WordPress ist eines der beliebtesten Content-Management-Systeme. Das macht die Software für Angreifer leider sehr interessant. Heute zeigen wir dir, wie du dein WordPress sicher(er) machen kannst. Damit kannst du direkt durchstarten.
Inhaltsverzeichnis
Aktualität
Regelmäßig werden neue Sicherheitslücken in der Software-WordPress aufgedeckt. Umso wichtiger ist es für dich, dass du die Software immer auf dem neuesten Stand hältst. Das betrifft sowohl WordPress selbst, aber auch sämtliche Plugins und Themes. Sollten neue Updates für dein System zur Verfügung stehen, wird dir das im Backend angezeigt.
Zusätzlich kannst du auch das Plugin WordPress Updates Notifier installieren, welches dich per E-Mail über Updates des Systems, Plugins und Themes informiert. Dies macht insbesondere Sinn, wenn du dich nicht täglich in dein WordPress einloggst und so über Neuerungen informiert wirst.
Vergiss dabei nie, dass du vor dem Einspielen eines Updates ein Backup anfertigst. Es kann passieren, dass sich die neusten Versionen nicht mit deinem Theme verstehen.
Passwörter und Zugänge
Wie bei allen Passwörtern solltest du auch bei deiner WordPress-Installation bestimmte Regeln beachten:
- Dein Passwort sollte immer mindestens 8 oder mehr Zeichen lang sein.
- Dein Passwort sollte mindestens 3 verschiedene Zeichengruppen haben (z.B. Klein- und Großschreibung, Zahlen und Sonderzeichen).
- Dein Passwort sollte keine Wörter enthalten, die einem Wörterbuch entnehmbar sind.
Weitere Tipps für sichere Passwörter findest du hier. Des Weiteren ist es wichtig, dass du für eine WordPress-Installation nicht den Benutzernamen „Admin“ verwendest. Viele Angriffe sind auf diesen Benutzernamen zugeschnitten und du machst dich damit angreifbarer.
Admin-Bereich sichern
Ein einfaches, aber sicheres Mittel ist es dein Admin-Verzeichnis (wp-admin) mit einem Verzeichnisschutz (.htaccess) zu sichern. Das kannst du zum Beispiel über das Plugin Limit Lockin Attempts durchführen. Sobald es fehlgeschlagene Anmeldungen für dein WordPress gibt, wird die IP gesperrt. Dabei kannst du die Werte selbst konfigurieren.
Themes & Plugins
Du solltest immer nur die Plugins installieren, die du wirklich benötigst. Alles was du nicht brauchst, solltest du deaktivieren. Bevor du ein Plugin oder Theme installierst, solltest du dich über dieses informieren. Auf den offiziellen Seiten von WordPress findest du viele Informationen, wie beispielweise Beurteilungen von anderen Nutzern oder über die Updates-Häufigkeit der Plugins und Themes. Oft lohnt es sich auch ein paar Euro in ein Premium-Theme zu investieren. Diese Themes werden häufiger aktualisiert und es wird auf die Sicherheit geachtet.
Du kannst dein Theme auch auf Sicherheitslücken testen. Dafür gibt es verschiedene Plugins:
- Theme Authenticity Checker (TAC) prüft das Theme auf Schadcode.
- Theme-Check prüft das Theme auf die aktuellen WordPress Theme-Richtlinien und Standards. Das eignet sich darüber hinaus auch für die Theme-Entwicklung.
- AntiVirus prüft WordPress täglich auf Schadcode (mit deutscher Dokumentation).
Anti-Spam
Wenn auf einem Hosting-Blog in den Kommentaren eines Artikels plötzlich für Medikamente geworben wird, kannst du dir sicher sein, dass es sich um einen Spam-Kommentar handelt. Um diesen Spam zu vermeiden kannst du beispielsweise Kommentare nur auf Freigabe oder nur von registrierten Benutzern zulassen.
Du kannst Spam auch unterbinden, indem du ein Captcha integrierst. Hierbei solltest du jedoch immer ein hochwertiges Captcha nutzen, damit dieses nicht von Automatismen geknackt werden kann. Es gibt auch Plugins, welche automatisiert Spam-Inhalte erkennen und blockieren. Ein bekanntes Programm ist Antispam Bee.
Allround Security Plugins
Wir haben dir nun verschiedene Plugins vorgestellt, welche einzelne Bereiche abdecken. Es gibt jedoch auch Plugins, welche alles vereinen. Bekannte Allround-Plugins sind Better WP Security oder BulletProof Security. Die Plugins bieten sehr viele Features, um dein WordPress sicher zu gestalten. Better WP Security ist sogar auf in deutscher Sprache nutzbar.
Was sonst wichtig ist…
Grundsätzlich lässt sich sagen, dass du natürlich nicht alle Punkte umsetzen musst. Wichtig ist es insbesondere dein WordPress-System immer aktuell zu halten und bei der Auswahl der Plugins und Themes sorgfältig zu sein. Zudem solltest du deinen Admin-Bereich absichern und sichere Passwörter sollten für dich selbstverständlich sein.
Wer eine größere WordPress-Seite hat oder tiefer in die Materie einsteigen will, sollte sich auch mit Allround-Plugins wie WP Security näher auseinandersetzen.
Außerdem ist die Sicherheit deines lokalen PC’s wichtig: Das Betriebssystem und die weitere Software müssen aktuell gehalten werden. Die Nutzung einer Antiviren-Software kann ebenfalls nicht schaden. Die WordPress-Sicherheit nützt leider nichts, wenn dein heimischer PC per Trojaner das FTP-Passwort ausliest. Wir hoffen, dass dein WordPress System nie geknackt wird und wünschen dir viele Besucher auf deiner Seite.