch (z.b. mit StaticPress) ausgenerieren. Alles andere erhöht die Komplexität und damit die Angriffsoberfläche nur immer weiter. WordPress = P.I.T.A. .. IMO 😉

Marcel El-Ghori (webgo GmbH) #

Geschrieben am 21. Dezember 2018 um 13:15 Uhr

Lieber Martin,

:D!
danke für diesen Tipp! Wir werden Deinen Hinweis gerne für folgende Beiträge Aufnehmen.

Liebe Grüße
Dein webgo Social Team

Sven #

Geschrieben am 23. Dezember 2018 um 11:39 Uhr

.htaccess Passwortschutz dürfte wenn nur für die wp-login.php eingestellt werden, NICHT für das verzeichniss wp-admin. Die Datei wp-admin/admin.ajax.php ist Basis jeder Ajax Kommunikation. Würde dies perr .htacccess gescützt sein würden einige Plugin’s nicht funktionieren.

wp-login mit .htaccess schützen:

AuthName „No access“
AuthType Basic
AuthUserFile /path/to/.htpasswd
Require valid-user

Ich habe bei meiner Seite kein .htaccess Schutz eingerichtet. Zum einen habe ich ein kleines Captcha (Rechenaufgabe, nicht Google da das nicht DSGVO Konform ist) UND ein Plugin namens „Stealth Login Page“. Diese Plugin erweitert die wp-login neben Name und Passwort um ein drittes Feld „Authorization Code“. Damit habe ich, neben einem sicherem Passwort“ eine funktionierende „2-factor authentication“.

Marcel El-Ghori (webgo GmbH) #

Geschrieben am 3. Januar 2019 um 09:35 Uhr

Lieber Sven,

vielen Dank für Deinen Kommentar und Dein Hinweis zum Passwortschutz per .htaccess. Dein Weg der 2-Faktor Authentifizierung, ist für viele ebenfalls sinnvoll!

Liebe Grüße
Dein webgo Social Team

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.