WordPress Sicherheit
Wie Sie sich gegen Angriffe schützen


Jede Webseite wird täglich Ziel von über 172 Angriffen. Nur die wenigsten davon sind tatsächlich erfolgreich.


Gelingt jedoch ein Angriff, können Ihr Unternehmen und Ihre Besucher erheblich geschädigt werden. Vom Sammeln von Kreditkarteninformationen Ihrer Kunden bis hin zum Verlust der SEO-Rankings sind viele Szenarien möglich.


Als Hosting Provider bekommen wir häufig Anfragen bezüglich gehackter Websites. Unsere Erfahrungen teilen wir mit Ihnen in diesem Ratgeber. Wir zeigen Ihnen effektive Maßnahmen, wie Sie Ihre Seite praktisch verriegeln und gegen Hacker-Angriffe absichern können.


Cyber Crime


1. Wie sicher ist WordPress?


WordPress ist im Grunde ein sicheres Content Management System. Böswillige Angriffe können nur erfolgreich sein, wenn Hacker eine bestimmte Schwachstelle ausmachen und diese nutzen.


Als Webmaster gehört es zu Ihren Aufgaben, diese Schwachstellen auszumerzen und das Aufkommen möglicher neuer Schwachstellen zu verhindern.


Ohne ein aktives Sicherheitsmanagement kann Ihre WordPress-Installation schnell zum Ziel von Angriffen werden, denn:

  • Alle 39 Sekunden findet ein Angriff auf eine Webseite statt.
    (Quelle: Security Magazine)
  • Alle 75 Sekunden stehlen Hacker dabei erfolgreich Daten.
    (Quelle: Breach Level Index)
  • Täglich werden 300.000 neue Malware-Programme von Hackern kreiert.
    (Quelle: McAfee)
  • 98 % aller Verwundbarkeiten hängen jedoch nicht mit dem WordPress-System, sondern mit vom Webmaster installierten Themes oder Plugins zusammen.
    (Quelle: WebARX)
  • Der Sicherheitsanbieter Sucuri hat in einer umfangreichen Studie im Jahr 2019 festgestellt, dass 49 % aller WordPress Core-Installation nicht aktualisiert und daher angreifbar waren.
  • Das Unternehmen SiteLock hat 2018 festgestellt, dass weltweit bis zu 18,5 Millionen Webseiten mit Malware oder ähnlichen toxischen Elementen infiziert sind.

Das klingt erstmal schlecht.


Die gute Nachricht ist:


Nur selten greifen Hacker gezielt einzelne Webseiten an. Dass sich jemand genau Ihre Webseite anschaut und versucht ein individuelles Konzept zu entwerfen, um Sie zu hacken, ist äußerst unwahrscheinlich.


Vielmehr werden flächendeckende Schwachstellen von massenhaft installierten Software-Produkten wie Themes oder Plugins identifiziert und gleichzeitig tausende oder hunderttausende Webseiten angegriffen.


Generell gilt:


Eine hundertprozentige Sicherheit für Ihre WordPress-Seite gibt es nicht. Das Ziel jeglicher Maßnahmen ist es, die Angriffsfläche zu reduzieren und es potenziellen Eindringlingen so schwer zu machen, dass Sie sich ein anderes Ziel suchen.


Mit den von uns vorgestellten Maßnahmen wird die Wahrscheinlichkeit eines erfolgreichen Hacker-Angriffes verschwindend gering.


2. Diese Arten von Angriffen könnten Ihre Webseite treffen



Wenn Sie schon länger eine Webseite betreiben, wurden Sie mit hoher Wahrscheinlichkeit bereits Ziel einer der folgenden Angriffe.

  2.1  Brute Force-Attacken


Hierbei versuchen Hacker, eine der typischen Schwachstellen von Internetnutzern auszunutzen:
schwache Passwörter und Benutzernamen.


Im Jahr 2019 waren die folgenden Passwörter in Deutschland am beliebtesten:

  1. 123456
  2. 123456789
  3. 12345678
  4. 1234567
  5. password
  6. 111111
  7. 1234567890
  8. 123123
  9. 000000
  10. abc123

Zwar arbeiten die meisten Webmaster mit besseren Passwörtern, doch eine ähnliche Sicherheitslücke gibt es bei vielen WordPress-Seiten.


Bei einer neu installierten WordPress-Webseite> existiert häufig ein Benutzer mit einer Administrator-Rolle und den folgenden Login-Details:

  • Benutzername: Admin
  • Passwort: "Ein typisches Passwort"

Eine typische Brute Force-Attacke ist ein flächendeckender, tausendfacher Versuch, sich mit diesen typischen Login-Daten auf etlichen WordPress-Seiten einzuloggen.


Gelingt der Versuch, so haben die Hacker die sofortige Kontrolle über die WordPress-Installation und können nach Belieben Malware installieren oder die Seite zerstören.

  2.2  SQL-Injektionen


SQL-Injektionen sind böswillige Interaktionen mit SQL-Datenbanken. Dabei werden bestimmte SQL-Befehle auf unterschiedlichem Weg in die Datenbank eingeschleust.


Hacker können beispielsweise über ein Kontaktformular mit der Datenbank interagieren. Anstatt die gefragten Informationen einzugeben, kann ein Befehl eingeschleust werden.


Ohne die notwendigen Vorkehrungen kann die Datenbank nicht zwischen den injizierten Befehlen und den legitimen Daten unterscheiden.


Wenn Sie auf Ihrer Webseite eine Funktion für Kommentare anbieten, werden alle Kommentare die geschrieben werden in die Datenbank gelegt. Nehmen wir zum Beispiel das Feld "Name", hängt ein Angreifer an seinen Namen einen SQL-Befehl an so wird der ebenfalls in der Datenbank gespeichert.

Das sieht dann so aus: Alice');DROP TABLE rechungen;

Wenn diese Eingabe nicht "Entschärft" wird, wird die Datenbank den eingeschleusten Befehl einfach ausführen und wie in unserem Beispiel die Tabelle mit allen Rechnungen einfach löschen.

Wenn Sie mehr darüber wissen wollen, können Sie unseren SQL-Injection Beitrag lesen, indem wir uns ausschließlich mit diesem Thema befassen.
Dies ist relevant wenn Sie selbst Formulare oder vergleichbare Funktionen für Ihre Website entwicklen.
In den meisten Fällen werden dafür Plugins eingesetzt, diese sollten Sie stets aktuell halten.


Die Ziele dieser Art von Angriffen sind:

  • Sensible Daten von Kunden oder Besuchern auszulesen
  • Daten in der Datenbank verändern
  • Verschaffen von Zugriff zu geschützten Bereichen

SQL Injection löscht Tabelle

Bildquelle XKCD

  2.3  Malware


Bei Malware handelt es sich um den Oberbegriff für Schadsoftware.

Ziel der Hacker ist es, bösartigen Code über eine Sicherheitslücke auf Ihrer Website einzuschleusen. Gelingt dies, werden Änderungen auf Ihrer Seite durchgeführt um möglichst viel Schaden anzurichten.

Häufig soll der Angriff nicht unmittelbar auffallen. Die Funktionalität der WordPress Seite wird nicht offensichtlich eingeschränkt, die Erkennung gestaltet sich oft dementsprechend schwierig.
Im Zusammenhang mit WordPress sind die folgenden Malware-Untertypen relevant:


SEO-Spam

Die Angreifer injizieren Content, Links oder Befehle wie Redirects auf Ihrer Webseite, um sich kurzfristig SEO-Vorteile zu verschaffen. Die bevorteilten Seiten sind dabei häufig von unseriöser Natur.


Ziel ist es, Link Juice oder Besucher Ihrer Seite auf die Zielseiten umzuleiten. Der wirtschaftliche Schaden kann daher enorm sein. Sie könnten nicht nur Besucher und Kunden, sondern auch Ihre SEO-Rankings verlieren.


SEO Spam Seite

Eine typische SEO Spam-Seite


Backdoors

Bei einer (PHP-)Backdoor oder Webshell handelt es sich üblicherweise um eine Datei die das Ausführen von beliebingen Schadcode erlaubt und dadurch weitere Einfallstore öffnet.



Mailers

Mailer sind Skripte, die Mails von der Domain einer infizierten Webseite versenden, ohne dass der Webmaster zugestimmt hat. Dadurch können große Mengen an Mails verschickt werden, ohne dass die typischen Spam-Schutzmaßnahmen greifen, die sonst auf Mail-Servern aktiv sind.


Mailers werden häufig als unterstützende Malware für Phishing-Attacken verwendet. Eine jüngste prominente Mailer- und Phishing-Attacke war der versuchte Betrug um die Corona-Hilfsgelder in Deutschland.


Mailers
Mails dieser Art werden mit Mailers verschickt. Der Spam-Schutz wird so umgangen.


Defacements

Diese Art eines Angriffs zielt lediglich auf die Zerstörung einer Webseite ab. Dabei werden etwa die CSS-Dateien korrumpiert, um das Layout einer Webseite zu verunstalten.



E-Commerce Malware oder Kreditkarten-Stealers

Laut des Sicherheitsanbieters Sucuri hat diese Form von Angriffen besonders im Jahr 2019 zugenommen. Entgegen einem allgemeinen Trend des Web Hackings, bei dem massenhaft Webseiten infiziert werden, ist diese Art von Malware individuell gestaltet und auf einzelne Webseiten gerichtet.


Dabei werden die Kundendaten von Onlineshops, wie Kreditkarten- oder Kontodaten ausgelesen und für betrügerische Zwecke verwendet. Der finanzielle Schaden der Betroffenen kann enorm sein.

  2.4  Cross Site Scripting (XXS)


Eine der am verbreitesten Methoden für Angriffe ist Cross Site Scripting (XXS). Dabei werden über eingebettete Skripte Schadcode ausgeführt, Inhalte auf der Website verändert und auch in weitere Folge Daten von Benutzern ausgelesen.
Häufig wird bei Websites die Skriptsprache JavaScript für diese Angriffsmethode genutzt.


Betritt einer dieser Nutzer eine mit XXS infizierte Seite, so können die Angreifer die Daten des Nutzers auslesen.


Umso sensibler die Daten sind, umso größer ist der potenzielle Schaden.

  2.5  DDoS-Angriff


DDoS-Angriffe sind Attacken mit weniger wirtschaftlichen Interessen. Das Ziel ist es, einzig und allein, einen Dienst unerreichbar zu machen indem der Server überlastet wird.


Das wird in der Regel durch das massenhafte Abrufen der Webseite, etwa mit Botnets, erreicht. Da die Aufrufe von einer Vielzahl von Quellen ausgehen, ist eine Abwehr generell schwierig, aber möglich.


Diese Art der Angriffe findet häufig in politischen Zusammenhängen statt. Sie sind selbstredend illegal.


3. Rechtliche Aspekte: Sind Sie zu WordPress Sicherheit verpflichtet?


Cybersicherheit und Datenschutz sollten von Webseiten- und Onlineshop-Betreibern ernst genommen werden. Nicht zuletzt im Sinne der Nutzer- und Kundenzufriedenheit.




Sicherheitsmaßnahmen für einen effektiven Datenschutz erhöhen die Kundenzufriedenheit um 13 %. Jeder zweite Verbraucher ist zudem bereit, seine Ausgaben um 20 % zu erhöhen, wenn er dem Unternehmen diesbezüglich Vertrauen schenkt.
Quelle: Capgemini


Doch abseits der Umsatzsteigerung könnten Sie rechtlich dazu verpflichtet sein, Ihre WordPress-Seite sicher zu machen.


Seit der Einführung der DSGVO im Jahr 2018 gelten folgende Vorgaben:


Verschlüsselte Datenübertragung

Nach Art. 13 DSGVO müssen alle Webseiten mit einer SSL-Verschlüsselung ausgestattet werden.


Maßnahmen gegen Datenmissbrauch

Art. 32 DSGVO sieht vor, dass Webseiten- und Onlineshop-Betreiber "technische und organisatorische Maßnahmen" treffen, welche die Sicherheit der verarbeitenden Daten gewährleisten. Nach Art. 82 DSGVO hat jede Person, der durch einen Verstoß gegen die DSGVO ein Schaden entstanden ist, einen Anspruch auf Schadensersatz.



Kommt es nun zu einem Hackerangriff auf Ihren Onlineshop oder Ihre Webseite, sodass sensible Kundendaten abgegriffen und in einer Art verwendet werden, dass dem Kunden ein Schaden entsteht (etwa durch eine missbräuchliche Verwendung der Kreditkarte), könnten Sie haftbar gemacht werden.


Daher ist WordPress Security nicht nur im Sinne der Kundenfreundlichkeit angebracht, sondern auch durch gesetzliche Anforderungen verpflichtend.


DSGVO

Die DSGVO zwingt Webmaster zu Datenschutz und IT-Sicherheit.

4. Ist Ihre Seite infiziert? 6 Indizien für einen erfolgreichen Angriff


Schätzungsweise 3 % aller Webseiten sind momentan infiziert. Es ist also nicht ausgeschlossen, dass sich irgendeine Form von Malware auf Ihrer Webseite befindet.


Wenn eine der folgenden Punkte auf Sie zutrifft, sollten Sie Ihre Seite durchleuchten:


Sie verlieren massiv an Besuchern und SEO-Rankings

Prüfen Sie mit Google Analytics oder der Google Search Console, ob Sie unnatürlich starke Verluste bei Ihren Besucherzahlen und SEO-Rankings hinnehmen mussten.


Für Turbulenzen im Ranking kann vorerst einmal ein großes Google Update sorgen. Nach einem sogenannten Core Update können Sie plötzlich viele Klicks verlieren oder auch dazubekommen. Stellen Sie also zuerst fest, ob Google ein neues Core Update ausgerollt hat. Dies wird meist bei Twitter angekündigt und viele SEO Blogs berichten davon.


Schließen Sie außerdem eine manuelle Abstrafung in der Search Console aus. Klicken Sie dazu im Seitenmenü auf Sicherheit & Manuelle Maßnahmen → Manuelle Maßnahmen.


Sollten Sie keine Abstrafung erhalten haben, könnte ein böswilliger Angriff auf Ihre Webseite die Ursache sein.



Ihre Webseite ist langsam geworden

Sie haben das Gefühl, dass Ihre Webseite langsamer lädt?


Prüfen Sie mit einem Tool wie Pingdom oder PageSpeed Insights, ob Ihre Ladezeit sich deutlich verschlechtert hat. Falls ja, könnte ein Angriff dahinterstecken.


PageSpeed Insights



Neue, eigenartige WordPress-Benutzer tauchen auf

Befinden sich in Ihrem WordPress-Backend auf einmal eigenartige Benutzernamen, könnte das ein Anzeichen auf einen Eingriff sein.


Prüfen Sie daher gelegentlich, ob Sie Benutzer finden, die Sie nicht zuordnen können.


Eigenartige WordPress Benutzer, die Sie nicht zuordnen können, sind ein starkes Indiz für eine infizierte Website.



Mehrere gescheiterte Login-Versuche

Bei WordPress gibt es unterschiedliche Mechanismen, um böswillige Logins zu unterbinden. So kann unter Umständen eine Sperrung vonseiten des Servers oder von der WordPress-Installation erfolgen.


Wenn jemand mehrfach versucht hat, sich auf Ihrer Seite einzuloggen, könnte das ein Anzeichen für eine Brute Force-Attacke sein.



Neue Links und neuer Content

Wenn Sie bemerken, dass sich Links oder neuer Content auf Ihrer Webseite befinden, die Sie selber dort nicht platziert haben, ist das ein starkes Indiz für einen böswilligen Angriff.


Entfernen Sie die Links und den Content schnellstmöglich und nehmen Sie im Anschluss einen Sicherheits-Audit vor.



Das Layout Ihrer Seite ist verunstaltet

Ihre Seite ist optisch verunstaltet und Sie wissen nicht, wieso.


5. Wie Sie WordPress sicher machen - 17 effektive Maßnahmen gegen böswillige Angriffe



Um Ihre WordPress Website gegen böswillige Angriffe abzusichern, müssen Sie die Angriffsfläche verringern und vor allem gängige Sicherheitslücken ausbessern. Umso mehr dieser typischen Mängel Sie ausmerzen, die bei tausenden Webseiten massenhaft vorhanden sind, umso geringer ist die Wahrscheinlichkeit eines erfolgreichen Angriffs.


Hacker suchen den Weg des geringsten Widerstandes. Wenn Sie es ihnen möglichst schwer machen, suchen sie sich ein leichteres Ziel.


Wir zeigen Ihnen heute drei Sicherheitsebenen mit unterschiedlichen Maßnahmen, die mit geringfügigem Aufwand umsetzbar sind. Trotzdem verbessern Sie die Sicherheit Ihrer WordPress-Installation massiv.

  5.1  Externe Faktoren auf Server-Ebene



Einige Sicherheitsmaßnahmen werden nicht auf Ihrer Website, sondern auf Server-Ebene vorgenommen. Auf diese Faktoren haben Sie einen geringen bis mittelmäßigen Einfluss. Die Wahl des Webhosts spielt eine zentrale Rolle.

  5.1.1 Setzen Sie auf sicheres WordPress-Hosting


Eine der einfachsten, aber wirkungsvollsten Maßnahmen ist es, einen sicheren Hosting-Anbieter zu nutzen. Stellen Sie sicher, dass Ihr Host die folgenden Features mitbringt:



SSL-Verschlüsselung

Eine verschlüsselte Datenübertragung ist seit der Einführung der DSGVO nicht nur Pflicht, sondern schützt auch gegen böswillige Angriffe. Andernfalls ist es für Angreifer ein Leichtes, sensible Kundendaten abzufangen.


Ihr Server sollte im Optimalfall die kostenlose Einrichtung eines SSL-Zertifikates ermöglichen.


Sichere Übertragung mit einem SSL Zertifikat



Automatische Backups

Wenn Ihr Host automatisch Backups Ihrer WordPress-Dateien macht, können Sie Malware und ähnliches schnell loswerden. Die Wiederherstellung aus einem Backup behebt zwar nicht die offenen Sicherheitslücken, Sie können dadurch aber benötigte Updates und Arbeiten in einer sauberen Umgebung durchführen.


Bei Domaintechnik sichern wir die Serverdaten unserer Kunden täglich und speichern diese mindestens für 7 Tage. Bleibt die Malware-Infektion länger als 7 Tage unbemerkt, sollten Sie auf eine manuelle Backup-Datei zurückgreifen können.



Malware Scan

Ein vertrauenswürdiger Hosting-Anbieter, der das Thema Sicherheit ernst nimmt, sollte regelmäßige Malware Scans anbieten.


Bei Domaintechnik bieten wir einen kostenlosen Malware Scan an, der Sie bei einem positiven Fund informiert.


Sollten Sie einen konkreten Verdachtsfall haben, nehmen unsere Sicherheitsexperten eine manuelle Detailprüfung gegen eine einmalige überschaubare Gebühr vor.

   Unsere domaintechnik.at Kunden genießen selbstverständlich höchste Sicherheitsstandards.

  Tägliche Malwarescans
  Tägliche Backups von Webspace und Datenbank
  Spamfilter
  Virenscanner
  SSL verschlüsselte E-Mail Übertragung
  SSL verschlüsselte Onlineverwaltung
  Kostenlose SSL Zertifikate
  Vollkommen redundante Hosting Infrastruktur garantiert 99,9 % Webspace Verfügbarkeit
  24/7 elektronische Überwachung unseres Netzwerks und der Server in unserem Datencenter in Wien

  5.2.1 Verwenden Sie eine aktuelle PHP-Version


WordPress basiert unter anderem auf der Programmiersprache PHP. Es ist wichtig, diese auf dem neuesten Stand zu halten.


Die Programmiersprache wird regelmäßig aktualisiert, die Updates korrigieren dabei bekannte Sicherheitslücken. Wir halten unsere Software-Versionen immer auf dem neuesten Stand und Sie müssen nichts tun. Kommt jedoch eine neue Major-Version heraus, müssen Sie selber auf diese Version umsteigen.


Nach einem Major-Release werden für die vorherige Version noch eine gewisse Zeit lang Sicherheitsupdates veröffentlicht.


Ihre WordPress-Seite sollte zumindest auf einer aktiv unterstützten Version laufen. Aktuell laufen noch 79 % aller WordPress-Seiten auf einer veralteten PHP-Version.


Auf unseren Hostingservern stehen aktuell die PHP-Versionen PHP 4.4 bis 8.4 zur Verfügung. Sie können Ihre Version einfach in Ihrem Control-Panel ändern. Zuvor sollten Sie jedoch prüfen, ob eine Kompatibilität mit Ihrer verwendeten Software wie Plugins und Themes vorhanden ist und ein Backup erstellen.


 Anleitung: WordPress PHP-Version aktualisieren 

  5.2.2 Nutzen Sie komplexe Passwörter und Benutzernamen


Dass viele Internetnutzer sich keine Mühe bei der Auswahl und Verwaltung von Passwörtern und Benutzernamen machen, ist ein Fehler.


Sie sollten ein eigenes komplexes Passwort für alle Anwendungen haben.


Ein gutes, kostenloses Tool zur Passwort-Verwaltung ist KeePass.
Mit Keepass können Sie ganz einfach komplexe Passwörter generieren und verwalten, dadurch werden Sie niemehr ein Passwort vergessen oder Opfer eines Brute Force Angriffs werden.


Sicheres Passwort

  5.2.3 Aktivieren Sie die 2-Faktor-Authentifizierung


Wenn jemand auf irgendeinem Weg an Ihr Passwort gekommen ist, etwa durch das Auslesen Ihrer Browser-Daten, hilft auch ein komplexes Passwort nicht.


Die 2-Faktor-Authentifizierung kann Sie auch dann noch schützen.


Dabei wird Ihr Benutzer mit einem 2-Faktor Authentifizierungsprogramm verknüpft. Damit wird ein Login nicht nur mit 1 Faktor (Passwort) authentifiziert, sondern durch 2. Dieser 2te Faktor ist eine massive Verbesserung der Sicherheit.
Wenn Sie diesen 2ten Faktor z.B. auf Ihrem Smartphone einrichten, so braucht ein Angreifer nicht nur Ihr Passwort, sondern auch Ihr Smartphone.

Somit sind Sie absolut sicher gegen Brute Force Angriffe.


Folgende Wordpress Plugins können eine 2-Faktor-Authentifizierung einrichten:

  • WP 2FA
  • Google Authenticator
  • Two Factor Authentication
  • Wordfence

  5.2.4 Ergänzen Sie das Login mit einer Sicherheitsfrage


Ein weiterer Login-Schutz ist die Ergänzung des Logins mit einer Sicherheitsfrage.


Indem Sie eine Frage definieren, zu der lediglich Sie die Antwort kennen, erhöhen Sie Ihren allgemeinen Passwortschutz.


Am einfachsten geht das mit dem Plugin WP Security Question.

  5.2.5 Sperren Sie die Unterseite für das WordPress-Login


Um sich auf Ihrer WordPress-Seite einzuloggen, besuchen Sie wahrscheinlich eine der folgenden URLs:

  • muster.at/wp-login.php
  • muster.at/wp-admin/

Damit spielen Sie Angreifern in gewisser Weise zu, da dieser Zugang allgemein bekannt ist. Sie könnten jedoch eine andere Unterseite als Login-Seite definieren, um Unklarheit zu stiften und somit Sicherheit zu schaffen.


Beinahe jedes WordPress Security Plugin verfügt über diese Funktion. Alternativ können Sie das kostenlose WPS Hide Plugin verwenden.


Über Einstellungen → Allgemein können Sie nun die individuelle URL definieren.


WPS Hide Login


Somit ist Ihre Seite sicher gegen alle automatischen Skripte und Bots, die in Form einer Brute Force-Attacke versuchen, sich auf Ihrer Seite Zutritt zu verschaffen.

  5.2.6 Installieren Sie ein SSL-Zertifikat


Mittlerweile ist es gesetzlich vorgeschrieben, dass Ihre Webseite über ein SSL-Zertifikat zu verfügen hat, wenn Sie auf Ihrer Website personenbezogene Daten verarbeiten.


Wenn Sie ein SSL-Zertifikat installieren, müssen Sie zudem einstellen, dass alle bestehenden Inhalte und Unterseiten auf die neue URL weitergeleitet werden. Schließlich werden Inhalte nun über

https://muster.at statt http://muster.at

abgerufen.


Mit dem kostenlosen Plugin "Really Simple SSL" können Sie zügig auf SSL umstellen.


Sie müssen es lediglich installieren und aktiveren. Alle Inhalte werden nun per 301-Redirect umgeleitet. Sollten aus Kompatibilitätsgründen einzelne Unterseiten nicht umgeleitet werden, müssen Sie hier manuell nachbessern.

  5.2.7 Aktualisieren Sie WordPress, Themes und Plugins immer schnellstmöglich


Sie sollten sowohl die WordPress Core-Installation, als auch Themes und Plugins immer auf dem neuesten Stand halten.


Der Grund dafür ist denkbar einfach:


Entwickler veröffentlichen im Rahmen des Updates eine Release Note, welche die ausgemerzten Sicherheitslücken und ergänzten Features auflistet. Was einerseits praktisch ist, zeigt öffentlich bestehende Schwachstellen von nicht-aktualisierten WordPress Webseiten auf.


Prüfen Sie regelmäßig, ob Ihre Webseite aktualisiert werden muss. Bevor Sie ein Update durchführen, sollten Sie ein Backup machen.


   Mehr zu diesem Thema erfahren Sie in unserem Guide zu WordPress Updates.

  5.2.8 auch manuelle Backups machen


Manchmal reichen automatische Backups nicht, Sie sollten zu angebrachten Gelegenheiten auch manuell Backups erstellen. Zum Beispiel vor großen Änderungen oder Updates.


Sollte Ihre Website im Laufe einer Änderung vulnerabel gewesen sein und Schadsoftware eingeschleust worden ist, so können Sie einfach ein Backup wiederherstellen.


In unserem WordPress Backup Guide erfahren Sie, wie Sie Backups erstellen können.

  5.2.9 Verwenden Sie ein WordPress Security Plugin


Es gibt zahlreiche Security Plugins, mit denen Sie die oben genannten Maßnahmen in kürzester Zeit umsetzen können.


Manche davon sind kostenlos und manche berechnen eine einmalige oder jährliche Gebühr.


Zu den besten gehören:

  • SecuPress
  • Sucury
  • iThemes Security
  • WordFence

Mit kleinen Unterschieden verfügen alle über folgende wichtige Funktionen:

  • Firewall
  • Malware Scan
  • Änderung der Login-Seite
  • Zwei-Faktor-Authentifizierung
  • Generierung sicherer Passwörter
  • Protokollierung von Logins
  • Generierung und Aktualisierung sicherer Passwörter
  • Handlungsvorschläge für mehr Sicherheit
  • IP-Black und Whitelisting
  • Email-Benachrichtigung bei Vorkommnissen
  • Sperrung bei Login-Versuchen (Anti-Brute-Force)
  • Backups
  • Deaktivierung von XML-RPC
  • uvm.

In der Premium-Variante stellen die meisten dieser Plugins eine effektive Rundum-Lösung für Ihre WordPress Sicherheit dar. Die überschaubare Investition kann sich durch die eingesparte Zeit schnell bezahlt machen.


  5.3  Zusätzliche Maßnahmen mit Codierung - Für Fortgeschrittene



Die nachfolgenden Maßnahmen erfordern etwas mehr Einsatz. Es müssen kleine Änderungen am Code Ihrer Webseite vorgenommen werden.


Wenn Sie sich damit nicht wohlfühlen, sollten Sie einen Webentwickler hinzuziehen.


Probieren Sie es eigenhändig, sollten Sie vor jedem Schritt eine Sicherung durchführen.


Zudem müssen Sie wissen, wie Sie sich über einen FTP-Client mit Ihrer Datenbank verbinden.

  5.3.1 Deaktivieren Sie die PHP-Ausführung in sensiblen Verzeichnissen


Bei einer SQL-Injektion werden schädliche PHP-Befehle in der Datenbank Ihrer WordPress-Installation platziert.


Einen vollkommenen Schutz dagegen gibt es nicht. Es wird immer eine Möglichkeit geben, die Befehle in Ihre Seite zu injizieren.


Sie können sich allerdings gegen die schädlichen Befehle wehren, indem Sie deren Ausführung verbieten.


Am besten tun Sie dies für sensible Verzeichnisse, wie etwa das /wp-content/uploads/ Verzeichnis.


Kreieren Sie dort eine Text-Datei mit dem Namen ".htaccess".


Bringen Sie nun den folgenden Code in die .htaccess Datei ein und speichern Sie diese:


<Files *.php>
deny from all
</Files>

Dadurch werden PHP-Skripte aus dem Upload-Verzeichnis nicht ausgeführt.


Bei komplexeren WordPress-Seiten kann es sich lohnen, diese Maßnahme noch für andere Verzeichnisse vorzunehmen, in denen keine Ausführung von PHP erforderlich ist.

  5.3.2 Deaktivieren Sie den Appearance Editor


Sollte ein Angreifer auf irgendeinem Weg Zugang zu Ihrem WP-Backend erhalten haben, kann er in kurzer Zeit großen Schaden anrichten.


Eine vorbeugende Sicherheitsebene diesbezüglich können Sie einführen, indem Sie auf eine korrekte Rollenverteilung achten. Niemand, außer der tatsächliche Admin, sollte eine Administratorenrolle erhalten. In der Praxis passiert eine ungeschickte Rollenverteilung jedoch immer wieder mal.


Benutzerrollen WordPress


Gerade bei größeren Teams kann es sich lohnen, diesem Umstand vorzubeugen, indem Sie die Bearbeitung des "Appearance Editors" im WordPress Backend deaktivieren.


Theme Editor


Schon eine kleine Veränderung führt nämlich zu einem Totalabsturz Ihrer Webseite in Form des "White Screen of Death".


Die meisten Sicherheits-Plugins, wie auch iThemes Security, deaktivieren diese Funktion automatisch.


Wenn Sie es manuell umsetzen möchten, sollten Sie den folgenden Code in Ihre wp-config.php Datei einfügen:


define('DISALLOW_FILE_EDIT', true);

  5.3.3 Hardening der Datei wp-config.php


Im Kontext der Cyber-Security meint "Hardening" das Erschaffen einer zusätzlichen Sicherheitsschicht.


Die wp-config.php Datei spielt bei WordPress eine zentrale Rolle.


Sie enthält die wichtigsten Informationen über die Datenbank und zentrale Einstellungen zu der WordPress-Webseite.


Eine böswillige Veränderung oder Beschädigung der Datei führt schnell zu einem Systemabsturz.


Die Datei ist daher besonders zu sichern. Es gibt dafür drei Möglichkeiten:


Verlegung in ein anderes Verzeichnis

Verschieben Sie die Datei von dem öffentlich einsehbaren Ordner /www/ in ein Verzeichnis, das nicht einsehbar ist.


Diese Diskussion erklärt Ihnen, wie es möglich und wieso es sinnvoll ist.



Aktualisierung der WordPress-Schlüssel

Sollten Sie Ihre Seite mal umgezogen haben, ist eine Aktualisierung der Sicherheitsschlüssel empfehlenswert.


Dieses Tool generiert neue Schlüssel samt Code, die einfach in der wp-config.php ersetzt werden müssen.



Änderung der Zugangsberechtigung

Ändern Sie die Berechtigung Ihrer wp-config Datei so, dass nur der Eigentümer sie lesen und beschreiben kann.


Der Vorgang ist etwas komplexer und wird hier im offiziellen WordPress-Forum beschrieben.

  5.3.4 XML-RPC Funktionen einschränken


Die XML-RPC ist eine veraltete Schnittstelle zur Kommunikation mit anderen Systemen.


Mittlerweile hat die neue WordPress API diese Aufgabe übernommen. Die Schnittstelle ist dennoch standardgemäß bei WordPress-Installationen vorhanden und sollte zumindest in Teilen deaktiviert werden. Sie stellt ein leichtes Angriffsziel dar.


Verwenden Sie dazu das kostenlose Plugin XML-RPC Pingback oder eines der von uns vorgeschlagenen Security Plugins.

  5.3.5 DDoS-Schutz


DDoS-Attacken sind nach wie vor eine ernsthafte Gefahr. Besonders, wenn Sie eine Webseite mit einer bestimmten Risiko-Exposition wie mit einem politischen Kontext oder dem kurzfristigen Verkauf von limitierten Waren (Konzertkarten oder exklusive Sneaker) betreiben.


Um sich zu schützen, sollten Sie eine Firewall einrichten. Sie können zwischen legitimen Besuchern und schädlichem DDoS-Traffic unterscheiden.


Als WordPress-Nutzer ist es am einfachsten, die Premium-Version eines Sicherheitsplugins zu erwerben. Diese verfügen über effiziente Firewalls.


6. Fazit: Sicher ist sicher


Als Webseitenbetreiber sollten Sie sich mit WordPress Sicherheit auseinandersetzen.


Umso sensibler die Daten sind, die Sie verarbeiten, umso eher müssen Sie entsprechende Maßnahmen umsetzen.


Ein absolut sicheres IT-System existiert nicht und ist auch nicht erstrebenswert. Im Zusammenhang mit WordPress ist "Security through Obscurity", also "Sicherheit durch Unklarheit" das Gebot der Stunde.


Indem Sie die Grundregeln befolgen, wie:

  • WordPress, Plugins und Themes aktuell halten
  • Sichere Passwörter nutzen
  • Zugriffe beschränken
  • Einen sicheren Webhost verwenden

... ist Ihre WordPress-Seite bereits deutlich sicherer als der Durchschnitt. Ein erfolgreicher Angriff wird damit unwahrscheinlicher.


Sollten Sie Ihre Webseite mit einem wirtschaftlichen Interesse betreiben, so empfiehlt sich die Anschaffung der Premium Version eines WordPress Sicherheit Plugins. Die Kosten liegen bei 50 - 100 € pro Jahr.


So lassen sich fast alle der im Artikel aufgeführten Maßnahmen mit einem minimalen Zeitaufwand umsetzen.


7. FAQ


Hier finden Sie die meistgestellten Fragen zum Thema WordPress Sicherheit:


1. Wie kann ich die Sicherheit meiner Website erhöhen?

Um Ihre WordPress Website praktisch zu verriegeln, können Sie einige Maßnahmen vornehmen.


Der erste Schritt in die richtige Richtung ist ein sicheres WordPress Hosting.


Weiters gibt es einige simple Dinge, die Sie auch als Anfänger umsetzen können, z. B.: die 2-Faktor-Authentifizierung zu aktivieren oder Ihre WordPress Version auszublenden.


Auf fortgeschrittener Ebene können Sie z. B. die PHP-Ausführung in sensiblen Verzeichnissen deaktivieren.


2. Ist WordPress sicher?

Grundsätzlich ist WordPress ein sicheres CMS. Hacker nutzen jedoch oft flächendeckende Schwachstellen aus und greifen gleichzeitig tausende Websites an.


Um Ihre Website abzusichern und vor solchen Angriffen zu schützen, gibt es viele wirkungsvolle Maßnahmen. So reduzieren Sie die Angriffsfläche und die Wahrscheinlichkeit eines erfolgreichen Angriffs wird verschwindend klein.


3. Wie merke ich, dass meine Website gehackt wurde?

Indizien für eine infizierte Website können z. B. neue Links und Content sein, die Sie nicht selber hinzugefügt haben, neue, eigenartige Benutzer oder eine deutliche Verlangsamung der Ladezeit.


4. Welche Angriffe können auf meine Website gemacht werden?

Es gibt eine Vielzahl an Angriffen, die auf Ihre Website vorgenommen werden könnten, u. a. Brute-Force-Attacken, die schwache Passwörter ausnutzen oder Cross Site Scripting (XXS), wo die Daten der Besucher abgefangen werden.


Sie wollen mehr über WordPress lernen?