WordPressKategorie

WordPress-Sicherheit

5 min lesen
Wolf-Dieter Fiege

Je erfolgreicher und beliebter ein Softwareprogramm ist, desto interessanter wird es als Angriffsziel für Hacker. Sicherheit ist wichtig und wird immer wichtiger. WordPress ist weltweit das meistverwendete Content Management System und wird von Privatpersonen und Unternehmen eingesetzt. Im Dezember 2017 haben Sicherheitsforscher pro Stunde weltweit 14 Millionen Angriffe auf WordPress-Websites mit heftigen Brute-Force-Attacken registriert. Das Ziel: Zugang zum Admin-Bereich verschaffen. Die zuletzt stark zugenommene Anzahl von Cyberattacken gegen WordPress-Websites, rückt einen elementar wichtigen Punkt erneut ins Zentrum der Aufmerksamkeit: die Sicherheit. Erfahre jetzt mehr über die wichtigsten Sicherheits-Plugins für WordPress und schütze deine Daten vor dem Zugriff durch Unbefugte!

Vorsicht bei der Installation von Plugins

Ende 2017 wurde ein Captcha-Plugin mit eingebauter Hintertür entdeckt, das auf 300.000 WordPress-Seiten im Einsatz war. Das Beispiel zeigt: Du musst die Plugins für deine Website sorgfältig auswählen und auf vertrauenswürdige Anbieter achten. Über die Hintertüren schleusen die Angreifer andernfalls Schadcodes ein und integrieren zum Beispiel Spam oder Links zu Malware in deinen Webseiten.

Sicherheits-Plugins protokollieren Angriffe und blocken diese ab

In vielen Fällen fällt der eingeschleuste Schadcode gar nicht auf und arbeitet unauffällig im Hintergrund, deine Website kann bereits ohne dein Wissen infiziert sein. Bevor du im Folgenden mehr über die Vorteile der besten Sicherheits-Plugins erfährst, solltest du deine WordPress-Website mit diesen Tipps sicherer machen:

  • Verwende starke Passwörter für den Zugang zur Datenbank und die Anmeldung im Verwaltungsbereich. Der Benutzername darf nicht "admin" lauten.
  • Ändere das Tabellenprefix von "wp" auf "wp1a2z" oder ähnliches (eine Anleitung findest du im Netz).
  • Lagere den Upload-Ordner aus (Einstellungen > Mediathek > Uploads in folgendem Ordner speichern), beispielsweise in den Ordner "wpxaz" aus.
  • Ändere die Standardstruktur von WordPress und verschiebe die Dateien in einen Unterordner. Die index.php bleibt im Hauptordner und benötigt eine Anpassung: require (,wpxaz/wp-blog-header.php');
    Passe im Backend unter Einstellungen > Allgemein die Pfade zur Website entsprechend an.
  • Halte immer die WordPress-Installation und alle Erweiterungen auf dem aktuellen Stand und installiere verfügbare Updates.

1. WordPress-Sicherheit mit Wordfence Security
Abbildung - Wordfence-Plugin

Das Plugin Wordfence Security zählt beim Thema Sicherheit zu den beliebtesten WordPress-Erweiterungen und agiert als Antiviren-Scanner. Der erste Scan liefert wahrscheinlich einige Falschmeldungen - eine manuelle Kontrolle ist nötig, denn unter anderem schlägt das Plugin bei WordPress-Dateien in Deutsch statt Englisch bereits Alarm. Die Schutzmaßnahmen beinhalten neben dem Scannen der Ordner und Dateien und einer Firewall, zusätzlich Features wie einen automatischen Malware-URL-Scan für die Kommentare und einem Brute-Force-Schutz beim Login. In der kostenpflichtigen Premium-Version, kannst du eine Zwei-Faktor-Authentifizierung für die Anmeldung nutzen. Über anstehende Updates für WordPress kannst du dich per E-Mail informieren lassen. Das ist für alle sehr praktisch, die nicht regelmäßig Änderungen am Webauftritt vornehmen.

Weitere Informationen zum Plugin Wordfence Security findest du hier.

2. WordPress-Sicherheit mit iThemes Security
Abbildung - iThemes Security

Das Sicherheits-Plugin iThemes Security macht einen professionellen Eindruck und eignet sich dank der übersichtlichen Bedienung gut für WordPress-Einsteiger. Die Einstellmöglichkeiten sind prima erklärt und die Verwendung beginnt mit der Erstellung eines Backups. Beispielsweise lässt sich die Website dann mit einem Klick auf SSL umstellen, automatisierte Backups sind möglich und auch das Präfix für die Datenbank ist schnell geändert. Eine Besonderheit: Du kannst den Admin-Zugang für eine gewisse Zeit komplett sperren, zum Beispiel, wenn du in den Urlaub fährst. Im Vergleich zu Wordfence Security erscheint das Plugin schneller und weniger überladen. Es fehlt allerdings eine Firewall für WordPress. Damit lassen sich mit iThemes Security ohne Programmierkenntnisse viele nützliche Sicherheitsregeln aktivieren. Aktiver Schutz vor Bots und Attacken ist jedoch nicht gegeben. Die kostenpflichtige Pro-Version enthält unter anderem Malware Scanning und Logs über die Login-Versuche.

Weitere Informationen zum Plugin iThemes Security findest du hier.

3. WordPress-Sicherheit mit NinjaFirewall

Abbildung - Ninja Firewall

Für einen aktiven und effektiven Schutz vor Angriffen, sicherst du deine WordPress-Installation mit einer Firewall ab. Die NinjaFirewall verbraucht wenig Ressourcen und funktioniert effizient. Es geht nicht um das Scannen von Dateien oder das optimieren von Sicherheitseinstellungen, sondern um eine wirksame Firewall-Funktion. Angreifer müssen an dieser Sperre erst vorbeikommen. So filtert das Plugin unter anderen aggressive Zugriffe durch Crawler und Bots aus, die sonst zulasten der Performance gehen. Anfänger übernehmen die Standardeinstellungen und profitieren von einem guten Schutz. Profis haben weitere Einstellmöglichkeiten.

Weitere Informationen zur NinjaFirewall findest du hier.

WordPress-Sicherheit - Fazit

WordFence Security bietet viele Schutzmöglichkeiten, die jedoch auch zulasten der Gesamtperformance gehen. Das Plugin iThemes Security nimmt viele sinnvolle Einstellungen an WordPress vor, die erfahrene Anwender ohne Installation eines Plugins generieren. Die aktive NinjaFirewall ist eine sinnvolle Erweiterung und punktet mit aktivem Schutz vor Angriffen. Anfänger belassen einfach die Standardeinstellungen. Profis genießen verschiedene Optionen für das Feintuning. Setze die vorgeschlagenen Lösungen nach deinen Bedürfnissen um und schütze deine Website so besser vor Angriffen.

Bildnachweis: Fotolia, Lizenz: GoDaddy