Sicherheit – UltraPress – Das WordPress Tutorial für Dein Business

Benutzernamen in WordPress anpassen: Mit Plugin oder manuell

Stefan Höck — Thu, 29 Aug 2024 13:06:12 +0000

Bist du dir sicher, dass dein WordPress-Benutzername ausreichend sicher ist? Wenn du den voreingestellten Namen „admin“ verwendest, machst du es Hackern unnötig leicht, deine Website anzugreifen. Die Änderung deines Benutzernamens ist ein oft übersehener, aber wesentlicher Schritt zur Verbesserung der Sicherheit deiner WordPress-Website.

In diesem Artikel beleuchten wir, warum ein sicherer Benutzername so wichtig ist, welche vorbereitenden Schritte erforderlich sind und welche Methoden dir zur Verfügung stehen, um den Benutzernamen zu ändern. Zudem zeigen wir dir, welche Maßnahmen du zusätzlich ergreifen solltest, um deine Website vor unbefugtem Zugriff zu schützen.

Warum ist die Änderung des WordPress-Benutzernamens wichtig?

Das Ändern des WordPress Benutzernamens ist aus verschiedenen Sicherheitsgründen von großer Bedeutung:

Sicherheitsrisiko durch Standard-Benutzernamen: Wenn du den Standard-Benutzernamen „admin“ beibehältst, setzt du deine Website einem erhöhten Sicherheitsrisiko aus. Angreifer zielen häufig auf diesen Namen ab, da er oftmals der voreingestellte Name ist.
Gefahren von Brute-Force-Attacken: Bei Brute-Force-Angriffen versuchen Hacker, sich durch wiederholtes Eingeben von Benutzernamen und Passwörtern Zugang zu verschaffen. Ein einfacher Benutzername wie „admin“ macht diesen Prozess leichter.

Deshalb ist es wichtig, deinen Benutzernamen zu ändern und einen neuen Benutzernamen zu wählen, der einzigartig und schwer zu erraten ist. Verwende dabei eine Kombination aus Buchstaben, Zahlen und Sonderzeichen, um die Sicherheit deines WordPress-Kontos zu erhöhen.

Vorbereitende Schritte vor der Änderung des Benutzernamens

Bevor du deinen Benutzernamen änderst, solltest du einige wichtige Vorbereitungen treffen.

Backup deiner WordPress-Seite

Erstelle ein vollständiges Backup deiner WordPress-Seite, um Datenverlust bei der Änderung zu vermeiden. Dies kann über das Hosting-Dashboard oder ein Backup-Plugin durchgeführt werden. Regelmäßige Backups sind unerlässlich und stellen sicher, dass du im Falle eines Fehlers oder Angriffs jederzeit zu einer früheren, funktionierenden Version deiner Website zurückkehren kannst.

Anleitung zum Erstellen eines Backups

Backup-Plugin installieren: Es gibt zahlreiche Plugins, die dir das Backup deiner WordPress-Website erleichtern. Beliebte Optionen sind UpdraftPlus, BackWPup und Duplicator.
Backup-Plugin konfigurieren: Konfiguriere das Plugin entsprechend deiner Bedürfnisse. Stelle sicher, dass das Plugin alle wichtigen Daten wie Datenbank, Themes, Plugins und Uploads sichert.
Backup durchführen: Führe das Backup durch, in dem du die entsprechende Option im Plugin auswählst. Die meisten Plugins bieten eine einfache, benutzerfreundliche Oberfläche, um den Backup-Vorgang zu starten.

Sicheres Passwort

Neben dem Benutzernamen ist ein sicheres Passwort entscheidend. Ein schwaches Passwort macht es Angreifern leichter, sich Zugang zu deiner Website zu verschaffen. Verwende bei deiner Wahl eine Kombination aus Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen, um ein Passwort zu erstellen, das schwer zu knacken ist. Denke daran, dein Passwort regelmäßig zu aktualisieren, um die Sicherheit deines Kontos weiter zu erhöhen.

Methoden zur Änderung des WordPress-Benutzernamens

Es gibt mehrere Möglichkeiten, den Benutzernamen in WordPress zu ändern. Jede Methode hat ihre Vor- und Nachteile, und welche du wählst, hängt auch von deiner technischen Erfahrung und den spezifischen Anforderungen deiner Website ab. Hier sind die gängigsten Methoden:

Änderung des Benutzernamens über ein Plugin: Die einfachste und benutzerfreundlichste Methode zur Änderung des WordPress-Benutzernamens ist die Verwendung eines Plugins. Es gibt verschiedene Plugins, die speziell für diese Aufgabe entwickelt wurden.
Erstellen eines neuen Benutzers und Löschen des alten Benutzers: Eine alternative Methode, insbesondere wenn du keine Plugins verwenden möchtest, ist die Erstellung eines neuen Benutzers mit Administratorrechten und das anschließende Löschen des alten Benutzers.
Änderung des Benuternamens über die Datenbank: Für technisch versierte Nutzer besteht die Möglichkeit, den Benutzernamen direkt in der WordPress-Datenbank zu ändern. Diese Methode erfordert Zugriff auf phpMyAdmin oder ein ähnliches Datenbank-Management-Tool.
Änderung des Benutzernamens durch Code-Anpassung: Für Entwickler, die Zugang zum WordPress-Dateisystem haben, kann der Benutzernamen auch durch Hinzufügen von Code in der Datei functions.php des aktiven Themes geändert werden.

Neuen WordPress-Benutzer erstellen und alten löschen

Wenn du einen neuen Benutzer anlegen und den alten Benutzer entfernen möchtest, gehe wie folgt vor:

Neuen Benutzer mit WordPress Admin-Rechten anlegen: Gehe in deinem WordPress-Dashboard zu „Benutzer“ > „Neu hinzufügen“ und erstelle einen neuen Benutzer mit Administratorrechten. Gib diesem neuen User einen Benutzernamen, der einzigartig und sicher ist.
Mit dem neuen Benutzer einloggen: Melde dich mit dem neuen Benutzer an und überprüfe, ob alle Berechtigungen korrekt gesetzt sind.
Alten Benutzer löschen: Lösche den alten Benutzer und übertrage alle Inhalte auf den neuen Administrator, um Datenverlust zu vermeiden.

Falls nötig, kannst du zusätzlich ein Plugin wie Admin Renamer verwenden, um den neuen Benutzernamen nachträglich zu ändern oder anzupassen.

Der Einsatz von Plugins zur Benutzernamenänderung

Diese Plugins bieten dir eine einfache Möglichkeit zur Benutzernamenänderung in WordPress:

Username Changer: Der Username Changer ermöglicht dir, den Benutzernamen direkt per Plugin über das WordPress-Dashboard zu ändern. Nach der Installation und Aktivierung findest du die entsprechenden Einstellungen unter „Benutzer“ > „Alle Benutzer“.
Alternative Plugins: Weitere nützliche Plugins sind Easy Username Updater und WP Edit Username, die ähnliche Funktionen bieten und ebenfalls sehr einfach zu bedienen sind.
Edit Author Slug: Dieses Plugin geht noch einen Schritt weiter und ermöglicht es dir, nicht nur den Benutzernamen, sondern auch den Autorenslug zu editen. Dies ist besonders hilfreich, wenn du den öffentlich sichtbaren Namen eines Autors auf deiner Website ändern möchtest.

Direkt in der Datenbank den Benutzernamen ändern

Für fortgeschrittene Benutzer, die mit MySQL-Datenbanken vertraut sind, kann auch die direkte Änderung in der Datenbank eine Option sein:

Zugriff via phpMyAdmin: Melde dich bei deinem Hosting-Provider an und navigiere zum phpMyAdmin-Bereich.
Benutzernamen ändern:
1. Wähle die MySQL-Datenbank, welche zu deiner WordPress-Installation gehört. Du findest diese in der Regel in der Datei wp-config.php deines WordPress-Verzeichnisses.
2. Öffne die Tabelle wp_users und finde den gewünschten Benutzer.
3. Bearbeite das Feld user_login und ändere den Benutzernamen.
4. Speichere die Änderungen und überprüfe, ob die Anpassungen korrekt vorgenommen wurden.
Datensicherung vor Änderungen: Bevor du in der Datenbank Änderungen vornimmst, solltest du unbedingt ein Backup der gesamten Datenbank erstellen. Dies schützt dich vor Datenverlust, falls bei der Bearbeitung ein Fehler auftritt.

Zusätzliche Sicherheitsmaßnahmen nach der Benutzernamenänderung

Nachdem du den Benutzernamen geändert hast, solltest du weitere Sicherheitsmaßnahmen ergreifen, um deine Website bestmöglich zu schützen:

Sicherheits-Plugins installieren: Plugins wie Limit Login Attempts Reloaded helfen, Brute-Force-Angriffe auf dein WordPress Backend zu verhindern, indem sie die Anzahl der Anmeldeversuche begrenzen und somit die Möglichkeiten von Angreifern limitieren.
Admin-URL verbergen oder ändern: Verwende Plugins wie WPS Hide Login, um die Standard-Admin-URL zu ändern. Dies erschwert es Angreifern, die Anmeldeseite zu finden und potentiell zu attackieren.
Sichere Benutzernamen und Passwörter verwenden: Vermeide einfache und unsichere Benutzernamen und Passwörter. Nutze stattdessen starke, komplexe Passwörter und ändere diese regelmäßig.

Schlussfolgerung: Ein sicherer WordPress-Benutzername als Schlüssel zur Webseiten-Sicherheit

Ein sicherer WordPress-Benutzername ist entscheidend für die Sicherheit deiner Website. Standard-Benutzernamen wie „admin“ sind leicht angreifbar und erhöhen das Risiko von Angriffen erheblich.

Wenn du den Benutzernamen einzigartig änderst und zudem ein sicheres Passwort verwendest, stellst du sicher, dass Angreifer es deutlich schwerer haben, sich Zugang zu deiner Website zu verschaffen. Durch die Implementierung zusätzlicher Sicherheitsplugins kannst du deine Website noch wirksamer vor unbefugtem Zugriff schützen.

Zusätzliche Maßnahmen wie das Verbergen der Admin-URL und regelmäßige Backups tragen weiter zur Sicherheit bei. Um dauerhaft geschützt zu bleiben, solltest du deine Sicherheitseinstellungen regelmäßig überprüfen und up-to-date halten.

The post Benutzernamen in WordPress anpassen: Mit Plugin oder manuell appeared first on UltraPress - Das WordPress Tutorial für Dein Business.

WordPress-Website effektiv mit Passwort schützen

Stefan Höck — Wed, 14 Aug 2024 18:35:43 +0000

Fragst du dich, wie du bestimmte Bereiche deiner WordPress-Website vor unbefugtem Zugriff schützen kannst? Oder möchtest du verhindern, dass deine Inhalte während der Entwicklungsphase versehentlich eingesehen werden?

Egal, ob du eine neue Website erstellst, einen Produkt-Launch planst oder exklusive Informationen nur für bestimmte Nutzer zugänglich machen möchtest – der Passwortschutz ist eine einfache, aber wirkungsvolle Lösung, um deine Webseite oder bestimmte Teilbereiche von der Öffentlichkeit abzuschirmen.

In diesem Artikel zeigen wir dir, wie du deine WordPress-Seite oder einzelne Seiten und Beiträge durch einen passwortgeschützten Zugang absichern kannst, welche Tools und Methoden dir helfen können, und was du dabei in Bezug auf die DSGVO beachten solltest.

Einführung in den Passwortschutz bei WordPress

Der Passwortschutz spielt eine zentrale Rolle, wenn es darum geht, deine WordPress-Seite effektiv abzusichern.

Egal, ob du eine neue Website launchst, die Landingpage für eine bevorstehende Produkteinführung planst, einen internen Bereich für Teammitglieder erstellst oder einfach Inhalte vor unbefugtem Zugriff schützen möchtest – es gibt viele Situationen, in denen dir ein passwortgeschützter Bereich die notwendige Sicherheit bietet, um deine Inhalte nur für ausgewählte Nutzer zugänglich zu machen oder sie geheim zu halten, bis sie vollständig bereit sind. Du kannst sowohl gezielte Seiten als auch die gesamte Website ganz einfach mit einem Passwort schützen.

Gerade auch im Hinblick auf die DSGVO-Konformität deiner WordPress-Seite kann es wichtig sein, vertrauliche Inhalte durch ein Passwort abzusichern, um sicherzustellen, dass nur autorisierte Benutzer zugreifen können.

Grundlagen des WordPress Passwortschutzes

Bevor du den Passwortschutz für deine WordPress-Seite einrichtest, ist es wichtig, die grundlegenden Einstellungen zu verstehen, die WordPress in Bezug auf Status und Sichtbarkeit bietet. Dir stehen verschiedene Optionen zur Verfügung, um festzulegen, wie deine Inhalte angezeigt werden:

Öffentlich: Jeder kann den Inhalt sehen.
Privat: Nur angemeldete Benutzer mit bestimmten Rechten können zugreifen.
Passwortgeschützt: Der Inhalt ist durch ein Passwort gesichert, das eingegeben werden muss, um den Zugriff zu ermöglichen.

Indexierung durch Suchmaschinen

Ein wichtiger Punkt ist auch die Indexierung durch Suchmaschinen – passwortgeschützte Inhalte werden in der Regel nicht indexiert, wodurch sie für die Öffentlichkeit unsichtbar bleiben. Dies bietet zusätzlichen Schutz, vor allem wenn du sensible Daten oder vertrauliche Informationen auf deiner Website bereitstellst.

Auswahl des richtigen Passwortschutzes

Es gibt verschiedene Möglichkeiten, wie du deine WordPress-Seite mit einem Passwortschutz versehen kannst.

WordPress-Core-Funktionen

WordPress selbst bietet im Abschnitt vorher genannte grundlegende Funktionen, um Seiten und Beiträge zu schützen.

WordPress-Plugins

WordPress-Plugins wie Password Protected bieten erweiterte Optionen. Wenn du das Plugin installierst und aktiviert hast, kannst du damit beispielsweise Passwörter zeitlich begrenzen oder ganze Verzeichnisse schützen.

Die Wahl zwischen den WordPress-Core-Funktionen und einem Plugin hängt von deinen spezifischen Anforderungen und technischen Kenntnissen ab. Wenn du bereits Erfahrung mit WordPress hast und deine Seite nur grundlegend schützen möchtest, reichen die integrierten Funktionen oft aus. Für umfangreichere Anforderungen und mehr Kontrolle über den Passwortschutz kann jedoch ein Plugin die bessere Wahl sein.

WordPress-Website vollständig absichern

Wenn du deine WordPress-Seite vollständig absichern möchtest, gibt es hierfür Methoden, die über den einfachen Passwortschutz hinausgehen. Eine gängige Methode ist die Verwendung von .htaccess und htpasswd Dateien. Diese Dateien ermöglichen es dir, bestimmte Verzeichnisse, einzelne Seiten oder eben sogar die gesamte Website auf Serverebene zu schützen. Diese Methode ist auch dann gut geeignet, wenn du mehrere Sicherheitsebenen implementieren möchtest.

Testumgebung einrichten

Wenn du umfangreiche Änderungen an deiner WordPress-Seite vornehmen und sie deshalb vorübergehend vollständig absichern möchtest, empfiehlt es sich, eine Testumgebung einzurichten, um sicherzugehen, dass alle Anpassungen reibungslos funktioniert, bevor du sie live schaltest.

Hier eine kurze Anleitung, wie du dabei vorgehen kannst:

Installation von WordPress: Installiere WordPress auf deinem Rechner.
Klonen deiner Website: Nutze Plugins wie Duplicator, um eine exakte Kopie deiner Live-Website zu erstellen.
Änderungen vornehmen: Teste neue Funktionen, .htaccess-Änderungen, Plugins oder Designanpassungen in dieser sicheren Umgebung.
Ergebnisse überprüfen: Stelle sicher, dass alle Änderungen ordnungsgemäß funktionieren und keine Probleme auftreten.
Live-Übertragung: Wenn alles einwandfrei funktioniert, kannst du die Änderungen auf deine Live-Website übertragen, indem du die aktualisierten Dateien und Datenbankänderungen hochlädst.

Mitgliedschaftssysteme

Ein weiterer effektiver Ansatz, um Inhalte deiner WordPress-Seite vor unbefugten Zugriffen zu schützen, ist die Implementierung von Mitgliedschaftssystemen. Mitgliedschaftssysteme erlauben es dir, exklusive Inhalte nur für registrierte Benutzer zugänglich zu machen.

Einzelne Beiträge und Seiten passwortgeschützt machen

Um einzelne Seiten und Beiträge deiner WordPress-Seite mit einem Passwort zu versehen, gehe wie folgt vor:

Seiten oder Beiträge bearbeiten, die du schützen möchtest.
Unter Status und Sichtbarkeit die Option „Passwortgeschützt“ auswählen.
Passwort festlegen und speichern.

Dies ist besonders praktisch, wenn du nur bestimmte Inhalte schützen möchtest, wie beispielsweise interne Blogposts oder exklusive Artikel und Downloads. Nachdem du ein Passwort festgelegt hast, können nur noch Benutzer, die das Passwort kennen, auf diesen Inhalt zugreifen.

Spezifische Plugins für erweiterten Schutz nutzen

Prevent Direct Access und Download Monitor

Für zusätzlichen Schutz deiner Inhalte gibt es spezialisierte Plugins. Zu den bekanntesten gehören Prevent Direct Access und Download Monitor. Diese Plugins erweitern die Standardfunktionen von WordPress und bieten benutzerfreundliche Lösungen, um Inhalte nicht nur passwortgeschützt, sondern auch vor direkten Downloads oder geschützte Dateien vor unbefugtem Zugriff zu schützen.

PPWP und Passster

Wenn du ein extra Plugin benötigst, um deine Website noch sicherer zu machen, bieten sich auch PPWP oder Passster an, die dir noch weitere Kontrolloptionen zum Schutz deiner Inhalte geben und sich zudem auch nahtlos in den WordPress Customizer integrieren lassen.

Umgang mit technischen Herausforderungen

Caching

Der Einsatz von einem Passwortschutz kann gelegentlich technische Herausforderungen mit sich bringen, insbesondere in Verbindung mit Caching. Wenn passwortgeschützte Inhalte im Cache gespeichert werden, könnten sie versehentlich ungeschützt angezeigt werden. In solchen Fällen solltest du das Caching für passwortgeschützte Inhalte deaktivieren oder spezielle Einstellungen vornehmen, um diese Inhalte korrekt zu schützen.

Impressum und Datenschutzerklärung

Ein weiteres wichtiges Thema ist der Zugriff auf rechtlich relevante Seiten wie Impressum und Datenschutzerklärung. Auch wenn deine gesamte Seite durch die pflichtmäßige Eingabe des Passworts geschützt ist, muss der gesamte Inhalt dieser Seiten weiterhin zugänglich bleiben, um den gesetzlichen Anforderungen zu entsprechen.

WordPress-Login Seite und DSGVO-Konformität

Wenn Benutzer sich auf deiner Website anmelden müssen, um auf bestimmte geschützte Inhalte zuzugreifen, ist die Gestaltung einer DSGVO-konformen WordPress-Login-Seite essentiell. Die gesetzlichen Anforderungen umfassen klare Hinweise auf die Verwendung von Benutzernamen und Passwörtern sowie Links zu Impressum und Datenschutzerklärung. Auch die Sichtbarkeit und der Zugriff auf diese Seiten sollte gewährleistet sein, selbst wenn andere Teile deiner Website passwortgeschützt sind.

Benutzernamen und Passwort: Sicherstellen, dass die Eingabe benutzerfreundlich und sicher ist.
Sichtbarkeit: Alle rechtlich relevanten Informationen wie z.B. Impressum und Datenschutzerklärung müssen klar sichtbar sein.

Mit einer sorgfältig gestalteten Login-Seite stellst du sicher, dass deine Website nicht nur sicher, sondern auch rechtlich auf der sicheren Seite ist.

Regelmäßige Aktualisierung und Überwachung

Ein effektiver Passwortschutz erfordert regelmäßige Updates und kontinuierliche Überwachung. Deine aktivierten Schutzmaßnahmen sollten stets auf dem neuesten Stand gehalten werden, damit du gegen aktuelle Bedrohungen optimal gewappnet bist. Plugins helfen dir dabei, sicherzustellen, dass dein Schutz wirksam bleibt. Regelmäßige Updates schließen potenzielle Sicherheitslücken und verbessern die Gesamtleistung deiner Website.

Fazit und Empfehlungen

Zusammenfassend lässt sich sagen, dass der Passwortschutz ein zentraler Bestandteil für die Sicherheit deiner WordPress-Website ist. Ob du die gesamte Website absichern, ganze Seiten und Beiträge schützen oder spezifische Inhalte mit einem Passwort versehen willst – die richtigen Tools und Einstellungen helfen dir, deine Website sicher zu machen und sensible Inhalte effektiv zu schützen.

Meine Empfehlung ist dementsprechend, starke Passwörter zu verwenden, regelmäßig den Passwortschutz zu überprüfen und bei Bedarf zusätzliche Sicherheitsmaßnahmen zu ergreifen. So bleibt deine WordPress-Seite sicher und ist stets optimal geschützt.

The post WordPress-Website effektiv mit Passwort schützen appeared first on UltraPress - Das WordPress Tutorial für Dein Business.

WordPress Sicherheit verstärken: So machst du Deine Seite sicherer

Thorsten — Fri, 28 Apr 2023 11:04:41 +0000

WordPress Sicherheit verstärken: So machst du Deine Seite sicherer

Die wachsende Popularität des CMS WordPress (Content Management System) zieht nicht nur begeisterte Nutzer an, sondern leider auch immer mehr Hacker und digitale Unruhestifter. Für jeden, der eine WordPress-Website betreibt, wird das Thema Sicherheit daher immer relevanter. Aber keine Sorge, es gibt zahlreiche Möglichkeiten und Ressourcen, um Deine Seite vor solchen Bedrohungen zu schützen.

In dieser Anleitung zur WordPress-Sicherheit wirst Du zuerst über die bekanntesten Sicherheitslücken und Angriffsvektoren aufgeklärt. Anschließend stelle ich Dir praktische Maßnahmen vor, die Deine WordPress-Site robust gegenüber Angriffen machen. Und obwohl kein System zu 100% sicher ist, kann man mit diesen Maßnahmen die Risiken erheblich reduzieren.

Wie sicher ist WordPress?

Grundsätzlich ist WordPress ein sicheres CMS. Doch wie bei allen Technologien können Sicherheitsrisiken auftreten, vor allem wenn nicht kontinuierlich Maßnahmen zum Schutz ergriffen werden. Jährlich werden schätzungsweise 4,7 Millionen WordPress-Websites gehackt – das sind täglich ein fünfstelliger Betrag an Angriffen. Dabei bilden Themes mit nur 5,45% selten das Einfallstor; die überwältigende Mehrheit von 93,25% der Sicherheitslücken entsteht durch Plugins.

Hacker sind ständig auf der Suche nach neuen Wegen, um Systeme zu infiltrieren. Ihre Taktiken sind oft flächendeckend und zielen darauf ab, mehrere Websites gleichzeitig zu kompromittieren. Dies bedeutet, dass selbst wenn WordPress in seiner Grundform sicher ist, der Schlüssel zur Sicherheit in den Details liegt. Es ist wichtig, ständig auf dem neuesten Stand zu sein und Sicherheitsupdates regelmäßig durchzuführen. Durch die Verringerung der Angriffsfläche, etwa durch die Wahl sicherer Passwörter, die Aktualisierung von Themes und Plugins und die regelmäßige Überwachung der Website, wird die Wahrscheinlichkeit eines erfolgreichen Angriffs erheblich reduziert.

Sicherheit ist keine einmalige Aufgabe, sondern erfordert ständige Aufmerksamkeit und Pflege. Mit den richtigen Praktiken kannst Du Deine WordPress-Website effektiv schützen und ihre Integrität bewahren. Ich selbst habe das Thema WordPress Sicherheit übrigens komplett in die Hände der Spezialisten von WP-Wartung24 gelegt. Und damit fahre ich seit Jahren sehr gut.

Sicherheitslücken erkennen und beheben

Ein gutes WordPress Security Plugin sollte Deine Website regelmäßig nach Malware und anderen möglichen Sicherheitslücken und -verletzungen durchscannen. Akute Probleme können aber auch anderweitig zu Tage treten.

Unerwartete Einbrüche im Website-Traffic oder plötzliche Änderungen Deiner Google-Rankings könnten Hinweise auf solche Sicherheitsbedenken sein. Wenn solche Symptome auftreten, ist es ratsam, zusätzliche manuelle Überprüfungen durchzuführen. Ein externer Security Scanner kann hier ein nützliches Werkzeug sein. Durch Eingabe der Website-URL können diese Scanner Deine Website auf bekannte schädliche Inhalte prüfen.

Allerdings beschränkt sich die Rolle der Scanner auf die Erkennung. Das tatsächliche Entfernen der identifizierten Malware oder das Reinigen der gehackten Website liegt in Deiner Verantwortung. Hierbei sind Backups von unschätzbarem Wert. Sie bieten eine Sicherheitskopie Deiner Website, falls die manuelle Bereinigung nicht erfolgreich ist oder zu kompliziert erscheint. Es wäre weise, in solchen Fällen auf WordPress Sicherheitsexperten zurückzugreifen.

Auch wenn Du den Eindruck hast, ein Problem sei gelöst, können Hacker Hintertüren, die nicht ordentlich dich gemacht werden, erneut für ihre Angriffe nutzen.

Schwachstellen und mögliche Angriffe auf Deine WordPress Sicherheit

Brute-Force-Angriffe auf den WordPress Login

Als Eingangstür zu Deinem Backend ist der reguläre Login von Haus aus ein beliebtes Ziel für unerwünschte Besucher. Bei sogenannten Brute-Force-Angriffen versuchen sich Hacker mit automatisierten Skripten Zugang zu verschaffen, indem sie zig verschiedene Passwörter ausprobieren. Diese Skripte profitieren von schwachen Passwörtern.

Dagegen wehren kannst Du Dich neben starken Passwörtern unter anderem mit der Begrenzung von Anmeldeversuchen, der Anmelde-Überwachung oder einer zweistufigen Authentifizierung beim Login. Dazu gibt´s weiter unten jeweils mehr Details.

Backdoors – Eindringen durch die Hintertür

Abseits des regulären Logins gibt es bei WordPress ein paar mögliche Hintertürchen für Hacker, um dort großen Schaden anzurichten. In dem Test von Sucuri hatten ganze 60,04% der infizierten Website mindestens eine Backdoor.

Oft sind es veraltete WordPress-Versionen, bei denen solche Backdoors unzureichend gesichert sind. Potenzielle Eindringliche bekommen durch eine Backdoor den Zugriff auf Deinen Server, ohne einen Login zu benutzen.

Ob es so eine Schwachstelle bei Dir gibt, lässt sich zum Beispiel mit dem Security Checker von Sucuri herausfinden.

Auch hier empfehlen sich gleich mehrere Maßnahmen, die das Sicherheitsrisiko zumindest eindämmen: Beispielsweise helfen die Einschränkung des Admin-Zugriffs oder das Einschränken von PHP-Ausführung. Die Zwei-Faktor-Authentifizierung kann den Zugriff auch nochmal ein wenig erschweren, da sie das einfache Übernehmen von Login-Daten erschwert.

DoS/DDoS – Denial of Service Angriffe

Denial of Service Angriffe (DoS-Angriffe) wollen den Speicher Deiner WordPress Installation überlasten und so Deine Website unzugänglich machen. Hacker penetrieren den Server dabei mit einer Flut von Anfragen.

DoS-Angriffe auf Websites laufen zum Beispiel über massenhafte Spam-Kommentare oder Emails mit Schad-Code.

Eine spezielle Spielart dieser Angriffe ist der Distributed Denial of Service Angriff (DDoS-Angriff). Hier setzt der Angreifer ein Botnetz aus Tausenden von Rechnern ein, um möglichst viele Anfragen gleichzeitig an den Server der Seite rauszuballern. Wenn die Anfragen dann auch noch von vielen verschiedenen Orten kommen, wird es umso schwieriger, solch einen Angriff zu stoppen.

Verhindern kannst Du Attacken dieser Art leider nicht. Du kannst sie aber versuchen einzudämmen, zum Beispiel indem Du via Security Plugins automatische IP-Sperren einrichten lässt oder die Kommentarfunktionen einschränkst. Auch mit regelmäßigen WordPress Updates, starken Passwörtern und generellen Zugriffsbeschränkungen erschwerst Du solche Angriffe.

Zusätzliche WordPress Sicherheit kann ansonsten noch Dein Hoster auf einer höheren Ebene bieten. Denn er kann theoretisch Zugriffe auf das Netzwerk schon blocken, bevor diese zum Server kommen und diesen belasten.

SEO Spam Hacks

Bei SEO Spam Hacks schmuggeln Hacker Schadcode auf Deine Website, der meist Links zu illegalen Online-Apotheken enthält. Daher werden solche Angriffe auch „Pharma Hacks“ genannt.

Klickt ein Nutzer auf eine mit Pharma Hacks infizierte Website, wird er auf eine Online-Apotheke weitergeleitet. Die Hacker verdienen damit zum einen direkt Geld, und zum anderen sammeln sie so fleißig und unerlaubt Nutzerdaten.

Um vor solchen Hacks gewappnet zu sein, ist der beste Weg, regelmäßig WordPress Updates durchzuführen. Auch eine Firewall und andere Sicherheitsmaßnahmen tragen hier zu mehr WordPress Sicherheit bei.

Cross Site Scripting

Das Cross-Site Scripting (XSS) schmuggelt bestimmte Skripte in Deine Seite, Und diese Skripte senden dann schädlichen Code auf die Rechner Deiner Website Besucher. Zweck dieses Hacks ist meist das Sammeln von Cookie-Daten oder Session-Daten.

Vor allem in WordPress Plugins liegen diese Schwachstellen häufig. Deshalb solltest Du nicht nur auf regelmäßige Plugin Updates achten, sondern am besten auch nur so wenig wie möglich Plugins installieren.

Wie mache ich meine WordPress Seite sicher?

SSL-/TLS-Verschlüsselung – Datentransfer schützen

Die Sicherheit deiner WordPress-Seite sollte immer an erster Stelle stehen. Eine der Hauptmaßnahmen, um deinen digitalen Auftritt zu schützen, ist die Implementierung einer SSL-/TLS-Verschlüsselung. Durch diese Sicherheitsprotokolle werden Daten zwischen dem Browser deiner Besucher und deinem Webserver in verschlüsselter Form übertragen. Das schützt nicht nur sensible Informationen wie Login-Daten, sondern verhindert auch, dass Dritte leicht Zugriff darauf erlangen.

Zunächst benötigst du ein Zertifikat von einer sicheren Zertifizierungsstelle. Viele Hoster bieten hier die Integration von Let’s Encrypt mit einem Klick an, eine kostenfreie Lösung. Sobald du das Zertifikat hast, geht es an die Installation. Dabei wird die Domain validiert, das Zertifikat generiert und schlussendlich auf deinem Server installiert. Dieser Prozess kann je nach Hosting-Umgebung variieren, aber in der Regel bieten gute Hoster hier Unterstützung an. Nach der Installation prüfst du am besten, ob alles funktioniert, indem du deine Website mit „https://“ aufrufst. Sofern keine Fehlermeldung kommt, war die Integration erfolgreich.

Eine SSL-/TLS-Verschlüsselung ist in der heutigen Zeit nicht nur ein Muss aus Sicherheitsgründen, sondern auch, um das Vertrauen deiner Besucher zu gewinnen. Denn eine sichere Website ist die Basis für eine erfolgreiche Online-Präsenz.

Unser Partner für WordPress Support, Updates und Wartung

Leistungen + Preise

WordPress Security Plugins

Neben den Backups empfiehlt sich als Standard ein Sicherheitssystem, das durchgehend überwacht, was auf Deiner Seite passiert. Dazu gehören vor allem die Überwachung der Dateien, Anmeldeversuche, Scans auf Malware und andere Bedrohungen.

Diese Überwachung erledigen allgemeine Security Plugins , die daneben noch eine Reihe weiterer Sicherheitsfunktionen erfüllen und auf jeden Fall auf Deiner Website im Hintergrund laufen sollten.

Security Plugins , die sich großer Beliebtheit erfreuen, sind beispielsweise:

Das Beispiel NinjaFirewall arbeitet insbesondere als eigenständige Firewall, die dem WordPress CMS vorgeschaltet ist. Da wir mit dem Plugin arbeiten, hier ein paar Details dazu, um einen Überblick zu bekommen, was so ein Security Plugin sonst noch so macht:

WordPress Sicherheit Plugin: NinjaFirewall als Beispiel

Blick ins Unter-Menü von Ninja Firewallt, somit auch auf Dateien, die von Hackern hochgeladen wurden.

Filtern: HTTP/HTTPS-Anfragen scannen, bereinigen oder auch ablehnen zum Schutz der Skripte aus den Installationsverzeichnissen und Unterverzeichnissen (Umgehungs- und Verschleierungstaktiken von Hackern können so beispielsweise erkannt werden).
Brute-Force-Angriffsschutz: Mit Verarbeitung von HTTP-Anfragen, die der eigentlichen WordPress-Installation vorgeschaltet ist.
Echtzeiterkennung: Erkennen jedes Zugriffs auf eine PHP-Datei, somit auch auf Dateien, die von Hackern hochladen.
Dateien überwachen: Erkennen jeder Änderung an einer Datei, egal ob in Bezug auf Dateiinhalt, Dateiberechtigungen, Dateibesitz oder Zeitstempel.
Traffic loggen: Verfolgen des Website Traffics in Echtzeit.
Benachrichtigungen: Info via Email über bestimmte Ereignisse auf Deiner Seite, so dass Du im Notfall manuell eingreifen kannst (zum Beispiel Administratoranmeldung, Änderungen von Administratorkonten, neue oder geänderte Plugins und Themes, WordPress-Updates, ausstehende Sicherheitsupdate in Plugins und Themes).
Aktueller Schutz vor WordPress-Sicherheitsschwachstellen: NinjaFirewall kann Sicherheitsregeln automatisch täglich, zweimal täglich oder auch stündlich aktualisieren, wenn neue Schwachstellen gefunden wurden.
Datenschutz: Filterung des Datenverkehrs auf Deinem Server, wodurch sensible Daten (Kontaktformularnachrichten, Anmeldeinformationen usw.) auf Deinem Server verbleiben, anstatt in die Cloud auf die Server von Drittunternehmen zu gelangen.
IPV6-Unterstützung: IPv6 steht für IP-Version 6 und ist die neueste Generation des Internet-Protokolls (IP), was Hackern und Co. die Arbeit wieder etwas erschwert.
Option für eigenen PHP-Code vor der Firewall: Eigene Sicherheitsregeln greifen, bevor WordPress und alle seine Plugins laden, was natürlich eher eine Funktion für Profis ist.
Unix-Shared-Memory-Nutzung: Kommunikation zwischen einzelnen Prozessen und verbesserter Performance.
Zugriffskontrolle: IPs, Rollen, Länder (Geo-Lokalisierung), URLs, Bots
Antispam: Für Kommentar- und andere Formulare.
Blockierung: Aggressive Bots, Crawler, Web Scraper und HTTP-Angriffe können geblockt werden.
Response-Body-Filter: Ausgabe von HTML-Seiten scannen, bevor sie an den Browser des Website-Besuchers gesendet werden.

Firewall für WordPress Systeme – Der Burggraben Deiner Website

Eine Website Firewall blockiert grob gesprochen den schädlichen Traffic, bevor er Deine Website erreicht.

Wenn Dein allgemeines Sicherheits-Plugin keine eigene Firewall enthält, solltest Du anderweitig einen solchen Schutzwall aufbauen. Dabei gibt es zwei generelle Arten von Plugins:

Website Firewall via Cloud – Diese Firewalls leiten Deinen Website Traffic über eigene Server in der Cloud.
Firewall auf Anwendungsebene – Solche Plugins untersuchen den Datenverkehr bei Erreichen Deines Servers, bevor die meisten WordPress-Skripte geladen werden.

Regelmäßige Backups – für zusätzliche Sicherheit

Nichts ist 100-prozentig sicher – auch nicht Deine WordPress Website, egal wie gut Du sie absicherst. Du kannst Dir aber eine Art Rückversicherung in Form von Backups gegen jede Art von Angriff auf Deine Website oder sonstige technische Probleme aufbauen.

Mit einem Backup kannst Du Deine Seite schnell wiederherstellen, falls mal etwas Blödes passiert.

Im Idealfall sorgst Du für eine Speicherung der Backups auf einem externen Server. Also nicht da, wo auch Deine WordPress Website liegt.

Für das automatische und regelmäßige Erstellen von Backups gibt es zum Glück eine Reihe von guten Plugins. BackupBuddy, UpdraftPlus oder BackWPup sind gute Beispiele. Für UltraPress.de lassen wir die Backups immer im Rahmen unserer regelmäßigen WordPress Wartung durch unseren Partner WP-Wartung24 mit einem eigenen Tool machen, das separat vom Server läuft. Als zusätzliche Fallback-Lösung setzt das Team auf BackWPup.

WordPress Updates – WordPress Sicherheit aktuell halten

Ein dynamisches System wie WordPress benötigt regelmäßige Pflege und eine neuere WordPress Version. Aktuelle WordPress Updates sind dabei essentiell, um Deine Webseite sicher zu halten. Sie sind nicht nur für neue Funktionen und verbesserte Performance zuständig, sondern adressieren entscheidend neu aufgedeckte Sicherheitsprobleme.

Indem Du aktuell bleibst und diese Updates zeitnah einspielst, stellst Du sicher, dass Deine Seite stets geschützt ist und sich gegen die neuesten Bedrohungen wehrt. Das Vernachlässigen von Aktualisierungen könnte Tür und Tor für potenzielle Angriffe öffnen. Es liegt in Deiner Hand, Deine Webseite und ihre Besucher zu schützen.

Eine neuere PHP-Version

PHP ist die Programmiersprache, auf der WordPress aufbaut. Aber keine Sorge, Du musst jetzt kein PHP lernen, sondern nur dafür sorgen, dass bei Deine Website die neueste PHP-Version verwendet. Und das entscheidet sich bei Deinem Hosting.

So sieht die Wahl der PHP-Version beispielsweise bei unserem Hoster All-Inkl aus:

PHP-Version wählen bei Hoster All-Inkl

Bei der Wahl des Hosters ist daher wichtig, dass dieser immer die neuesten PHP-Versionen unterstützt. Denn je älter eine PHP-Version, umso anfälliger wird das Ganze für Probleme und Angriffe.

Eigene Sicherheitsmaßnahmen

Das Bewusstsein für die eigene digitale Sicherheit ist fundamental. Viele von uns nehmen an, gewisse Grundsicherheitsmaßnahmen bereits zu kennen, doch es lohnt sich, sie erneut hervorzuheben.

Das einfache Öffnen eines Links aus einer dubiosen E-Mail kann eine Tür für Angreifer öffnen. Besonders bei Nachrichten von unbekannten Absendern sollte stets Vorsicht geboten sein. Aber nicht nur E-Mails bergen Risiken. Ein verlockendes Angebot auf einer Webseite, ein vermeintlicher Freund in einem sozialen Netzwerk, der einen seltsamen Link teilt, kann ebenfalls gefährlich sein.

Es ist daher unerlässlich, jeden Klick zu hinterfragen und regelmäßige Sicherheitsupdates aller verwendeten Software durchzuführen. Ein fundiertes Wissen über Sicherheitsbedrohungen und proaktive Schutzmaßnahmen schützt nicht nur die eigene WordPress-Website, sondern auch die digitale Identität und Integrität. Es ist immer besser, vorsichtig zu sein, als später die Folgen von Sicherheitslücken zu bereuen.

Login ins WordPress Backend schützen

Username „admin“ austauschen

Programmierer sind eigentlich kreative Menschen, da Sie die unglaublichsten technischen Konstruktionen erschaffen. Doch manchmal sind sie auch nicht besonders kreativ. So kam es, dass früher als WordPress-Admin-Benutzername der Name „admin“ standardmäßig eingesetzt wurde.

So ein Benutzernamen macht immerhin die Hälfte der Anmeldeinformationen aus, was für Hacker schon die Andeutung eines roten Teppichs ist.

Glücklicherweise läuft das bei WordPress mittlerweile anders. Direkt bei der WordPress-Installation bist Du quasi gezwungen einen eigenen Benutzernamen zu definieren.

Allerdings kann es Dir bei One-Click-WordPress-Installern passieren, dass sich der Admin-Benutzername automatisch auf „admin“ setzt. Das wäre schon mal ein schlechtes Zeugnis für Deinen Hoster.

Was kann man da machen, außer den Hoster zu wechseln? Da es bei WordPress nicht möglich ist, Benutzernamen zu ändern, ist die naheliegendste Option, einfach einen neuen Admin-Benutzer zu erstellen und den alten zu löschen.

Es gibt zum Ändern von Benutzernamen zwar auch noch Plugins und einen Weg über die Datenbank. Dies lassen wir hier aber mal außen vor, da es die Sache in meinen Augen unnötig verkomplizieren würde.

Anmeldeversuche limitieren

Da sich Benutzer bei WordPress so oft hintereinander anmelden können, wie sie möchten, ist Deine Website von Haus aus anfällig für sogenannte Brute-Force-Angriffe. Hacker versuchen dabei, Passwörter zu knacken, indem sie ganz stumpf zig verschiedene Benutzer-Passwort-Kombinationen automatisiert eingeben.

Das kannst Du recht einfach unterbinden durch das Begrenzen fehlgeschlagener Anmeldeversuche eines Benutzers. Ein Firewall-Plugin wie Ninja Firewall erledigt so etwas automatisch mit.

Ohne ein solches Firewall Plugin kannst Du zum Beispiel auch das Login LockDown-Plugin oder das Plugin Limit Login Attempts Reloaded nehmen.

Mit Zwei-Faktor-Authentifizierung anmelden

In der Zwei-Faktor-Authentifizierung müssen sich Benutzer immer in zwei Schritten anmelden:

Der erste Schritt besteht ganz normal aus Benutzername und Passwort.
Im zweiten Schritt musst Du Dich mit einer separaten App (in der Regel auf dem Handy) authentifizieren.

Sowas kennst Du sicher von den ganz großen Playern Google, Facebook, aber Du kannst die gleiche Funktionalität auch für Deine Website nutzen.

Installiere dazu das Zwei-Faktor-Authentifizierungs-Plugin auf Deiner Website sowie eine Authentifizierungs-App auf Deinem Handy, wie beispielsweise Google Authentificator oder Authy.

Das Handling Deiner Website wird so für Dich leider etwas unkomfortabler. Von daher ist es auch im gewissen Maße Abwägungssache, ob Du das so für Dich einsetzen willst.

Passwort sicher machen

Die Sicherheit von Passwörtern sollte eigentlich eine Selbstverständlichkeit sein, und gerade für die Sicherheit von WordPress Websites ist sie ein zentraler Baustein. Passwörter sind logischerweise häufig Ziel von Hackern, denn damit lässt sich einfach eine Menge Unsinn anstellen.

Für die Passwörter Deiner WordPress Website gilt es folgende Punkte zu beherzigen:

Vermeide gängige Wörter oder Phrasen.
Verwende Kombination aus Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen.
Gib Deinem Passwort mindestens 16 Zeichen.
Verwende nicht dasselbe Passwort für mehrere Konten.
Ändere Dein Passwort immer mal wieder, zum Beispiel alle drei Monate als Routine.
Hast Du einen Verdacht auf Kompromittierung Deiner Website, ändere das Passwort sofort.
Nutze einen Passwort-Generator wie beispielsweise den von LastPass, um sichere Passwörter zu erstellen, die zufällig, komplex und schwer zu knacken sind. Ergänzend dazu eignet sich ein Passwort-Manager, damit Du Deine Passwörter nicht vergisst.

Viele der genannten Punkte zur Passwort-Sicherheit kannst Du auch direkt mit einem solchen Passwort-Generator checken.

Sicherheitsfragen beim WordPress Login

Eine weitere Sicherheitsstufe, die Du sicher auch von anderen Online Tools mit Login kennst, sind Sicherheitsfragen. Der Nutzer muss diese beantworten, sonst kann er oder sie sich nicht ins Backend einloggen.

Solche Sicherheitsfragen kannst Du zur weiteren WordPress Security mit einem zusätzlichen Plugin umsetzen. Ein Beispiel ist das Plugin Two Factor Authentication, das auch noch ein paar weitere sicherheitsrelevante Funktionen im Gepäck hat.

Wenn ein Benutzer eine Frage beantwortet, checkt das Plugin die Antwort. Ist die Antwort richtig, wird der Benutzer zur nächsten Seite weitergeleitet. Ansonsten bekommt er die Möglichkeit, die Frage nochmal zu beantworten oder sich per Email oder anderweitig zu verifizieren.

Inaktive Benutzer automatisch abmelden

Ist ein Benutzer nicht mehr aktiv, sollte er oder sie auch nicht mehr eingeloggt bleiben. Auch diese Sicherheitsmaßnahme kannst Du mit einem kostenlosen Plugin umsetzen: Inactive Logout.

In der Konfiguration des Plugins kannst Du noch verschiedene Nachrichten für ausgeloggte Benutzer und einige weitere Stellschrauben individuell einstellen. Dazu gehört vor allem die Zeit, nach der ein Benutzer automatisch abgemeldet wird.

Das Plugin „Inactive Logout“ im WordPress Backend

Anstatt der automatischen Abmeldefunktion kannst Du auch einfach nur die Option „Nur Warnmeldung anzeigen“ aktivieren. Dann bekommt der User nur eine Warnmeldung angezeigt, aber er bleibt angemeldet.

Sind WordPress Plugins sicher?

Ja, viele WordPress Plugins sind sicher, wenn sie von vertrauenswürdigen Entwicklern stammen und regelmäßig aktualisiert werden. Allerdings gibt es auch Ausnahmen.

WordPress Plugins erweitern die Funktionalität Deiner Website, weshalb ihre Sicherheit essentiell ist. Es ist empfehlenswert, nur Plugins aus dem offiziellen WordPress-Repository oder von renommierten Drittanbietern zu installieren. Du solltest stets darauf achten, dass das Plugin regelmäßige Updates erhält und positive Bewertungen hat. Veraltete oder wenig bekannte Plugins können potenzielle Sicherheitslücken enthalten. Ein gutes WordPress Security Plugin kann hierbei unterstützen und Deine Seite vor bekannten Gefahren schützen. Dennoch bleibt die Verantwortung, stets wachsam zu sein und Plugins nur nach sorgfältiger Prüfung zu installieren. Denn Sicherheit im digitalen Raum ist nicht nur eine Technologiefrage, sondern auch eine Frage des bewussten Handelns.

Wie merke ich, ob meine Website gehackt wurde?

Ob Deine WordPress-Website gehackt wurde, erkennst Du an ungewöhnlichen Veränderungen wie neuen unbekannten Inhalten, Links oder Benutzerkonten sowie an einer verlangsamten Ladezeit.

Ein gehacktes WordPress kann sich durch eine Reihe von Signalen bemerkbar machen. Ungewollte Änderungen auf Deiner Website sollten Dich aufmerksam machen. Hierzu zählen beispielsweise neue Beiträge, Seiten oder Links, die ohne Dein Zutun erscheinen. Auch wenn sich ohne ersichtlichen Grund die Ladezeit Deiner Website drastisch verlangsamt oder wenn Dein Webseiten-Traffic unerklärliche Einbrüche erleidet, könnten dies Indizien für eine Kompromittierung sein. Zudem ist es alarmierend, wenn plötzlich unbekannte Benutzerkonten in Deinem WordPress auftauchen. Prüfe regelmäßig Deine Website auf solche Anomalien, um sicherzustellen, dass sie frei von schädlichen Aktivitäten bleibt.

Experten-Tipps für noch mehr Sicherheit

Für mehr WP-Sicherheit: Sichere Dateinamen verwenden

Deine Daten und Dateien sind im WordPress-System sicherer, wenn Du auch beim Vergeben von Dateinamen das Thema WordPress Sicherheit mit einbeziehst. Dazu bieten sich folgende Einzelmaßnahmen:

Keine sensiblen Informationen: Verwende in Dateinamen keine sensiblen Informationen wie Benutzernamen, Passwörter oder andere persönliche Daten.
Keine Duplikate: Benenne Deine Dateien nicht so, wie schon andere Dateien auf deiner Website benannt wurden. Das ist zwar sicherheitstechnisch nicht so wahnsinnig relevant, kann aber zu Verwechslungen oder Problemen führen.

Dateiberechtigungen zur WordPress Sicherheit einstellen

Prüfe die Berechtigungen deiner Dateien und Ordner darauf, dass nur notwendige Benutzer darauf zugreifen können. Generell sollten 777-Berechtigungen möglichst vermieden werden, da diese allen Benutzern die Berechtigung zum Lesen, Beschreiben und Ausführen der jeweiligen Dateien oder Ordner geben.

WordPress hat zudem einen eigenen Code-Editor, mit dem Du Design- und Plugin-Dateien direkt im WordPress Backend bearbeiten kannst. Doch dies ist Fluch und Segen zugleich.

Denn verschafft sich jemand Zugriff zu dieser Funktion, ist das ein handfestes Sicherheitsrisiko. Stell´ die Funktion daher am besten aus. Dazu musst Du den folgenden Code in Deine wp-config.php-Datei einfügen:

1 // Disallow file edit
2 define( ‚DISALLOW_FILE_EDIT‘, true );

Alternativ kannst Du diese Einstellung auch in verschiedenen Sicherheits-Plugins vornehmen.

Ausführung von PHP-Dateien deaktivieren

Ein weiterer Schritt zu mehr WordPress Security liegt im Deaktivieren der Ausführung von PHP-Dateien in bestimmten Verzeichnissen. Wähle dabei die Verzeichnisse aus, die PHP nicht benötigen, zum Beispiel /wp-content/uploads/.

Erstelle dazu eine Text-Datei mit folgendem Code:

1
2 deny from all
3

Diese Datei speicherst Du als .htaccess lädst sie via FTP in die Ordner /wp-content/uploads/ auf Deiner Website. Auch das geht alternativ ohne Code mit einigen WP Security Plugins. Ein hilfreicher Tipp ist es, zusätzlich eine .htpasswd-Datei zu konfigurieren, die zusammen mit der .htaccess-Datei einen zusätzlichen Authentifizierungsschritt schafft. Diese Konfiguration schützt den Zugang zu bestimmten Pfade deiner Website, indem sie Benutzernamen und Passwort abfragt, bevor der Zugang gewährt wird.

WordPress Datenbankpräfix ändern

Standardmäßig verwendet WordPress für alle Tabellen in der Datenbank das Präfix „wp_“. Damit können Hacker relativ leicht den jeweiligen Tabellennamen erraten. Mit einer Änderung hast Du wieder einen Tick mehr WordPress Sicherheit. Der Sicherheitseffekt beim Ändern des Präfix ist jedoch relativ gering. Denn ein Angreifer kann via Backdoor-Zugriff mit einem einfachen vorgeschalteten Befehl den Präfix ermitteln.

Trotzdem schadet es nicht, den Präfix zu ändern. Zumindest die ganz stumpfen Angriffe kannst Du zu verhindern.

Aber: Auch als Programmierer solltest Du hier Vorsicht walten lassen, denn mit solch Anpassungen kannst Du das WordPress System schädigen. Du solltest den Präfix vor allem nur bei einer frischen Installation ändern, weil nachträgliche Anpassungen für die Systemstabilität gefährlich sein können.

Als Nicht-Programmierer kann ich zu derartigen Maßnahmen also nur raten: Lieber Finger weg.

Verzeichnisindizierung und -suche deaktivieren

Hacker können möglicherweise Verzeichnisse Deiner Website durchsuchen, um nach Dateien mit bekannten Schwachstellen zu schauen. Auch das reine Betrachten von Dateien, das Kopieren von Bildern oder ähnlichem ist von Dir vielleicht nicht gewünscht.

Um das zu verhindern, kannst Du die Verzeichnisindizierung und das Durchsuchen von Verzeichnissen deaktivieren.

Über FTP oder einen Dateimanager musst Du dazu erstmal die .htaccess-Datei im Stammverzeichnis Deiner Website finden. Am Ende der .htaccess-Datei ist dann diese Zeile einzufügen:

Options -Indexes

Dann natürlich noch .htaccess-Datei abspeichern und wieder hochzuladen.

XML-RPC deaktivieren

XML-RPC steht für „Extensible Markup Language Remote Procedure Call“ und ist eine Spezifikation für Remote-Aufrufe in Netzwerken über die Auszeichnungssprache XML. Damit hilft es, WordPress Websites mit Web-Apps oder mobilen Apps zu verbinden.

Brute-Force-Angriffe machen sich das gern zunutze. XML-RPC kann gleich mehrere Befehle innerhalb einer HTTP-Anfrage übergeben. Und genau das kann auch für böswillige Absichten eingesetzt werden.

Bestimmte WordPress Plugins basieren zwar auf XML-RPC, aber im Sinne der Sicherheit solltest Du lieber darauf verzichten. Deaktiviere also den Zugriff darauf. Bevor Du das machst, ist aber zu checken, ob XML-RPC überhaupt bei Dir läuft.

Zum Deaktivieren gibt es das Plugin Disable XML-RPC-API.

Fazit – WordPress Sicherheit ist machbar

Kein System ist zu 100 Prozent sicher. Aber Du kannst einiges dafür tun, Deine WordPress Website gegen die verbreitetsten Angriffsmethoden zu wappnen.

Wichtig dabei: WordPress Sicherheit ist kein Kurzzeit-Projekt. Natürlich gilt es, einmal zu Beginn diverse Maßnahmen für WordPress Sicherheit umzusetzen. Wirklich wirksam ist Dein ganzer Schutz jedoch nur, wenn Du WordPress Sicherheit als Dauer-Thema betrachtest.

Sprich, neben einem gründlichen Setup aller Sicherheitsmaßnahmen braucht Deine Website monatliche oder wöchentliche Routinen, die für Updates sorgen, die Systeme beobachten, und eben auch punktuelle Eingriffe beinhalten können.

Als Nicht-Programmierer kannst Du schon einen guten Teil davon abdecken. Im professionellen Einsatz würde ich allerdings immer einen Rundum-Service wie WP-Wartung24 empfehlen. Nicht nur, weil Deine WordPress Sicherheit von Profis hergestellt wird, sondern ganz einfach weil Du Dir auf dem Wege einiges an technischem Gefrickel und Zeit sparst.

Unser Partner für WordPress Support, Updates und Wartung

Leistungen + Preise

The post WordPress Sicherheit verstärken: So machst du Deine Seite sicherer appeared first on UltraPress - Das WordPress Tutorial für Dein Business.

Die 7 wichtigen Aufgaben für eine DSGVO-konforme WordPress-Website

Thorsten — Tue, 08 May 2018 10:34:23 +0000

Kein Tag vergeht aktuell ohne Meldungen, Berichte und Einschätzungen über die DSGVO (Datenschutz- Grundverordnung). Die DSGVO ist DAS große Thema, das derzeit alle online tätigen Unternehmen verbindet.

Obwohl die Zeit bis zum Inkrafttreten der DSGVO am 25. Mai 2018 nicht mehr lang ist, besteht zunächst einmal kein Grund zur Panik. Für das einzelne Unternehmen stellen sich eine ganze Reihe von Fragen und auch gewisse Grauzonen. So wenden sich derzeit viele unserer Kunden an uns mit der Frage, was sie konkret im Hinblick auf ihre Website tun müssen.

Deshalb möchten wir in diesem Beitrag die 7 wichtigsten Aufgabenfelder erläutern, die Du als Website-Betreiber zu beachten hast, um Deine Website DSGVO-konform zu gestalten. Mit unserem Partner WP-Wartung24 geben wir Dir dazu auch konkrete Angebote zur Unterstützung mit, insbesondere einen DSGVO-Check.

(Dieser Artikel ersetzt keine Rechtsberatung. Wir haben uns intensiv mit den neuen Datenschutzbestimmungen beschäftigt und empfehlen Dir nun Maßnahmen, erheben aber nicht den Anspruch auf Vollständigkeit und Richtigkeit und übernehmen dafür keine Haftung.)

Worum geht es bei der DSGVO überhaupt?

Die Grundverordnung regelt in allen EU-Mitgliedsstaaten den Umgang mit personenbezogenen Daten. Dazu zählen:

Name
Adresse
Email-Adresse
Telefonnummer
Geburtsdatum
Kontodaten
IP-Adressen
Standortdaten
Nutzerverhalten

Nur Daten, die gänzlich anonymisiert werden, gelten nicht mehr als personenbezogen.

Jedes Unternehmen erhebt, verwendet und speichert somit personenbezogene Daten. Auch als Webseitenbetreiber verarbeitest Du solche Daten. Dies erfolgt direkt oder auch indirekt an folgenden Stellen:

WordPress-Kommentarfunktion
Registrierungsmöglichkeiten (Shop, Mitgliederbereiche)
Kontaktformular
Analyse- und Tracking-Tools (Google Analytics, Facebook Pixel)
diverse Plugins

Was kannst Du nun tun, um Deine Website DSGVO-konform zu betreiben? In den folgenden Aufgaben solltest Du Dich am besten von außen nach innen vorarbeiten. Zuerst kümmerst Du Dich um das, was nach außen auf Deiner Website sichtbar ist. Danach erstellst Du alle notwendigen Dokumente und Verzeichnisse.

Aufgabe 1: Mache eine Bestandsaufnahme.

Erstelle eine einfache Tabelle mit allen Informationen zur Datenerhebung auf Deiner Website. Erfasse genau, welche Daten Du direkt erhebst:

Welche Formularfelder fragst Du ab?
Warum fragst Du sie ab?
Welche Felder sind Pflichtfelder? Und informierst Du über diese Erhebung?

Prüfe, welche Tools (Plugins, Newsletter-Systeme,…) auf Deiner Website indirekt Daten erheben.

Sind die Kontaktformulare okay, erfolgt die Kommunikation SSL-verschlüsselt?
Gibt es gegebenenfalls Optin- oder Optout-Möglichkeiten?
Informierst Du schon über diese Erhebung?
Gibt es hinsichtlich Blog-Kommentarfunktion, Emojis, Google Fonts, Youtube-Videos, etc. problematische Bereiche?

Möchtest Du das Durchchecken Deiner Website und die erforderlichen Maßnahmen nicht selbst machen, dann empfehlen wir Dir den DSGVO-Check von unserem Partner WP-Wartung24.

Zum DSGVO-Check bei WP-Wartung24

Aufgabe 2: Passe Deine Datenschutzerklärung an.

Die Datenschutzerklärung ist das, was am einfachsten zu kontrollieren ist. Deshalb solltest Du hier ein großes Hauptaugenmerk darauf legen. Informiere ausführlich und in leicht verständlicher Sprache darüber, welche Daten Du wo, warum und mit welcher Rechtsgrundlage erhebst.

Lasse Dich im Zweifel von einem Rechtsanwalt oder Datenschützer beraten, oder nutze den Service von eRecht24, die im Premium-Abo einen Generator zur Erstellung einer Datenschutzerklärung anbieten. Prüfe aber auch hier, ob alle Aspekte Deines Unternehmens und Deiner Website berücksichtigt werden.

Aufgabe 3: Sichere Anonymität bei der Datenübertragung.

Formulare

Bietest Du auf Deiner Website ein Kontaktformular an, so informiere direkt am Formular über die Verwendung der Daten und ergänze die Datenschutzerklärung entsprechend. Hör Dir dazu eine sehr interessante Stellungnahme über den DSGVO-konformen Einsatz von Kontaktformulare von Rechtsanwalt Stephan Hansen-Hoest.

Ein weiteres Formular auf Deiner Website ist das Kommentarformular. Hier speichert WordPress die IP-Adressen der Kommentarschreiber. Dies kannst Du zum Beispiel durch ein kleines Plugin Remove IP unterbinden.

Standardmäßig sind die Angabe von Name und Email-Adresse Pflichtangaben bei der Erstellung eines Kommentars. Im Dashboard unter „Einstellungen – Diskussion“ kann diese Voreinstellung deaktiviert werden. Informiere am Kommentarformular klar über die Verwendung der Daten.

SSL-Verschlüsselung

Ohne eine SSL-Verbindung ist keine sichere Datenübertragung möglich. Daher benötigst Du zwingend für Deine Website ein gültiges SSL-Zertifikat, wenn darüber User mit Dir kommunizieren. Dies ist beispielsweise der Fall, wenn Du ein Kontaktformular verwendest. Du erkennst eine sichere und verschlüsselte Website an dem HTTPS in der Adresszeile.

Die Umstellung auf HTTPS, also auf die SSL-Verschlüsselung kannst Du auch direkt über unseren Partner WP-Wartung24 machen lassen.

Zur SSL-Umstellung bei WP-Wartung24

Aufgabe 4: Halte Theme und Plugins DSGVO-konform.

Plugins

Überprüfe Deine installierten Plugins und Widgets auf DSGVO-Konformität, da einige Plugins personenbezogene Daten weitergeben. Kritisch sind Plugins wie Akismet, Gravatar und Jetpack. Setze als Antispam-Schutz lieber auf Antispam Bee, das sich mit den richtigen Einstellungen DSGVO-konform einsetzen lässt.

Gravatare können im Dashboard unter Einstellungen deaktiviert werden.

Eine umfangreiche Liste mit WordPress-Plugins im DSGVO-Check hat Finn Hillebrandt von Blogmojo zusammengestellt.

Eine gute Sicherheitsüberwachung und regelmäßige WordPress- und Plugin-Updates sorgen außerdem für notwendige WordPress Sicherheit. Auch dazu kann ich wieder absolut die Spezialisten von WP-Wartung24 empfehlen.

Ob überhaupt einzelne Plugins bei Dir kritisch sein könnten, wird natürlich auch im DSGVO-Check untersucht.

Cookie Banner

Willst Du nicht mit Deiner Website abgemahnt werden, solltest Du unbedingt einen Cookie-Banner einsetzen und somit auf den Einsatz von Cookies hinweisen. Ausführliche Informationen zu der rechtlichen Seite von Cookies findest Du bei eRecht24. Bitte beachte, dass Dein Cookie-Banner in keinem Fall Deine Links zu Deinen Datenschutz- und Impressums-Seiten überdecken darf.

Aufgabe 5: Stelle Deine Marketing Tools DSGO-konform ein.

Google Analytics

Um das Analyse-Tool Google Analytics datenschutzkonform einsetzen zu können, müssen folgende Punkte umgesetzt werden:

Auftragsverarbeitungsvertrag und Zusatz zur Datenverarbeitung mit Google abschließen
Maskierung der IP-Adresse („anonymizeIP“)
Widerspruchsmöglichkeiten (Opt-out): Deaktivierungs-Add-On und Disabling Tracking bieten. Google gibt dazu hier eine Hilfestellung.
Entsprechende Hinweise in Deiner Datenschutzerklärung
Keine Aktivierung der User-ID

Facebook-Marketing

Verwendest Du den Facebook Pixel ohne erweiterten Abgleich, musst Du darüber detailliert in der Datenschutzerklärung informieren und eine Opt-Out-Möglichkeit bieten. Nutzt Du den Facebook Pixel mit “Custom Audiences”, ist zusätzlich eine Einwilligung, ein Opt-In notwendig. Eine Anleitung für einen rechtssicheren Einsatz bietet der Rechtsanwalt Dr. Schwenke.

Nutzt Du Email-Marketing? Dann müssen diese Prozesse angepasst werden. In den Anmeldeformularen darf nur die Email-Adresse als Pflichtfeld abgefragt werden. Unerlässlich ist das Double-Opt-In-Verfahren, mit dem der Empfänger nach der Anmeldung seine Email-Adresse und den Wunsch, in den Verteiler aufgenommen zu werden, bestätigt.

Informiere direkt am Formular über Inhalt und Versendehäufigkeit Deines Newsletters. Verlinke direkt auf Deine Datenschutzerklärung, in der Du nochmals ausführlich über Deinen Email-Marketing-Prozess informierst.

Aufgabe 6: Erstelle ein Verarbeitungsverzeichnis.

Die DSGVO verlangt von jedem Unternehmen den Nachweis des Datenschutzes. Kernstück ist das Verfahrensverzeichnis all Deiner Verarbeitungstätigkeiten.
Führe hier sämtliche Vorgänge Deines Unternehmens auf, bei denen Du personenbezogene Daten verarbeitest. Dazu gehören folgende Informationen:

Name und Kontakt des Verantwortlichen
Art und Zweck der Verarbeitung
Betroffene Personengruppen und Datenkategorien
Quelle der Daten
Rechtsgrundlage für die Verarbeitung
Interne und externe Empfänger der Daten (mögliche Auftragsverarbeiter)
Vorgesehene Löschfristen der Daten (wenn möglich)
Sicherheitskonzept

Muster für Verfahrensverzeichnisse:

GDD-Praxishilfe DS-GVO V: Verzeichnis von Verarbeitungstätigkeiten

Datenschutzverzeichnis mit Muster von Regina Stoiber

Muster der Activemind AG: Verzeichnis von Verarbeitungstätigkeiten nach DSGVO

Aufgabe 7: Schließe Auftragsverarbeitungsverträge (AVVs) ab.

Kommt ein Drittanbieter bei der Verarbeitung von personenbezogenen Daten mit ins Spiel, benötigst Du mit diesem Anbieter einen sogenannten Auftragsverarbeitungsvertrag (AVV) , der regelt, wie das Unternehmen die Daten in Deinem Auftrag verarbeitet und schützt.
Beispiele für solche Auftragsverarbeiter sind: Hoster, Newsletter-Dienste, Google Analytics, Affiliate-Programme, Cloud-Dienste.

Eine Liste mit Links zu den AVVs diverser Drittabieter findest Du bei Blogmojo: ADV-Verträge für Blogger & Online-Unternehmer.

Außerdem findest Du hier dazu Muster:

Bayerisches Landesamt für Datenschutzaufsicht | Muster für einen Auftragsverarbeitungsvertrag

GDD: Mustervertrag zur Auftragsverarbeitung

Unterstützung bei der Analyse und Anpassung Deiner Website

Dies war ein erster Überblick über die 7 wichtigen Maßnahmenblöcke, die Du als Website-Betreiber umsetzen solltest.

Wenn Du das systematische Überprüfen Deiner eigenen Website und die erforderlichen Maßnahmen lieber abgeben möchtest, dann empfehlen wir Dir den DSGVO-Check von unserem Partner WP-Wartung24.

Zum DSGVO-Check bei WP-Wartung24

The post Die 7 wichtigen Aufgaben für eine DSGVO-konforme WordPress-Website appeared first on UltraPress - Das WordPress Tutorial für Dein Business.