WordPress Sicherheit – So schützt du deine Website
Beim Thema „Sicherheit“ denkst du vielleicht als erstes an Passwörter. Und ja, sichere Passwörter sind ein großes Thema.
Davon abgesehen, kannst du aber noch ein paar andere wichtige Entscheidungen für die Sicherheit deiner Website treffen. Denn Angriffe werden kommen, aber dann sollten es deine Angreifer so schwer wir möglich haben.
Durch ein paar einfache Handgriffe kannst du die Sicherheit deiner Website deutlich erhöhen. Und keine Angst, für die meisten dieser Handgriffe brauchst du kein Technikprofi sein.
Entscheide dich für eine sichere Nachbarschaft
Deine Website braucht Platz im Internet und dafür benötigst du einen Provider, der dir diesen Platz zur Verfügung stellt.
Mach diese Entscheidung nicht allein vom Preis abhängig. Schau und hör dich um, bevor du dich entscheidest und frag ruhig auch mal beim Kundendienst nach, was die einzelnen Anbieter für die Sicherheit deiner Website tun. So bekommst du auch gleich einen ersten Eindruck vom Kundenservice. 🙂
In der WordPress Community wird immer gern der deutsche Anbieter all-inkl.com* empfohlen, mit dem ich auch selbst sehr gute Erfahrungen habe. *Affiliate-Link
Arbeite mit Qualitätssoftware
WordPress hat der Sicherheitsexperte Aaron Campbell, in seinem Vortrag am WordCamp 2016, als gute Basis bezeichnet.
Allerdings besteht keine Website ausschließlich aus WordPress. Wie du weißt kommen hier zusätzlich ein Theme und noch ein paar Plugins ins Spiel. Auch dabei solltest du auf Qualität achten.
So erkennst du gute Plugins
Kontrolliere unbedingt vor jeder Installation die Bewertung deines gewünschten Plugins und auch die Anzahl der Bewertungen. Eine einzige 5-Sterne Bewertung hat kaum Aussagekraft.
Ein weiterer wichtiger Hinweis auf die Qualität eines Plugins, ist das Datum der letzten Aktualisierung. Liegt die letzte Überarbeitung mehr als 2 Jahre zurück, wäre ich eher vorsichtig.
In meinem Artikel „Die besten WordPress Plugins“ erfährst du im Detail, worauf du bei der Auswahl geeigneter Plugins achten solltest. Außerdem stelle ich dir meine Plugin Favoriten vor.
Denk auch an die Software auf deinem PC
Oft wird in diesem Zusammenhang die Software auf deinem PC vergessen, die vielleicht nicht direkt mit WordPress zu tun hat. Aber Sicherheit ist ein allumfassendes Thema und du solltest darauf achten auch deinen PC oder Laptop zu schützen und nur Qualitätssoftware zu installieren.
Wähle ein sicheres Passwort
WordPress unterstützt dich und generiert für jeden User eine kryptische Buchstaben-Zahlen-Kolonne als Passwort. Aber was genau macht ein sicheres Passwort aus?
Ein sicheres Passwort sollte möglichst lang, zufällig und einzigartig sein. Zufällig steht für eine wilde Mischung aus Buchstaben in Groß- und Kleinschreibung, Zahlen und Sonderzeichen. Das bekommt man mein ein paar Merkhilfen ja vielleicht noch hin.
Einzigartig, hingegen bedeutet für jeden Login ein anderes Passwort zu verwenden und das finde ich wirklich schwierig. Aber auch dafür gibt es eine Lösung.
Verwende einen Passwort-Manager
Passwort-Manager sind Programme, die sich die Zugangsdaten all deiner Anwendungen merken und dich bei der Anmeldung unterstützen. Du brauchst dir dabei nur noch ein einziges Passwort zu merken oder kannst auf Wunsch sogar deinen Fingerabdruck zum Entsperren verwenden.
Ich selbst nutze den Passwort-Manager von Bitwarden und möchte ihn nicht mehr missen.
Gib deinem Admin-User einen neuen Namen
Auch wenn sichere Passwörter eine größere Rolle spielen, solltest du auch auf deinen Usernamen achten. Lange Zeit hatte der Standarduser, bei jeder neuen WordPress Installation den Namen „admin“.
Dieser Username wird daher besonders häufig angegriffen und in Kombination mit verschiedenen Passwörtern für Attacken verwendet, um in dein WordPress Backend einzudringen.
Hast du noch einen „admin“?
Dann leg am besten gleich einen neuen User mit Administrator-Rechten (und einem anderen Namen als „admin“ 😉) im Menüpunkt „Benutzer“ an und lösche den bestehenden User.
Ändere den Tabellen Präfix
WordPress speichert deine Inhalte in einer Datenbank. Und auch hier gibt es eine Standard-Einstellung, die du einfach anpassen kannst, den Tabellen Präfix.
Der Tabellen Präfix ist immer mit „wp_“ vorgegeben. Diesen Wert kannst du einfach ändern zum Beispiel auf „wp_yisc16weu_“ oder jeden anderen Wert, um die Sicherheit deiner Website zu erhöhen.
Am einfachsten ist es, diese Einstellung gleich bei der Installation von WordPress zu ändern.
Du kannst deinen Tabellen Präfix natürlich auch nachträglich ändern, das ist allerdings ein wenig tricky. Eine Anleitung dazu findest du auf pressengers.de.
Dateirechte, nicht nur für Profis
Ok, jetzt wird es doch noch „technisch“, denn dieses Thema richtet sich eigentlich an ambitionierte WordPress Administratoren, die sich aktiv um ihre Installation kümmern.
Trotzdem ist es mir wichtig, dir in meinen Artikel einen möglichst umfassenden Einblick in das jeweilige Thema zu geben und Dateirechte spielen für die Sicherheit deiner Website einfach eine große Rolle.
Da es dabei aber wirklich in die Tiefe geht, möchte ich dir direkt zwei wunderbare und leicht verständliche Artikel von Ernesto Ruge empfehlen:
Updates, Updates, Updates
Updates liefern neue Funktionen, beheben Fehler und schließen vor allem auch bekannte Sicherheitslücken.
WordPress, dein Theme und deine Plugins aktuell zu halten, trägt damit wesentlich zur Sicherheit deiner Website bei. In der Kopfzeile deiner WordPress Installation findest du einen Hinweis, sobald Updates zur Verfügung stehen.
Diese Updates solltest du möglichst zeitnah einspielen. Denk aber bitte daran, vor jeder Aktualisierung ein Backup deiner Website anzulegen.
Sicherheit per Plugin?
Natürlich gibt es auch Plugins, die für die Sicherheit deiner WordPress Installation sorgen. Allerdings sind auch hier in der Vergangenheit schon Sicherheitslücken aufgetreten.
Hochwirksam, performant und DSGVO-konform ist allerdings die Ninja-Firewall, für die Daniel Ruf dankenswerterweise eine Anleitung zur Einrichtung und Konfiguration geschrieben hat.
Das waren jetzt eine Menge Punkte, auf die du achten kannst, damit deine Website gegen Angriffe von außen gut geschützt ist. Und ich bin mir sicher, dass du einen Teil davon bereits umgesetzt hast.
Am Ende diese Artikels angekommen, hast du auf jeden Fall den allerwichtigsten Schritt bereits geschafft. Du hast dich mit der Thematik auseinandergesetzt und weißt, wie du die Sicherheit deiner Website weiter erhöhen kannst.
Nimm dir jetzt einen der Punkte vor, die du umsetzen möchtest und schreib mir dazu einen Kommentar, das motiviert dich zusätzlich!
Lies weiter:
Hallo Daniela.
Einen schönen Blog hast Du 🙂
Ich kann noch empfehlen einen htaccess Schutz für den Admin Bereich zu erstellen und als Alternative zu Deinem gewählten Passwortmanager empfehle ich LastPass, den ich selbst nutze.
Liebe Grüße
Carsten
Danke, Carsten. 🙂
Hi! Danke für diesen hilfreichen und umfassenden Artikel! Ich hab noch eine Menge interessanter Infos hier auf deiner Webseite gefunden 🙂 Lektur fürs gesamte Wochenende! Vielen Dank für deine gute Arbeit!
Das freut nicht sehr, liebe Silvia 🙂 Herzlichen Dank für deine Rückmeldung!
Die pdf-Anleitung für die NinjaFirewall ist nun inklusive Konfiguration unter https://magos-securitas.com/downloads/ zu finden.
Ich habe diese einerseits aus Datenschutz-Gründen, andererseits aus weiteren Gründen (unter anderem bin ich nicht mehr auf GitHub aktiv) auf meine neue Webseite umgezogen.
Vielen Dank, Daniel, sehr aufmerksam 👍 ich werde das im Beitrag nachziehen.
Alles Liebe,
Daniela