6 WordPress Sicherheits-Tipps

IT-Habich Logo auf einem Vorhängeschloss.

Sicherheitsmaßnahmen, die bei keiner WordPress Website fehlen dürfen

  1. Verwende ein sicheres Passwort
  2. Halte deine WordPress-Installation und alle Plugins und Themes auf dem neuesten Stand
  3. Verwende die Zwei-Faktor-Authentifizierung
  4. Schütze deine Website, indem du eine WAF (Web-Application-Firewall) einrichtest
  5. Führe regelmäßig Sicherheitsüberprüfungen durch
  6. Nutze SSL/TLS Verschlüsselung
    Fazit

1. Verwende ein sicheres Passwort

Ein sicheres Passwort ist ein Passwort, das schwer zu erraten ist. Ein sicheres Passwort sollte:

  • Lang genug sein (mindestens 12, besser 16 Zeichen)
  • Sowohl Groß- als auch Kleinbuchstaben enthalten
  • Sowohl Zahlen als auch Symbole enthalten
  • Keine Wörter aus dem Wörterbuch enthalten
  • Keine leicht zu erratenden Daten enthalten (z. B. Geburtsdatum, Haustier, etc…)

Verwende für jeden Account und jede Plattform – unabhängig von WordPress – ein individuelles Passwort. Ggf. solltest Du dir einen Passwort-Manager zulegen. Dieser erleichtert dir die Verwaltung mehrerer, komplexer Passwörter enorm.

2. Halte deine WordPress-Installation und alle Plugins und Themes auf dem neuesten Stand

Es ist wichtig, dass Du deine WordPress-Installation, alle Plugins und Themes auf dem neuesten Stand hältst, um sicherzustellen, dass keine bekannten Sicherheitslücken vorhanden sind. Eine Sicherheitslücke ist eine Schwachstelle in einer Software, die von Angreifern ausgenutzt werden kann, um Zugriff auf deine Website und das darunter liegende System zu erlangen.

Wenn Du deine WordPress-Installation und alle Plugins und Themes auf dem neuesten Stand hältst, werden mögliche Sicherheitslücken automatisch geschlossen, sobald sie gefunden werden. Dies minimiert das Risiko, dass deine Website gehackt wird.

Um sicherzustellen, dass deine WordPress-Installation, alle Plugins und Themes auf dem neuesten Stand sind, kannst Du die folgenden Schritte ausführen:

  1. Gehe in deinem WordPress-Dashboard zu „Aktualisierungen“. Installiere alle verfügbaren Updates für deine Plugins.
  2. Installiere alle verfügbaren Updates für dein aktives Theme und alle installierten Themes.
  3. Installiere die aktuelle WordPress-Core Version, indem Du auf „Auf Version X.X.X-yy-YY aktualisieren“ klickst. (Wobei X.X.X für die Versionsnummer und yy-YY für die verwendete Sprachversion steht. Bsp.: 6.1.1-de_DE).

Neben den regelmäßigen Backups, die Du hoffentlich bereits anlegst, gilt: Lege unbedingt auch kurz vor der Aktualisierung jeglicher Komponenten unbedingt ein Backup Deiner Website an. Jedes Update birgt das Risiko, dass danach Deine Website nicht mehr wie gewünscht funktioniert oder es zu Datenverlust kommen kann. Nur mit einem Backup hast Du dann noch die Möglichkeit den Stand vor dem Update wiederherzustellen. Falls Du noch keine Backup-Lösung für Offsite-Backups hast, ist mein WordPress-Wartungsservice vielleicht genau das richtige für dich.

3. Verwende die Zwei-Faktor-Authentifizierung

Die Zwei-Faktor-Authentifizierung (kurz „2FA“) ist eine Sicherheitsmaßnahme, die das Risiko von unbefugtem Zugriff auf Benutzerkonten reduzieren kann und somit Deine Benutzerkonten sicherer macht. Sie funktioniert, indem sie den Benutzer dazu verpflichtet, zusätzlich zu seinem Passwort auch eine weitere Bestätigung zu liefern, um sich anzumelden.

Es gibt verschiedene Arten von Zwei-Faktor-Authentifizierung, die verwendet werden können, einschließlich:

  • SMS-Bestätigung: Der Benutzer erhält eine SMS-Nachricht mit einem Bestätigungscode, den er eingeben muss, um sich anzumelden.
  • eMail-Bestätigung: Der Benutzer erhält eine eMail mit einem Bestätigungscode oder einem „Magic“ Link um sich anzumelden.
  • Authentifizierungs-App (TOTP): Der Benutzer verwendet eine Authentifizierungs-App auf seinem Smartphone, um einen Bestätigungscode zu generieren, den er eingeben muss, um sich anzumelden.
  • Sicherheitsschlüssel (HOTP): Der Benutzer verwendet einen physischen Sicherheitsschlüssel, der an seinen Computer angeschlossen wird, um sich anzumelden.

Die Zwei-Faktor-Authentifizierung kann das Risiko von unbefugtem Zugriff auf Benutzerkonten reduzieren, da sie verhindert, dass jemand sich mit nur einem gestohlenen Passwort anmelden kann. Wenn Du die Zwei-Faktor-Authentifizierung auf Deiner Website aktivierst, solltest Du sicherstellen, dass alle Benutzer sie aktivieren, da sie sonst möglicherweise Schwierigkeiten haben, sich anzumelden.

Ich empfehle für WordPress das Plugin „WP 2FA – Two-factor authentication for WordPress“ zur Einrichtung von 2FA via Authentifzierungs-App. Du benötigst dazu eine App auf deinem Smartphone, welche das TOTP-Verfahren unterstützt.

4. Schütze deine Website, indem Du eine WAF (Web-Application-Firewall) einrichtest

Eine Web-Application-Firewall (WAF) ist eine Art von Firewall, die speziell für den Schutz von Webanwendungen entwickelt wurde. Sie überwacht den Netzwerkverkehr zu und von Deiner Website und blockiert unerwünschte Verbindungen, die möglicherweise von Angreifern verwendet werden.

Es gibt verschiedene Möglichkeiten, wie eine WAF Deine Website schützt:

  1. Verhindern von unerlaubten Anmeldeversuchen: Eine WAF kann die Anzahl der erlaubten Anmeldeversuche pro Benutzer oder IP-Adresse begrenzen, um Brute-Force-Attacken zu verhindern.
  2. Erkennen von Angriffen durch vordefinierte Regeln: Eine WAF kann ungewöhnlichen Datenverkehr auf deiner Website erkennen und blockieren, wenn es sich um bekannte Angriffsmuster handelt.
  3. Verhindern von Angriffen auf Formulare: Eine WAF kann Angriffe auf Formulare verhindern, indem sie bekannte Angriffsmuster erkennt und vor der Auslieferung an WordPress (bzw. die Webanwendung) blockiert.

Eine WAF kann ein wirksames Mittel sein, um deine Website vor Brute-Force-Attacken und anderen Bedrohungen zu schützen. Es ist jedoch wichtig zu beachten, dass sie nicht vollständig verhindern kann, dass deine Website gehackt wird, und sie sollte daher in Kombination mit anderen Sicherheitsmaßnahmen verwendet werden. Eine WAF dient als zusätzlicher und nicht als absoluter Schutz.

Es gibt verschiedene Möglichkeiten eine WAF zu implementieren. Die bekanntesten sind Hardware-WAF (dedizierte Hardware im Rechenzentrum, welche vor dem eigentlichen Webserver eingesetzt wird) und Software-WAF (auf Webserver-Ebene, zum Beispiel „modsecurity“ für den Webserver apache2).

Eine weniger bekannte, jedoch ebenfalls sehr effektive Möglichkeit ist der Betrieb einer Software-WAF auf Applikation- und/oder PHP-Ebene. Dies erlaubt die Nutzung einer WAF auch in shared-Hosting- und eingeschränkten Hosting-Paketen. 

Eine WAF für WordPress ist „NinjaFirewall“. „NinjaFirewall (WP Edition)“ ist eine leistungsstarke und in WordPress integrierte WAF, die speziell für WordPress-Websites entwickelt wurde. Sie bietet zahlreiche Sicherheitsfunktionen, inklusive der oben angesprochenen Punkte.

Um NinjaFirewall auf deiner WordPress-Website zu verwenden, musst Du das Plugin in WordPress installieren und konfigurieren. 

WICHTIG: Die Sicherheit deiner Website hängt von der richtigen Konfiguration der WAF ab. Falsch konfiguriert, kann eine WAF auch gegenteilige Auswirkungen haben und Deine Website angreifbar machen. Beachte auch, dass das Log der WAF DSGVO-konform konfiguriert werden muss, da personenbezogne Daten gespeichert und verarbeitet werden (u.a. IP-Adresse, User-Agent). Falls noch nicht vorhanden, müssen diese Informationen in Deiner Datenschutzerklärung aufgenommen werden.

Anschließend arbeitet NinaFirewall auf Applikation-Ebene. Zusätzlich lässt sich NinjaFirewall im „Full-WAF“ Modus betreiben. Dieser ermöglicht einen umfassenderen Schutz, benötigt jedoch einen Eingriff in die Konfiguration des Webserver.

In der Regel ist der Full-WAF-Modus von NinjaFirewall die beste Wahl, wenn Du den maximalen Schutz für deine WordPress-Website wünschst. Wenn Du jedoch keine Möglichkeit hast Deinen Webserver passend zu konfigurieren, bietet der WAF-Modus zumindest einen Basis-Schutz und sollte dem Verzicht auf eine WAF vorgezogen werden.

Es gibt außerdem neben der hier angesprochenen, kostenlosen Version von NinjaFirewall auch eine bezahlte Version mit erweiterten Funktionen. Die kostenlose Version ist meiner Meinung nach für den durchschnittlichen Schutzbedarf einer WordPress Website jedoch vollkommen ausreichend.

Wenn Du nach einer WAF suchst, um Deine WordPress-Website zu schützen, ist NinjaFirewall meine Empfehlung. Wenn Du Fragen zu den beiden Modi von NinjaFirewall oder zum Schutz deiner WordPress-Website hast, zögere nicht, mich zu kontaktieren. Ich stehe gerne zur Verfügung, um dir zu helfen.

5. Führe regelmäßig Sicherheitsüberprüfungen durch

Regelmäßige Sicherheitsüberprüfungen sind ein wichtiger Bestandteil des Schutzes deiner WordPress-Website. Sie ermöglichen es Dir, Schwachstellen in Deiner Website zu identifizieren und zu beheben, bevor sie von Angreifern ausgenutzt werden.

Es gibt verschiedene Möglichkeiten, wie Du regelmäßige Sicherheitsüberprüfungen durchführen kannst:

  1. Nutze Sicherheits-Plugins: Es gibt viele Sicherheits-Plugins für WordPress, die regelmäßig Sicherheitsüberprüfungen durchführen. NinjaFirewall hat Beispielsweise einen FileScanner inkludiert. Dies kann Dir helfen verdächtige Dateien zu identifizieren.
  2. Überprüfe die Berechtigungen für Benutzerkonten: Stelle sicher, dass jedes Benutzerkonto nur die Berechtigungen hat, die es tatsächlich benötigt. Unnötige Berechtigungen können Sicherheitslücken eröffnen und nicht benötigte Benutzerkonten solltest du entfernen.
  3. Beherzige die vorgenannten Tipps, wie zum Beispiel regelmäßige Updates und Backups, um deine Website auf dem aktuellen Stand zu halten und bei Problemen kurzfristig agieren zu können.

Es gibt auch bestimmte Zeiten, zu denen Du besonders vorsichtig sein solltest, wie z.B. beim Hinzufügen von Plugins oder nach einem Umzug auf einen neuen Server. In solchen Fällen empfehle ich, besonders gründliche Sicherheitsüberprüfungen durchzuführen, um sicherzustellen, dass keine Schwachstellen vorhanden sind.

Wenn Du Schwierigkeiten hast, regelmäßige Sicherheitsüberprüfungen durchzuführen, gibt es viele Ressourcen, die dir helfen können und auch Experten die mit Ihrem Wissen dabei unterstützen deine Website sicher zu halten und regelmäßige Updates und Backups anbieten.

6. Nutze TLS/SSL Verschlüsselung

Dies sollte mittlerweile Standard sein – jedoch sehe ich immer wieder Websites bei denen keine verschlüsselte Verbindung angeboten wird. Dies ist jedoch spätestens seit Einführung der Datenschutz-Grundverordnung (DSGVO) quasi verpflichtend notwendig.

TLS (Transport Layer Security) und SSL (Secure Sockets Layer) sind Protokolle zur Verschlüsselung von Netzwerkverbindungen. Sie werden verwendet, um die Übertragung von Daten zwischen zwei Geräten zu verschlüsseln, um sicherzustellen, dass sie von niemandem abgefangen oder manipuliert werden können.

Die Nutzung von TLS/SSL-Verschlüsselung ist insbesondere wichtig, wenn Du sensible Daten, wie z.B. Benutzernamen, Passwörter oder persönliche Daten (z.B. Name, Zahlungsinformationen, IP-Adresse) über deine Website überträgst. Ohne Verschlüsselung könnten diese Daten von Angreifern abgefangen und/oder manipuliert werden.

Da die IP-Adresse eines Besuchers bereits zu einem persönlichen Datum zählt, ist die verschlüsselte Übertragung zwischen deiner Website und dem Besucher quasi immer Pflicht und betrifft somit nicht nur Dich, sondern alle Website-Betreiber.

Um TLS/SSL-Verschlüsselung auf deiner WordPress-Website zu aktivieren, benötigst Du ein SSL-Zertifikat. Dieses Zertifikat kann von einem Zertifikatsanbieter erworben und muss auf Deinem Webserver installiert werden. Nutzt Du einen Webhosting-Anbieter, wird Dir in der Regel bereits angeboten deine Website mit einem kostenlosen Zertifikat von Let’s Encrypt zu schützen. 

Hinweis: Es gibt auch einige Plugins, die dir dabei helfen wollen, ein TLS/SSL-Zertifikat auf deiner WordPress-Website zu installieren und zu verwalten. Davon rate ich dringend ab, da die TLS/SSL-Verschlüsselung bereits auf der Ebene „vor“ WordPress stattfindet und solche Plugins nur unnötig Deine Website „aufblähen“. Die TLS/SSL-Verschlüsselung und das Zertifikat müssen auf der Webserver-Ebene konfiguriert werden. 

Tipp: Richte TLS/SSL noch vor der Erstinstallation von WordPress bei deinem Hoster ein. Dann sind auch in WordPress direkt alle Links korrekt konfiguriert um mit TLS/SSL zu harmonieren. Du sparst dir viel Stress und manuelle Änderungen.

Fazit

Zeit in die (richtige) Absicherung Deiner Website zu investieren ist immer eine gute Idee. Durch das Aktualisieren von WordPress, Themes und Plugins kannst du sicherstellen, dass Deine Website vor Sicherheitslücken geschützt bleibt. Die Wartung deiner Website hilft auch, Probleme zu identifizieren und zu beheben, bevor sie zu größeren Herausforderungen werden. Eine gut gepflegte Website ist weniger anfällig für Hackversuche und andere Bedrohungen und bietet eine bessere Nutzererfahrung für Deine Besucher. Es lohnt sich also, regelmäßig Zeit in die Wartung, Backups und Updates deiner Website zu investieren.

Wenn Du Schwierigkeiten hast, die Wartung und das Update deiner WordPress Website zu übernehmen oder wenn Du einfach keine Zeit dafür hast, biete ich meine Unterstützung an. Als Experte im Bereich Web- und IT-Sicherheit kann ich sicherstellen, dass deine Website immer auf dem neuesten Stand ist und vor Bedrohungen geschützt bleibt. Ich bieten auch Wartungs-Service an, um deine Website langfristig zu betreuen. Kontaktiere mich gerne, wenn Du die Wartung deiner Website in professionelle Hände abgeben möchtest oder Du Fragen dazu hast.

Noch ein Tipp aus meiner Berufserfahrung: Weniger ist mehr! Installiere und nutze nur die Plugins die Du wirklich benötigst. Oft werden Plugins installiert weil es „einfach ist“ oder „schnell gehen“ muss. Jedes Plugin bringt jedoch zusätzlichen Code in deine Website und vergrößert die potentielle Angriffsfläche. Wenn Du Plugins mit bedacht installierst und die Zahl dieser gering hältst, hilft das der Sicherheit deiner Website bereits enorm. 

Und jetzt: Viel Spass und Erfolg beim Umsetzen meiner Tipps auf deiner Website! 🙂

Frederic Roggon

,
,