Bildnachweis: pixabay von Pexels

26.05.2021 09:27
Benjamin Intfeld

WordPress? Aber sicher!

Wie Sie Ihr WordPress gegen Hacker absichern

3 kurze Tipps zur Absicherung Ihrer WordPress-Instanz

Weltweit sind bereits über 30% aller erreichbaren Webseiten mit WordPress gebaut. Kaum jemand kommt um die Nutzung des bequemen Blog-Systems herum. Neben Blogs kann WordPress natürlich durch Plugins auch für viele andere Zwecke genutzt werden, z.B. mit WooCommerce als einfach einzurichtenden Online-Shop.

Doch auch gerade wegen des großen Erfolgs der Software, haben es viele Angreifer auf WordPress-Installationen abgesehen. Wir geben Ihnen hier drei kurze Tipps mit auf den Weg, um Ihre eigene WordPress-Webseite sicherer zu gestalten.

Tipp 1: Sichere Zugangsdaten ganz einfach festlegen

Eine der häufigsten Ursachen ist das sogenannte Brute-Forcing der Anmelde-Daten. Dabei nutzen Angreifer riesige Listen mit den am häufigsten benutzten Anmeldenamen und Passwörtern und probieren alle möglichen Kombinationen aus. Der Benutzername admin ist in jeder gutbestückten Liste vorhanden, daher wählen Sie bei der Installation am besten einen Namen, der möglichst individuell ist.

Auch ein sicheres Passwort ist von enormer Bedeutung. Wir empfehlen folgende Mindestvoraussetzungen:

  • mindestens 16 Zeichen
  • Mischung aus Groß- und Kleinbuchstaben, Ziffern und Sonderzeichen
  • möglichst keine realen Wörter oder Namen

Tipp 2: Augen auf bei der Plugin-/Theme-Wahl!

Nicht nur die Wahl sicherer Zugangsdaten, sondern auch die Wahl der Plugins und Themes (nachfolgend zu Plugins zusammengefasst) sollte gut überlegt sein. Nicht selten nutzen Angreifer bekannte Schwachstellen in Plugins aus. Vor jeder Installation sollte man sich daher das gewünschte Plugin sorgfältig anschauen, z.B. über die WP-Admin-Oberfläche oder direkt über die Offizielle Webseite von WordPress.

Natürlich kann es auch hier keine 100%ige Sicherheit geben, aber die Beachtung einzelner Faktoren kann das Risiko auf ein Minimum reduzieren. Im Idealfall erfüllen die Plugins dabei folgende Kriterien:

  • Zuletzt aktualisiert / Getestet bis: Innerhalb der letzten sechs (noch besser: drei) Monate und getestet für die aktuellsten zwei Versionen. Kürzere Zeiten seit dem letzten Update können ein guter Indikator dafür sein, dass das Plugin regelmäßig gewartet und aktiv weiterentwickelt wird.
  • Aktive Installationen: Bei aktiven Installationen ab dem fünf- bis sechsstelligen Bereich kann man von einem weit verbreiteten Plugin sprechen. Bei diesen Plugins ist die Chance höher, dass Sicherheitslücken schneller gefunden und behoben werden.
  • Bewertungen: Die Bewertungen sind wie bei vielen anderen Produkten auch ein guter Hinweis, wie sicher ein Plugin ist. Unsichere Plugins erhalten wesentlich häufiger negative Bewertungen, oft auch mit einem Kommentar, der die Sicherheit bemängelt.

Tipp 3: Updates, Updates, Updates!

Das Updaten der WordPress-Installation an sich und der einzelnen Themes und Plugins ist ein essenzieller Bestandteil der Wartungsaufgaben jedes WordPress-Betreibers. Nicht nur erhalten Sie durch die Updates neue Funktionen und Verbesserungen: Die Updates beinhalten auch regelmäßig Bugfixes und Patches für bekannt gewordene Sicherheitslücken.

Alle Updates für WordPress an sich, aber auch für die Plugins und Themes sollten daher so schnell wie möglich durchgeführt werden.

Bonus: zusätzliche Empfehlungen

Wir empfehlen zudem:

  • das regelmäßige Anfertigen von Backups
  • den Einsatz eines Sicherheitsplugins, z.B. WordFence
  • das Deaktivieren der XML-RPC-Schnittstelle, sofern von keinem Plugin benötigt
WordPress Sicherheit