17 einfache Tipps für mehr WordPress-Sicherheit
Letzte Aktualisierung am 3 Januar 2023 um 12:33 pm
4,00/5Bei diesem Beitrag handelt es sich um einen Gastartikel von Andreas Mühlbauer, Gründer von Digitales Mojo.
WordPress ist sicher.
Dieser Satz klingt auf den ersten Blick erst einmal provokant und der ein oder andere Cybersicherheits-Experte schüttelt bei diesen Worten sicherlich mit dem Kopf.
Allerdings besteht das WordPress-Sicherheitsteam im Jahr 2022 aus etwa 50 Experten, darunter leitende Entwickler und Sicherheitsforscher – etwa die Hälfte sind Mitarbeiter von Automattic und eine Reihe von Personen arbeitet im Bereich Web-Sicherheit.
Warum also sollten Sie diesen knapp 3500 Wörter langen Artikel über WordPress-Sicherheit lesen, anstatt Ihre Zeit sinnvoller zu investieren?
Weil trotzdem täglich WordPress-Websites gehackt werden. Und das nicht, weil die Kollegen bei Automattic einen schlechten Job machen, sondern wegen fehlender oder falscher Konfigurationen oder weil am falschen Ende gespart wurde.
Der Schaden ist in solchen Fällen gerade für kleinere Betriebe immens und gefährdet oftmals deren Existenz.
Wie Sie diese Fehler vermeiden und dafür sorgen, dass WordPress sicher bleibt, lesen Sie in diesem Artikel.
Das WordPress-Backend absichern
Die größte und offensichtlichste Angriffsfläche von WordPress ist das Backend. Zum einen ist dieser Bereich leicht zugänglich, zum anderen offenbart er eine Vielzahl an Informationen zur WordPress-Version, deren Konfiguration und zu Themes und Plugins. Deshalb sehen wir uns als Erstes an, wie Sie das WordPress-Backend sicherer machen können.
Reduzieren Sie die Anzahl Ihrer Plugins
Die Auswahl an WordPress-Plugins ist riesig und die einfache Installation verleitet dazu, relativ wahllos Plugins zu installieren und auszuprobieren. Dies ist einer der Gründe, weshalb die meisten WordPress-Installationen über mehr Plugins verfügen, als unbedingt notwendig.
Genau das kann allerdings zum Sicherheitsproblem werden. Machen Sie sich bewusst, dass Sie den Quellcode Ihrer Website mit jedem zusätzlichen Plugin etwas erweitern. Damit steigt auch die Chance, dass sich Fehler und Sicherheitslücken einschleichen.
Mit diesen fünf Tipps halten Sie die Anzahl Ihrer WordPress-Plugins gering und stellen deren Qualität sicher:
- Installieren Sie nur Plugins, die Sie wirklich brauchen
- Schauen Sie sich die Anzahl der aktiven Installationen, Bewertungen und den Zeitpunkt des letzten Updates an, bevor Sie ein Plugin installieren
- Versuchen Sie Plugins möglichst durch serverseitige Funktionen zu ersetzen. Das funktioniert zum Beispiel gut für Backups.
- Suchen Sie bevorzugt nach Plugins, die gleich mehrere Funktionen bündeln, anstatt einzelne Plugins zu installieren.
- Halten Sie Ihre installierten Plugins aktuell.
Halten Sie Ihre WordPress-Plugins aktuell und deren Anzahl gering.
Schützen Sie den WordPress-Login
Das größte Einfallstor in WordPress ist und bleibt die Login-Seite. Zum einen ist der Zugang zum WordPress-Backend immer unter derselben URL auffindbar, zum anderen gibt es kein Limit für die falsche Eingabe des Passworts. Damit ist es ein Leichtes, beliebig viele Passwörter durchzuprobieren – oder hierfür einen Bot zu verwenden.
Genauso einfach lässt sich diesem Treiben allerdings auch ein Riegel vorschieben, indem Sie der Login-Seite eine zusätzliche Passwortabfrage vorschalten.
Erstellen Sie dafür eine Datei mit dem Namen .htpasswd. Da die Inhalte der Datei verschlüsselt sind, rufen Sie einen .htpasswd-Generator, wie zum Beispiel hier auf. Geben Sie einen beliebigen Benutzernamen und ein Passwort ein, klicken Sie auf .htpasswd generieren und kopieren das Ergebnis in die soeben erstellte Datei. Speichern Sie diese zum Schluss ab.
Erstellen Sie jetzt eine Datei mit dem Namen .htaccess. Fügen Sie den folgenden Code in die Datei ein, ersetzen Sie den Pfad zu Ihrer .htpasswd-Datei und speichern Sie diese ab:
AuthName „Access Denied“
AuthType Basic
AuthUserFile /ihr/pfad/.htpasswd
require valid-user
Laden Sie die .htpasswd und die .htaccess in Ihr WordPress-Installationsverzeichnis hoch.
Rufen Sie den Login-Bereich Ihrer WordPress-Seite nun erneut auf, erscheint ein zusätzliches Fenster, das Sie nach Benutzername und Passwort fragt.
Schützen Sie den WordPress-Login durch eine zusätzliche, serverseitige Passwort-Abfrage.
Aktualisieren Sie die WordPress-Sicherheitsschlüssel
Vielleicht kennen Sie die kleine, unscheinbare Checkbox mit der Beschriftung Angemeldet bleiben auf der Login-Seite von WordPress.
Sie gibt Ihnen die Möglichkeit, angemeldet zu bleiben, wenn Sie sich einmal eingeloggt haben. Sie müssen Ihren Benutzernamen und Ihr Passwort also nicht nach jedem Schließen des Browserfensters mühsam erneut eingeben. Hierfür speichert WordPress Ihre Anmeldeinformationen in Cookies in Ihrem Browser. Was für Sie als Nutzer sehr praktisch und bequem ist, kann allerdings zum Problem werden. Denn rein theoretisch können diese Cookies von allen Websites ausgelesen werden, die Sie aufrufen.
WordPress verwendet insgesamt acht Sicherheitsschlüssel, um die in den Cookies gespeicherten Informationen zu verschlüsseln und sie so vor Missbrauch zu schützen.
Wenn Sie sich die aktuelle Version von WordPress installieren, werden diese nach dem Zufallsprinzip für Sie generiert. Wenn Ihre Website jedoch älter ist, Sie einige Migrationen hinter sich oder eine Website von jemand anderem gekauft haben, ist es sinnvoll neue WordPress-Schlüssel zu erstellen.
Dazu navigieren Sie mit einem FTP-Programm zu Ihrem WordPress-Installationsverzeichnis. Öffnen Sie die Datei mit dem Namen wp-config.php mit einem Editor und suchen Sie nach den Zeilen, die ungefähr so aussehen:
define(‚AUTH_KEY‘, ‚xxxxxxxxxxxxxxxx‘);
define(‚SECURE_AUTH_KEY‘, ‚xxxxxxxxxxxxxxxx‘);
define(‚LOGGED_IN_KEY‘, ‚xxxxxxxxxxxxxxxx‘);
define(‚NONCE_KEY‘, ‚xxxxxxxxxxxxxxxx‘);
define(‚AUTH_SALT‘, ‚xxxxxxxxxxxxxxxx‘);
define(‚SECURE_AUTH_SALT‘, ‚xxxxxxxxxxxxxxxx‘);
define(‚LOGGED_IN_SALT‘, ‚xxxxxxxxxxxxxxxx‘);
define(‚NONCE_SALT‘, ‚xxxxxxxxxxxxxxxx‘);
Öffnen Sie das offizielle WordPress-Tool zur Generierung von Sicherheitsschlüsseln, kopieren Sie das Ergebnis und ersetzen Sie den kompletten Bereich in Ihrer Datei. Speichern Sie diese schließlich ab
Stellen Sie sicher, dass Ihre WordPress-Installation über Sicherheitsschlüssel verfügt und aktualisieren Sie Ihre Schlüssel nach Migrationen oder wenn Sie eine WordPress-Website von jemand anderem gekauft haben.
Deaktivieren Sie XML-RPC
XML-RPC ist eine Schnittstelle, welche die Kommunikation zwischen WordPress und anderen Systemen ermöglicht. Also zum Beispiel der WordPress-App oder anderen Blogging-Plattformen. Unglücklicherweise eröffnet diese Schnittstelle eine ganze Reihe an Sicherheitslücken und wurde in der Vergangenheit häufig für Angriffe auf Websites verwendet.
Da XML-RPC als Schnittstelle von der REST API abgelöst wurde, können Sie diese ohne schlechtes Gewissen deaktivieren. Natürlich können Sie hierfür eines der zahlreichen verfügbaren Plugins installieren. Ich würde allerdings empfehlen, dieses Problem stattdessen über einige Zeilen Code zu lösen und damit ein weiteres Plugin einzusparen.
Fügen Sie hierfür einfach den folgenden Code in Ihre .htaccess-Datei ein:
Order Allow,Deny
Deny from all
Deaktivieren Sie XML-RPC, indem Sie die Ausführung der Datei xmlrpc.php in Ihrer .htaccess-Datei blockieren.
Deaktivieren Sie die REST-API
Die REST-API wurde mit WordPress Version 4.7 eingeführt und hat die XML-RPC-Schnittstelle abgelöst. Sie bietet zahlreiche Endpunkte, mit denen interne und externe Anwendungen auf Posts, Nutzer, Tags und Einstellungen zugreifen können.
Ersetzen Sie doch mal diese Domain gegen Ihre eigene:
https://www.ihre-domain.de/wp-json/wp/v2/users
Sehen Sie eine Liste Ihrer WordPress-Nutzer?
Dann verfügt Ihre WordPress-Site über eine aktive REST-API. Das Problem dabei ist, dass insbesondere die Information über Nutzer in der Vergangenheit für Angriffe auf WordPress-Sites verwendet wurden.
Im Gegensatz zu XML-RPC sollten Sie die REST-API nicht einfach abschalten. Viele WordPress-Funktionen, darunter zum Beispiel der Gutenberg-Editor und zahlreiche Plugins benötigen diese Schnittstelle. Daher ist es definitiv keine gute Idee, diese komplett abzuschalten. Stattdessen können Sie die REST-API allerdings für den externen Zugang einschränken.
Navigieren Sie hierfür mit einem FTP-Programm zu Ihrem WordPress-Installationsverzeichnis und suchen im Theme-Ordner nach der Datei mit dem Namen functions.php. Öffnen Sie die Datei mit einem Editor und fügen den folgenden Code ein:
add_filter( ‚rest_authentication_errors‘, function( $result ) {
if ( ! empty( $result ) ) {
return $result;
}
if ( ! is_user_logged_in() ) {
return new WP_Error( ‚restx_access_denied‘, ‚Zugriff verweigert‘, array( ’status‘ => 401 ) );
}
return $result;
});
Diese Codezeilen deaktivieren die REST-API für nicht-eingeloggte Nutzer, ermöglichen aber weiterhin die Verwendung durch WordPress-Funktionen oder -Plugins.
Deaktivieren Sie die REST-API für externe Nutzer, indem Sie den Zugriff über die Datei functions.php einschränken.
Verstecken Sie die WordPress-Version und Informationen zu installierten Themes und Plugins
Wieso sollte jemand wissen, welche WordPress-Version, welches Theme und welche Plugins Sie verwenden? Wieso sollte überhaupt jemand wissen, dass Sie WordPress verwenden?
Je weniger andere Personen über Ihre WordPress-Konfiguration wissen, desto besser.
Während sich das Ausblenden der WordPress-Version relativ schnell umsetzen lässt, gestaltet sich das Verbergen von Themes, Plugins oder der Tatsache, dass es sich überhaupt um eine WordPress-Site handelt, ziemlich mühsam. Das dafür nötige, händische Ändern von Pfad- und Dateinamen führt meiner Erfahrung nach immer zu Problemen. Spätestens beim nächsten Update von Themes, Plugins oder WordPress selbst.
Deshalb empfehle ich Ihnen, hierfür lieber das Plugin WP Hide & Security Enhancer zu verwenden.
Der WP Hide & Security Enhancer ist ein kostenloses Plugin, das es Ihnen erlaubt, Ihre WordPress-Dateien, die Login-Seite, den Theme-Ordner, den Plugin-Ordner und andere Informationen und Verzeichnisse zu verstecken. Dabei werden Pfad und Dateinamen nicht tatsächlich verändert, sondern das Plugin arbeitet auf einer rein virtuellen Ebene.
Verstecken Sie wichtige Informationen zu Ihrer WordPress-Konfiguration mit dem Plugin WP Hide & Security Enhancer.
Verwenden Sie verschlüsselte Verbindungen für den Zugriff aufs WordPress-Backend
Arbeiten Sie oder Ihre Mitarbeiter manchmal von Coworking-Spaces und Internetcafés aus?
Eingegebene Passwörter in Login-Formulare lassen sich über unverschlüsselte Verbindungen leicht im Klartext mitlesen. Dazu braucht es keine besonderen Fähigkeiten, sondern lediglich ein einfach zu bedienendes Tool.
Um das zu verhindern, können Sie den WordPress-Login und das Backend einfach per SSL verschlüsseln. Fügen Sie hierfür den folgenden Code in die wp-config.php ein:
define(‚FORCE_SSL_LOGIN‘, true);
define(‚FORCE_SSL_ADMIN‘, true);
Selbstverständlich benötigen Sie dazu ein gültiges SSL-Zertifikat.
Verwenden Sie ein SSL-Zertifikat, um die Verbindung zu Ihrem WordPress-Backend zu verschlüsseln.
Deaktivieren Sie die Dateibearbeitung im WordPress-Backend
Vielleicht sind Sie schon einmal über den Theme-Editor im WordPress-Backend gestolpert, der es Ihnen erlaubt, die Theme-Dateien direkt im WordPress-Backend zu bearbeiten?
Was zunächst nach einer komfortablen Lösung aussieht, ist in der Realität leider ein Problem. Hat sich ein Eindringling Zugang zu Ihrem WordPress-Backend verschafft, kann dieser über den Theme-Editor eigenen Code auf Ihrer Seite ausführen und sich somit weitere Zugriffsrechte verschaffen oder größeren Schaden anrichten.
Fügen Sie daher den folgenden Code in die wp-config.php ein, um den Theme-Editor für alle Benutzer zu deaktivieren:
define(‚DISALLOW_FILE_EDIT‘, true);
Deaktivieren Sie den Theme-Editor im WordPress-Backend und bearbeiten Sie Ihre Theme-Dateien stattdessen, indem Sie diese mit einem FTP-Programm herunterladen.
Halten Sie Themes, Plugins und den WordPress-Core auf dem neuesten Stand
WordPress-Updates sorgen nicht nur für neue Features, sondern beheben häufig auch Sicherheitslücken.
Schau Sie sich beispielsweise mal die folgenden Fälle an:
- WordPress: Sicherheitslücken in millionenfach installiertem Plugin Autoptimize
- Sicherheitsupdates: Admin-Lücke bedroht WordPress-Websites mit Jupiter Theme
- Sicherheitslücken bei WordPress – Jetzt updaten
Was all diese Beispiele gemeinsam haben?
Sie wurden ausnahmslos bereits kurze Zeit nach Bekanntwerden durch entsprechende Updates geschlossen.
Regelmäßige Updates verringern deshalb das Risiko von erfolgreichen Angriffen und tragen damit erheblich dazu bei, WordPress sicher zu machen. Dazu zählen WordPress Core, Plugins und Themes (sowohl aus dem WordPress-Repository als auch Premium-Themes). Einen Überblick über sämtliche verfügbaren Updates finden Sie im Dashboard unter Aktualisierungen.
Halten Sie WordPress sowie Plugins und Themes immer auf dem neuesten Stand.
Webserver und Datenbank absichern
Mit diesen Maßnahmen ist das WordPress-Backend schon ziemlich sicher. Allerdings sind alle Maßnahmen für die WordPress-Sicherheit nutzlos, wenn Ihr Webserver oder Ihre Datenbank gehackt werden. Wie Sie diese absichern, sehen wir uns jetzt an.
Wählen Sie den richtigen Webhoster
Die Sicherheit Ihrer WordPress-Website beginnt mit der Wahl des richtigen Webhosters. Die Verlockung bei der Auswahl des Webhosters einfach den günstigsten Anbieter zu wählen ist groß.
Dass die Sicherheit Ihrer Website bei der Wahl des richtigen Webhosters beginnt, zeigen allerdings die folgenden Fälle:
- Hoster GoDaddy verliert Passwörter und SSL-Keys von 1,2 Mio. Kunden
- Datenleck bei Domainfactory: Hacker knackt Systeme, lässt Kundendaten mitgehen
- Webhoster 1blu gehackt und erpresst
Anbieter, die qualitativ hochwertiges Webhosting anbieten, aktualisieren regelmäßig Betriebssysteme und (Sicherheits-)Software und testen ihre Systeme gründlich auf Schwachstellen und Malware.
Außerdem bauen sie mehrere Schichten aus Sicherheitsmaßnahmen auf Hard- und Softwareebene auf, um die IT-Infrastruktur, in der Ihre WordPress-Sites gehostet werden, vor möglichen Bedrohungen zu schützen.
Das alles kostet natürlich Zeit und Geld und schlägt sich auch im Preis für die Hostingpakete nieder.
Sparen Sie nicht am Webhosting, sondern investieren hier lieber ein paar Euro mehr.
Verwenden Sie einen sicheren FTP-Zugang
Verwenden Sie denselben FTP-Zugang für mehrere WordPress-Projekte?
Natürlich ist das komfortabel. Schließlich müssen Sie nur mit einem Satz Zugangsdaten hantieren.
Allerdings hat das auch Schattenseiten: Wird eine Ihrer Websites gehackt und verschafft sich ein Eindringling hierdurch Zugang auf Ihren Webserver, sind all Ihre Websites und Projekte in Gefahr und das Ausmaß des Schadens ist um ein Vielfaches größer.
Zusätzlich sollten Sie für die Verbindung zu Ihrem FTP-Server nicht den Standard-FTP-Zugang verwenden. Hierbei werden alle Daten – somit auch Passwörter – unverschlüsselt übertragen und können mit Leichtigkeit mitgelesen werden.
Mehr Sicherheit bieten Protokolle wie SFTP oder SSH, die eine verschlüsselte Datenübertragung ermöglichen.
Verwenden Sie jeweils einen FTP-Zugang mit eigenen Zugangsdaten für ein Projekt und nutzen Sie für die Übertragung von Dateien auf Ihren FTP-Server verschlüsselte Protokolle wie SFTP oder SSH.
Ändern Sie den Namen und das Tabellenpräfix Ihrer WordPress-Datenbank
Die Namen Ihrer WordPress-Datenbank und Ihrer Datenbank-Tabellen lassen sich mit den Standardeinstellungen relativ leicht erraten.
Wenn Ihre Website WordPress-Tipps heißt, heißt Ihre Datenbank wahrscheinlich wordpresstipps und Ihre Tabellen wp_posts, wp_users usw.
Diese Standardnamen sind selbst kein akutes Sicherheitsproblem. Allerdings lassen sich andere Sicherheitslücken möglicherweise leichter ausnutzen, wenn ein Angreifer diese Namen bereits kennt. Sie können Hackern erhebliche Steine in den Weg legen, indem Sie nicht diese Standardeinstellungen verwenden.
Zunächst ändern wir hierfür den Namen Ihrer WordPress-Datenbank. Dazu öffnest Sie zuerst PhpMyAdmin. Wählen Sie hier Ihre Datenbank aus dem Menü auf der linken Seite aus.
Geben Sie unter Datenbank umbenennen in den gewünschten Namen für Ihre Datenbank in das Textfeld ein und klicken in der rechten unteren Ecke des Feldes auf OK. Nun müssen Sie die Änderung noch in einem Pop-up akzeptieren.
Anschließend öffnen Sie die wp-config.php in Ihrem WordPress-Installationsverzeichnis und suchen nach der folgenden Zeile:
define(‚DB_NAME‘, ‚xxxxxxxxxxxxxx‚);
Ersetzen Sie hier den alten Namen Ihrer Datenbank gegen den neuen.
Jetzt ändern wir noch das Tabellenpräfix Ihrer Datenbank-Tabellen. Da das etwas komplizierter ist und weil hier erfahrungsgemäß Fehler auftreten können, empfehle ich für die Änderung des Tabellenpräfixes das kostenlose Plugin Brozzme DB Prefix.
Nachdem Sie das Plugin installiert und aktiviert haben, können Sie im WordPress-Backend unter Werkzeuge > DB Prefix das neue Tabellenpräfix eintragen. Beachten Sie, dass die wp-config.php hierfür Schreibrechte und der für Ihre WordPress-Installation verwendete Datenbank-Benutzer Berechtigungen zur Änderung von Tabellennamen benötigen.
Nach der Änderung des Tabellenpräfixes können Sie das Plugin einfach wieder deinstallieren.
Ändern Sie das Tabellenpräfix und den Namen Ihrer WordPress-Datenbank.
Passen Sie Datei- und Ordnerrechte an
Datei und Ordnerrechte definieren, wer auf was auf Ihrem Webserver zugreifen und Dateien und Ordner lesen, schreiben und bearbeiten kann. Auf der einen Seite funktioniert Ihre WordPress-Seite nicht mehr richtig, wenn die Berechtigungen zu streng sind. Auf der anderen Seite sind zu lockere Berechtigungen ein Sicherheitsrisiko.
Am besten halten Sie sich hierbei an die offiziellen Empfehlungen von WordPress:
- Verzeichnisse bekommen grundsätzlich die Rechte 755 oder 750.
- Alle Dateien bekommen die Rechte 644 oder 640.
- Die Dateien wp-config.php und .htaccess bekommen die Rechte 440 oder 444.
- Kein Verzeichnis bekommt die Rechte 777, auch nicht der Uploads-Ordner
Mit diesen Berechtigungen sollte WordPress in den meisten Fällen keine Probleme machen. In Einzelfällen sind bei bestimmten Webhostern andere Berechtigungen notwendig, damit WordPress ordnungsgemäß funktioniert.
Setzen Sie Datei- und Ordnerrechte so, dass Sie Sicherheitsrisiken minimieren, aber die Funktion von WordPress nicht eingeschränkt ist.
Verhindern Sie die Ausführung von PHP-Dateien im Uploads-Ordner
Im letzten Schritt haben wir allen Ordnern die Rechte 755 oder 750 gegeben – auch dem Ordner uploads.
Rein theoretisch können somit zum Beispiel PHP-Dateien in diesen Ordner hochgeladen und dort ausgeführt werden. Deshalb ist dieses Verzeichnis besonders anfällig für Sicherheitsprobleme.
Das Einschränken der Schreibrechte für diesen Ordner ist allerdings keine Option, da dann Aktionen wie das Hochladen von Bildern in die WordPress-Mediathek nicht mehr funktionieren.
Sie können allerdings zumindest die Ausführung bestimmter Dateitypen verhindern.
Erstellen Sie dazu eine Datei mit dem Namen .htaccess und fügen den folgenden Code ein:
Deny from All
Navigieren Sie jetzt mit Ihrem FTP-Programm zum Ordner wp-content > uploads und laden Sie die Datei hoch.
Damit ist zwar weiterhin das Hochladen kritischer Dateien möglich, aber deren Ausführung wird blockiert.
Verhindern Sie die Ausführung von PHP-Dateien im Uploads-Ordner, indem Sie diese über die .htaccess-Datei blockieren.
Verwenden Sie die neueste PHP-Version
Verwendet Ihre Website die aktuellste PHP-Version?
Jede Version von PHP erhält nach ihrer Veröffentlichung in der Regel zwei Jahre lang Updates für Fehler und Sicherheitsprobleme. Verwenden Sie eine veraltete Version, bleiben diese Sicherheitslücken bestehen. Aber nicht nur aus Sicherheitsgründen ist es ratsam, Ihre PHP-Version auf dem neuesten Stand zu halten. Daneben führt eine veraltete PHP-Version nämlich auch häufig zu Kompatibilitätsproblemen mit WordPress-Themes und -Plugins.
Ihre verwendete PHP-Version finden Sie im Normalfall im Backend Ihres Webhosters. Alternativ können Sie auch eine PHP-Datei in Ihrem WordPress-Installationsverzeichnis erstellen und den folgenden Code einfügen:
phpinfo();
?>
Beim Aufruf dieses Scripts werden Ihnen die PHP-Version sowie einige andere Informationen angezeigt.
Vergessen Sie nicht, diese Datei im Anschluss wieder zu löschen.
Einen stets aktuellen Überblick über unterstützte PHP-Versionen finden Sie auf php.net.
Halten Sie Ihre PHP-Version auf dem neuesten Stand.
Allgemeine Sicherheitstipps
All diese Maßnahmen sind nutzlos, wenn es an grundlegenden Dingen mangelt. Deshalb sind hier noch einige grundsätzliche Sicherheitstipps.
Verwenden Sie sichere Passwörter
Sichere Passwörter sind im Jahr 2022 eine Selbstverständlichkeit, sollte man meinen.
Warum habe ich diesen Punkt also trotzdem in meine Liste aufgenommen?
Cybersicherheits-Experten haben 2021 in einer Studie die 200 am häufigsten verwendeten Passwörter ermittelt. In der Liste ist ausführlich aufgeführt, wie oft ein bestimmtes Passwort verwendet wurde und wie lange es dauern würde, es zu knacken. Gegenstand der Untersuchung war eine 4 TB große Datenbank mit Passwörtern aus 50 Ländern.
Und das Ergebnis ist: Das am häufigsten verwendete Passwort ist auch in diesem Jahr 123456.
Das Bundesamt für Sicherheit in der Informationstechnik schlägt drei unterschiedliche Varianten für sichere Passwörter vor. Gehen wir das mal anhand von 123456 durch:
- Passwörter mit 20 bis 25 Zeichen + zwei Zeichenarten: Passwörter sind dann lang und weniger komplex – 123456 verwendet weder zwei Zeichenarten, noch ist es 20 Zeichen lang.
- Passwörter mit 8 bis 12 Zeichen + vier Zeichenarten: Passwörter sind dann kürzer und komplex – 123456 verwendet keine vier Zeichenarten und ist auch keine acht bis zwölf Zeichen lang.
- Passwörter mit 8 Zeichen + drei Zeichenarten + Mehr-Faktor-Authentifizierung (z. B. Fingerabdruck, Bestätigung per App oder PIN) – Selbst wenn Sie zusätzliche Sicherheitsmaßnahmen wie die Zwei-Faktor-Authentifizierung verwenden, reicht 123456 nicht aus. Es enthält weder 8 Zeichen, noch 3 Zeichenarten.
Sich diese langen und komplexen Kombinationen aus Buchstaben, Zahlen und Sonderzeichen zu merken, ist in der Realität für die meisten Menschen natürlich ein Problem.
Hierfür gibt es zwei unterschiedliche Lösungsansätze:
- Nutzen Sie einen Passwort-Manager: Ein Passwort-Manager speichert Ihre Passwörter in einer verschlüsselten Datenbank und erlaubt Ihnen den Zugriff über ein Masterpasswort. Ich empfehle dir hierfür KeePass.
- Bauen Sie sich Eselsbrücken: Überlege Sie sich Sätze, die Sie sich leicht merken können und verwende Sie die zusammengesetzten Anfangsbuchstaben jeweils als Passwort. Zum Beispiel: Ich trinke jeden Tag 3 Kaffee mit Milch und ohne Zucker. Ihr Passwort würde entsprechend ItjT3KmMuoZ lauten.
Verwenden Sie lange und weniger komplexe Passwörter oder kurze, komplexe Passwörter und verwalte Sie diese in einem Passwort-Manager wie KeePass oder baue Sie sich Eselsbrücken, um sich Passwörter zu merken.
Legen Sie regelmäßig und automatisch Backups an
Früher oder später passiert es jedem: WordPress wird gehackt oder ein Update geht schief und plötzlich findet man statt der eigenen Website nur noch eine weiße Seite vor.
Es gibt natürlich wie immer mehrere Möglichkeiten, um Backups Ihrer WordPress-Site anzulegen.
Die erste sind Backup-Plugins für WordPress. Diese ermöglichen es Ihnen, Backups zu erstellen und auf Ihrem FTP-Server oder in Ihrer Cloud (z. B. Google Drive oder Dropbox) abzulegen.
Hier sind einige Beispiele für Backup-Plugins:
In der Zwischenzeit bieten allerdings auch die meisten guten Webhoster Backups an. Wenn Ihr Webhoster von sich aus Backups unterstützt, empfehle ich, diesen Service in Anspruch zu nehmen, anstatt eines der oben genannten Plugins zu installieren.
Zum einen sparen Sie sich damit ein zusätzliches Plugin zum anderen benötigt das Anlegen von Backups viele Ressourcen und wirkt sich damit negativ auf die Performance Ihrer WordPress-Site aus.
Bei beiden vorgestellten Methoden ist es wichtig, dass Sie Backups automatisch anlegen. Erfahrungsgemäß treten Datenverluste nämlich immer genau dann auf, wenn Sie einmal vergessen haben, ein Backup anzulegen.
Verwenden Sie serverseitige Backup-Lösungen Ihres Webhosters oder alternativ Backup-Plugins für WordPress, um in regelmäßigen Abständen automatische Backups Ihrer Website anzulegen.
Fazit
Zusammengefasst sichern wir zuerst das WordPress-Backend gegen mögliche Bedrohungen ab. Dann erhöhen wir die Sicherheit von Datenbank und Webserver mit ein paar einfachen Maßnahmen. Dabei halten wir uns an allgemeine Sicherheitsstandards, wie sichere Passwörter und regelmäßige Backups.
Aber was ist mit Sicherheits-Plugins für WordPress, von denen es ja einige gibt? Zum Beispiel:
Grundsätzlich können diese Plugins die Sicherheit Ihrer Website etwas erhöhen. Sie sollten allerdings maximal als eine Ergänzung zu all den vorgestellten Maßnahmen und weniger als All-in-one-Lösung verstanden werden.
Konnten Sie einen Haken hinter all diese Tipps machen? Dann sind Sie auf einem sehr guten Weg. Zum Schluss sei allerdings gesagt, dass das Thema Sicherheit keines ist, dass man einfach von seiner ToDo-Liste streicht und für immer vergisst. Stattdessen sollten Sie bei der Installation von jedem neuen Plugin, jedem WordPress-Update und jeder größeren Änderung an Ihrer Website hinterfragen, welche Auswirkungen diese auf die Sicherheit von WordPress haben.
