WordPress Sicherheit: Bewährte und einfache Methoden für perfekten Schutz

Mehrere hunderttausend WordPress Seiten fallen pro Tag einem Hackerangriff zum Opfer.

Unter Umständen auch deine!

Oftmals verwenden Hacker nämlich Bots, die willkürlich Webseiten auswählen und bekannte WordPress Schwachstellen zeigen.

Es sind also nicht nur die renommierte und bekannte Seiten betroffen.

Aber keine Panik: In diesem Beitrag zeige ich dir Schritt für Schritt, wie du die WordPress Sicherheit deutlich erhöhen und dich effektiv vor Hackern schützen kannst.

Es handelt sich um bewährte Methoden, die ihre Zuverlässigkeit in der Vergangenheit bereits mehrfach unter Beweis gestellt haben.

Außerdem zeige ich dir 4 All in One WordPress Security Plugins zur Abwehr verschiedener Risiken und zahlreiche verschieden Plugins, die deine WordPress Seite zum Fort Knox machen.

Packen wir es an!

1. Warum du dich unbedingt mit WordPress Sicherheit beschäftigen musst!

WordPress Sicherheit?

Hacker Angriff?

Wird schon gut gehen! Sowas trifft mich dich nicht.

So oder so ähnlich reagieren viele Blogger, wenn sie mit diesem Theme konfrontiert werden.

Doch leider sieht die Realität anders aus!

Diese Übersicht zeigt dir anschaulich wie viele Webseiten täglich gehackt werden. 

Sicher bist du erschrocken von der hohen Zahl und fragst dich, ob WordPress besonders unsicher ist.

Ich kann dich beruhigen: WordPress ist sogar sehr sicher (einer von vielen WordPress Vorteilen) und wenn du die Tipps aus diesem Artikel umsetzt, blickst du potenziellen Hackerangriffen in Zukunft mit einem Lächeln entgegen.

Das Thema WordPress Sicherheit zählt zwar eindeutig zu den weniger beliebten Themen, dennoch ist es auch für WordPress Anfänger essenziell. Denn neben dem potenziellen Verlust deiner Arbeit, dem möglichen wirtschaftlichen Schaden sowie dem Reputationsschaden, drohen dir unter Umständen rechtliche Konsequenzen bei der Unterlassung bestimmter Sicherungsmaßnahmen.

1.1 Was bedeutet WordPress Sicherheit überhaupt?

Bevor wir praktisch starten, lass uns einen Blick auf die Theorie werfen und beleuchten, was das Thema Sicherheit im Kontext mit WordPress zu bedeuten hat.

Hingegen der allgemeinen Meinung sind damit nicht 100 % abgeschottete Seiten gemeint.

Mal abgesehen davon, dass das Erreichen von absoluter Sicherheit im Internet unmöglich ist, sind solche Seiten unpraktisch und unmöglich zu finden, was so ziemlich das Gegenteil vom Ziel einer reichweitenstarken Seite sein dürfte.

Was wir also „WordPress sicher machen“ verstehen, ist die bestmögliche Risikominimierung.

Nicht dich komplette Risikobeseitigung!

Es geht also darum, alle angemessenen und verfügbaren Möglichkeiten auszuschöpfen und dadurch die Chancen zu verringern, deine Website zur Zielscheibe eines Hackerangriffs zu machen.

Erinnere dich zurück an die bereits erwähnte Studie: Im Durchschnitt wird alle 5 Sekunden eine Webseite, auf der WordPress läuft, gehackt.

Nun aber genug der Theorie!

Lass uns loslegen.

Ich zeige dir nun, wie du mit ganz einfachen Mitteln deine WordPress Seite bestmöglich schützt.

2. WordPress sicher machen – allgemeine Tipps

Bevor wir auf einige bekannte WordPress Schwachstellen im Detail eingehen, sollte jeder WordPress Administrator die folgenden Grundlagen beherzigen.

Bereits die Umsetzung dieser 5 einfachen Maßnahmen erhöht die WordPress Sicherheit nämlich deutlich.

2.1 Aktualisiere deine WordPress Seite regelmäßig

Halte deine WordPress Seite aktuell und vermeide so das Ausnutzen von Sicherheitsschwachstellen älterer Versionen.

Mögliche Updates zu Plugins, Themes oder dem WordPress Core findest du unter Aktualisierung, genauer gesagt an folgenden drei prominenten Stellen im WordPress Backend…

2.2 Aktualisiere deine PHP Version

WordPress baut auf der beliebten Programmiersprache PHP auf.

Die neuste verfügbare Version beinhaltet immer auch die neusten Sicherheitsfunktionen und schließt bekannte Hintertüren.

Vertraue also ausschließlich auf die aktuellste PHP-Version, die in der Regel direkt über deinen Hoster festgelegt wird.

2.3 Nutze ausschließlich vertrauenswürdige Hoster

Neben der Sicherheit und der Backup-Fähigkeit deiner Daten können viele Angriffe bereits durch deinen Hoster abgewehrt werden.

Vertraue hier also ausschließlich auf gute Unternehmen, wie beispielsweise Webgo, Raidboxes oder ähnliche.

2.4 Verwende nur starke Passwörter

Einer der wichtigsten Tipps für jeden Internetbenutzer, nicht nur im Zusammenhang mit WordPress Sicherheit gilt: Verwende „starke“ Passwörter, welche am besten aus Groß- und Kleinschreibung, sowie Zahlen und Sonderzeichen bestehen.

Verwende mindestens 8 Zeichen oder mehr.

Wenn dich WordPress also auf ein schwaches Passwort hinweist, weist du, dass du hier nachbessern solltest.

2.5 Erstelle regelmäßig Backups

Der letzte Tipp in diesem Kapitel, welcher zwar nur indirekt mit dem Schutz vor WordPress Hackern zu tun hat, dennoch für alle Betreiber wichtig sein sollte, sind regelmäßige Backups deiner Seite.

Somit hast du im Fall der Fälle die Möglichkeit deine Daten zu sichern und wiederherzustellen.

Ein gutes und einfaches Plugin ist das millionenfach verwendete WordPress Plugin Updrafplus.

3. Die bekanntesten WordPress Schwachstellen und passende Gegenmaßnahmen

Im Folgenden wollen wir gemeinsam etwas tiefer in die Materie einsteigen.

Nun sichern wir deine Seite vor den größten WordPress Sicherheitslücken ab.

Außerdem stelle ich dir einige hilfreiche WordPress Security Plugins vor, die dich vor der Kompromittierung, d.h. der Kontrollübernahme durch Hacker, schützen.

3.1 Backdoors: Was haben die NSA und Hacker gemeinsam?

Verrückte Frage, einfach Antwort…

Beide nutzen Backdoors (Hintertürchen) im Rahmen ihre Aktivitäten.

Unter diesen Hintertüren versteht man, wie der Name bereits vermuten lässt, einen alternativen Zugang zu einer Software oder einem Hardwaresystem, welcher den standardmäßigen Zugriffsschutz umgeht.

Wie Studien (z.B. Sucuri Report 2019) zeigen, zählen Backdoors und die damit verbundene Einschleusung von Malware mit knapp 50 % zu den größten Bedrohungen für WordPress Seitenbetreiber.

Einmal eingeschleust nutzen die Angreifer die Schwachstellen zum Teil mehrere Jahre, um darüber Daten abzugreifen, Malware hochzuladen oder anderweitig durch die Kontrolle deiner Seite Schaden anzurichten.

Du fragst dich bestimmt gerade, wie du dich am besten vor ungewollten Hintertüren schützt?

Ganz einfach: Die meisten Hintertüren in WordPress werden durch die Installation von Drittanbieter Plugins, Themes oder Code aus unseriösen Quellen geöffnet.

Eine weitere Maßnahme ist die Deinstallation von nicht verwendeten Plugins oder veralteten, nicht mehr aktiven Themes, die du noch immer aus der Vergangenheit auf deinem Server installiert hast.

Ein Blick auf den „Website-Zustand“, der unter Werkzeuge zu finden ist, gibt schnell Aufschluss darüber, ob du Nachbesserungen vornehmen solltest oder ob alles in Ordnung ist.

Es lässt sich jedoch festhalte, dass Backdoors präventiv schwer zu finden sind.

Wenn du deine Seite dennoch auf mögliche Backdoors / Schwachstellen testen möchtest, kann ich dir den Security Check & Malware Scanner von Sucuri empfehlen.

Alternativ findest du hier eine tolle Anleitung, die ich dir unbedingt ans Herz legen möchte!

3.1.1 Auswirkungen von Backdoors und wie du dich dagegen schützt

Wie bereits beschrieben nutzen Hacker die Hintertüren (Backdoors) zu deinem System, um unbemerkt Quellcode auf deiner Seite zu platzieren und im Anschluss auszuführen.

Eine besonders beliebte Methode ist unter den Schlagwörtern Pharma- oder SEO-Spam bekannt.

Ziel der WordPress Hacker ist es hier, die Verwendung von Sicherheitslücken in deiner WordPress Installation gezielt auszunutzen, um unauffällig Links zu Webseiten, welche dubiose pharmazeutische Produkte, Pornografie oder ähnliches anbietet, auf deiner Webseite unterzubringen.

Diese eingeschleusten Linkblöcke werden mittels CSS–Tricks oder JavaScript für den allgemeinen Benutzer unsichtbar gehalten.

Die Crawler der Suchmaschinen finden diese Linksammlung jedoch und straft deine Website aufgrund der Verbreitung von Spam ab.

Die Folge: Deine Website rutscht in den Suchmaschinenrankings ab. Im schlimmsten Fall kann deine WordPress Seite sogar auf die Backlist von Google und Co. gesetzt werden und wird überhaupt nicht mehr gefunden.

3.1.2 Ist meine Website bereits betroffen?

Im Folgenden möchte ich dir zeigen wie du herausfindest, ob deine Seite aktuell von SEO-Spam betroffen ist.

Dazu nutzen wir im ersten Schritt die Google Suche (alternativ kann dir auch der Sitecheck von Sucuri Antworten liefern).

Öffne dazu einfach ein neues Tab im Browser.

Wichtig: Nutze hierfür ein privates Fenster.

Im Chrome Browser geht dies unter: Datei > neues Inkognitofenster

Rufe die Google Suche unter  auf und gib die URL deiner WordPress Seite im Format „SITE:DEINE URL“ dort ein.

Als Beispiel.

Sieh dir die Ergebnisse an und prüfe, ob diese verdächtige Inhalte aufweisen.

Eine weitere Möglichkeit stellt der Google Transparenzbericht dar.

Prüfe dazu deine Webseite einfach hier.

Bleibt nur die Frage: Was tun, wenn tatsächlich SEO-Spam entdeckt wurde?

Solltest du tatsächlich betroffen sein, so kann ich dir aus meiner Erfahrung berichten, dass dieser nur sehr ungenau von klassischen All in One WordPress Security Plugins wie Sucuri Security, iThemes Secruity oder Workfence Security entfernt wird, da der Code oftmals tief in den Datenbanken oder Scriptdatein von WordPress versteckt ist.

Im Idealfall verfügst du über ein nicht kompromittiertes Backup, das du wiederherstellen kannst.

Sollte das der Fall sein: Glück gehabt!

Wenn nicht, hilft oftmals nur die Hinzuziehung eines Spezialisten.

3.2 Brute-Force Attacken – das Problem mit dem WordPress-Login

Mit der unvorstellbaren Häufigkeit von 4 Mrd. Angriffen pro Jahre stellen Brute Force Attacken die zweitgrößte Gefahr für WordPress Seitenbetreiber dar.

Unter der Verwendung von automatisierten Bots greifen Hacker deine Seite tausendfach in kurzer Zeit an und versuchen, mittels zufälligen und oftmals gestohlenen Benutzernamen-Passwort-Kombinationen einen Zugriff auf dein Backend zu erhalten.

Im schlimmsten Fall ist dieser Angriff erfolgreich.

Im besten Fall widersteht deine abgesicherte Seite dem Angriff, bricht dann jedoch vermutlich unter der entstandenen Last zusammen.

Auch nicht gut!

Die gute Nachricht: Schutz vor Brute Force Attacken ist deutlich einfacher, als du vielleicht denken magst.

Ich zeige dir im folgenden Abschnitt vier einfache Möglichkeiten, wie du dein WordPress Seite vor Brute Force Attacken schützen und dadurch die WordPress Sicherheit extrem erhöhen kannst.

Im Idealfall nutzt du sogar mehrere dieser vier Möglichkeiten, um Hackern wirklich keine Chance zu bieten.

3.2.1 Möglichkeit 1: Ändere deinen Standard Benutzernamen „Admin“

Brute Force Angriffe ähneln einem Ratespiel, in dem die Hacker deinen Benutzernamen und Passwort erraten wollen.

Unser Ziel besteht also darin, es den Hackern so schwer wie möglich zu machen.

Verwende deshalb niemals den von WordPress voreingestellten Benutzernamen „Admin“, da dieser natürlich auch bei allen anderen WordPress Installationen standardmäßig angelegt und häufig nicht geändert wird.

Um den voreingestellten Benutzernamen zu ändern, führe folgende Schritte aus: Benutzer > Alle Benutzer > Admin > Bearbeiten  

3.2.2 Möglichkeit 2: Begrenze die Anzahl an Login-Versuchen

Während einer Brute Force Attacke testen die Bots automatisiert tausende von Benutzernamen-Passwort-Kombinationen.

Eine Möglichkeit dies zu unterbinden und somit die Einbruchswahrscheinlichkeit erheblich zu verringern bieten dir Plugins wie Limit Login Attempts , Workfence Security oder WP Limit Login Attempts.

Für das praktische Beispiel verwende ich Limit Login Attempts, da dieses Plugin neben der guten Bewertung und regelmäßigen Aktualisierung auch DSGVO konform (IP-Adressen werden anonymisiert) ist.

Nach dem Download und der Aktivierung kannst du unter: Einstellungen > Limit Login Attempts die gewünschte Anzahl an erlaubten Login-Versuchen festlegen und weitere Einstellungen vornehmen.

Ich empfehle dir hier 3-5 erlaubte Anmeldeversuche zuzulassen und außerdem die DSGVO Konformität zu aktivieren.

Die erfolgreiche Installation kannst du übrigens ganz einfach über einen erneuten Login zu deinem Dashboard mit „falschen“ Testdaten (Benutzernamen + Passwort) überprüfen.

Funktioniert das Plugin korrekt, solltest du diese Fehlermeldung erhalten…

3.2.3 Möglichkeit 3: Login-/Anmeldeseite verstecken

Zugegeben, es klingt im ersten Moment etwas komisch: WordPress sicher machen, indem die WP-Login-Seite versteckt wird?

Heißt: Ein Login erfolgt nicht mehr unter deineseite.de/wp-login, sondern unter deineseite.de/frei-wählbar.

Die Maßnahme beruht auf einem Ansatz, der im Fachjargon den Namen Security throgh obscurity (Sicherheit durch Unklarheit) trägt.

Der Gedanke dahinter: Die WordPress Sicherheit wird erhöht, indem Funktionsabläufe wie der Login-Prozess verschleiert werden.

Anders ausgedrückt: Wenn der Bankräuber überhaupt nicht weis, wo die Zugangstüre zum Safe ist, wird er in diesen auch nur schwer eindringen können.

Security through obscurity wird in Fachkreisen sehr kontrovers diskutiert. Und auch ich bin zugegebener Maßen der Meinung, dass die WordPress Sicherheit nicht erhöht wird, indem wir Teile des Systems „verstecken“.

Dennoch bietet diese Maßnahme zwei entscheidende Vorteile, weshalb ich sie dir auch empfehlen würde:

1. Wie bereits erwähnt, können Brute Force Attacken in hoher Anzahl deine Website lahmlegen. Durch das Ändern der WP-Login-Seite finden schwache Bots diese erst gar nicht.
2. Das subjektive Sicherheitsgefühl wird erhöht. Ein Pluspunkt vor allem dann, wenn du als Webmaster einer WordPress Seite fungierst, auf die mehrere Personen Zugriff haben.

Security through obscurity Maßnahmen wie diese sind allerdings nur dann sinnvoll, wenn sie in ein Geflecht aus verschiedenen Sicherheitsmechanismen eingearbeitet werden.

Alleinstehend sind sie größtenteils nutzlos!

Übrigens: Diese „Standard-“ Sicherheitsfunktion beherrschen alle beliebten All in One WordPress Secruity Plugins, die ich dir später genauer vorstellen werde.

Wer die Einzelmaßnahme bevorzugt, kann auf das Plugin WPS Hide Login zurückgreifen.

Unter Einstellungen > WPS Hide Login, kannst du nach Installation deine individuellen Einstellungen vornehmen und die Login-Seite an deine Vorstellungen anpassen.

3.2.4 Möglichkeit 4: Zwei-Faktor-Authentifizierung

Eine vierte Möglichkeit, die ich dir hier vorstellen möchte, ist dir vielleicht bereits aus dem Online-Banking bekannt und trägt auch dort maßgeblich zum Schutz vor Hackern bei: die Zwei-Faktor-Authentifizierung.

Dahinter steckt die Idee, dass für ein erfolgreiches Login neben Benutzernamen und Passwort eine weitere unabhängige Bestätigung notwendig ist.

Der zusätzliche Gewinn an Sicherheit wird dabei durch die Notwendigkeit eines zusätzlich benötigten Bestätigungscode gewonnen.

Üblicherweise kommt hierbei ein zeitlich begrenzter Zahlencode, welcher über ein anderes unabhängiges Verfahren (z.B. Smartphone) generiert wird, zum Einsatz.

Um deine WordPress Seite fit für die Zwei-Faktor-Authentifizierung zu machen, installierst du dir im ersten Schritt die „Google Authenticator“ App auf deinem Smartphone oder Tablet.

Im Anschluss gilt es, das passende WordPress-Plugin Google Authenticator Plugin von miniOrange zu installieren.

Nach der Installation und Aktivierung wird ein QR-Code generiert, welchen du mit der App auf deinem Smartphone scannst.

Nach der erfolgreichen Verknüpfung generiert die Google Authenticator App alle 30 Sekunden einen neuen Sicherheitscode.

Wenn du anschließend deine Login Seite besuchst, fällt sofort auf, dass neben Benutzernamen und Passwort nun auch die neue Zeile „Google Authenticator Code“ hinzugekommen ist.

Zum Login benötigst du zukünftig also auch dein Smartphone, um mittels der App den zeitlich begrenzten Code zu generieren und entsprechend parallel im Login Bereich einzugeben.

An dieser Stelle sei auch der Hinweis angebracht, dass einige All in One WordPress Secruity Plugins, wie Wordfence, einen ähnlichen Service anbieten.

Glückwunsch!

Wieder wurde die WordPress Sicherheit erhöht.

4. Die besten All in One WordPress Security Plugins

Es existieren zahlreiche Plugins, die viele verschiedene Funktionen im Bereich der WordPress Sicherheit kombinieren und zentral zur Verfügung stellen.

Die vier bekanntesten und besten Vertreter möchte ich dir hier vorstellen.

4.1 Wordfence Security

Da es in diesem Beitrag bereits oftmals erwähnt wurde, möchte ich dir zuerst Wordfence Security vorstellen, welches mit bislang über 3 Millionen Downloads zu einem der beliebtesten WordPress Plugins schlechthin zählt.

Das Plugin liefert beeindruckende Zahlen: Fast 4 Milliarden geblockten Attacken und knapp 100 000 blockierte IP-Adressen von Angreifern innerhalb von 30 Tagen.

Diese Zahlen verdeutlichen nochmals wie wichtig der Schutz deiner WordPress Seite ist.

Bereits in der kostenlosen Version wartet Wordfence mit beeindruckenden Sicherheitsfeatures.

Dazu zählen unter anderem:

• Zwei Faktor Authentifizierung
• Sicherung des Loginbereichs gegenüber von Brute Force Attacken
• Eine Firewall, die alle Anfragen an die Webseite überprüft.

Ein besonderes Feature stellt der Malware Scan dar, welcher nach der Installation deine Seite auf bereits installierte Malware scannt und mögliche Backdoors frühzeitig schließt. So wird die WordPress Sicherheit bereits nach Installation erheblich gesteigert.

Die kostenpflichtige Premiumversion bietet zusätzlich Funktionen wie das Abblocken von Anfragen aus bestimmten Regionen (Country Blocking), die Überwachung deiner Firewall Regeln in Echtzeit oder auch einen Real Time Malware Schutz.

Mit aktuell 99 $ für eine Lizenz pro Jahr sind die Kosten überschaubar.

4.2 Securi Security

Sucuri Inc. zählt zu einem der bekanntesten Unternehmen im Feld der WordPress Sicherheit.

Zusätzlich zum Anti-Virus-Service bietet das Unternehmen eine für WordPress angepasste Firewall an.

Mit über 700.000 aktiven Installationen ist auch das WordPress Plugin sehr beliebt.

Hier sei jedoch gesagt: Es steht zwar eine kostenlose Version zur Verfügung, welche einige grundlegende Sicherheitsfeatures bietet, vorrangig richtet sich Sucuri jedoch an professionelle Anwender und Administratoren.

Das vollständige und enorme Potenzial wird also erst mit der Aktivierung der kostenpflichtigen Lösung für min. 199 $ entfaltet.

Anschließend stehen dir Funktionen wie ein Remote Malware Scan, ein Security Activity Audit deiner Seite oder auch die exzellente Firewall bereit.

Für den allgemeinen WordPress Anwender ist der Preis meiner Meinung nach zu hoch.

4.3 iThemes Security

Ein Plugin, welches ich besonders Einsteigern und unerfahrenen Nutzern empfehlen würde, ist iThemes Security.

Nach nur wenigen Klicks durch die übersichtlich gestalteten Einstellungen steht dir ein (kostenloser) Schutz gegen Brute Force Attacken, Backdoors und unberechtigte PHP-Ausführungen bereit.

In der Premium Version iThemes Pro machen Features wie Zwei-Faktor-Authentifizierung, Malware Scan und Benutzerprotokollierung das Angebot komplett.

Mit aktuell 80 $ pro Website pro Jahr ist der Kostenfaktor überschaubar. Ein angemessener Preis für ein hohes Maß an WordPress Sicherheit.

4.4 Cerber Security

Das letzte All in One Security Plugin, welches ich dir hier vorstellen möchte, trägt den Namen Cerber Security.

Das Plugin mit dem Dobermann Logo überzeugt nicht nur bereits über 100.000 Nutzer, sondern wartet auch mit einem sehr umfangreichen Funktionsumfang.

Mit Funktionen wie der Begrenzung von Login Versuchen, der Umleitung der Login-URL und Anti Spam + Brute Force Schutz stellt dieses Plugin eine der umfangreichsten All in One Lösung dar.

Ebenso kommen für 120 $ jährlich (für die 1. Seite) noch Funktionen wie Zwei-Faktor-Authentifizierung, Malware Scan und Google reCAPTCHA Schutz für Shopbetreiber hinzu.

5. Sicherheit durch .htaccess erhöhen

Durch eine Optimierung der WordPress .htaccess Datei kannst du den Sicherheitsstandard deiner Website erheblich steigern.

Wie genau das geht und welche Code-Schnipsel du hinzufügen solltest, zeige ich die in diesem ausführlichen Beitrag.

6. WordPress sicher machen FAQ

Was ist die größte WordPress Schwachstelle?

Neben SPAM und Brute Force Angriffen stellen Backdoors für deine Seite das größte Sicherheitsrisiko dar.

Was sind die wichtigsten Maßnahmen, um WordPress sicher zu machen?

• Verwende starke Passwörter
• Halte deine WordPress Seite, Plugins und Themes aktuell
• Verwende ein WordPress Security Plugins (Schutz vor Brute Force Angriffen, Spam, Malware)
• Schütze dich effektiv vor Brute Force Attacken

Welches ist das beste WordPress Security Plugin?

Dies ist abhängig von deinem Verwendungszweck und deinen Vorkenntnissen.

Für alle Einsteiger und Nicht-Experten empfehle ich Wordfence. Shopbetreiber sollten sich Cerber Security näher anschauen. Wenn du jedoch ein professionelles Business betriebst und Sicherheit das A und O darstellt, wirf einen Blick auf die Lösung von Sucuri.