WordPress Sicherheit Guide – 20 konkrete Maßnahmen für Deine Website

WordPress Sicherheit wird für jeden Betreiber einer WordPress Website von Jahr zu Jahr wichtiger. Denn der Erfolg des CMS WordPress (Content Management System) mit seiner weltweiten Verbreitung motiviert leider auch immer mehr Hacker und andere digitale Störenfriede, die Websites und dahinterliegenden Systeme anzugreifen.

Die gute Nachricht: Dir stehen eine ganze Reihe von möglichen Stellschrauben und Maßnahmen bereit, die Deine WordPress Seite so sicher machen, dass Du ruhig schlafen kannst.

In diesem Guide zur WordPress Sicherheit zeige ich Dir zunächst einmal die gängigsten Schwachstellen und Angriffsmöglichkeiten einer WordPress Website. Und dann geht´s um die konkreten Maßnahmen, die Du für mehr WordPress Sicherheit ergreifen kannst. 

Eines sei dabei direkt gesagt: Ein Teil dieser Maßnahmen ist nur für versierte Programmierer geeignet. Deshalb habe ich die Liste der einzelnen Schritte und ToDo´s auch gesplittet in einen Teil, den Du auch als Nicht-Programmierer angehen kannst, und einen Teil, bei denen Du Profis den Vortritt lassen solltest.

Ich selbst habe das Thema WordPress Sicherheit übrigens komplett in die Hände der Spezialisten von WP-Wartung24 gelegt. Und damit fahre ich seit Jahren sehr gut. 

Schwachstellen und mögliche Angriffe auf Deine WordPress Sicherheit

In diesem Abschnitt geht´s um die bekannten Methoden, die Hacker und Co. gegen WordPress Websites einsetzen. Du bekommst einen Überblick, wo Du mögliche Einfallstore verrammeln musst.

Brute-Force-Angriffe auf den WordPress Login

Als Eingangstür zu Deinem Backend ist der reguläre Login von Haus aus ein beliebtes Ziel für unerwünschte Besucher. Bei sogenannten Brute-Force-Angriffen versuchen sich Hacker mit automatisierten Skripten Zugang zu verschaffen, indem sie zig verschiedene Passwörter ausprobieren. Diese Skripte profitieren von schwachen Passwörtern.

Dagegen wehren kannst Du Dich neben starken Passwörtern unter anderem mit der Begrenzung von Anmeldeversuchen, der Anmelde-Überwachung oder einer zweistufigen Authentifizierung beim Login. Dazu gibt´s weiter unten jeweils mehr Details.

Backdoors – Eindringen durch die Hintertür

Abseits des regulären Logins gibt es bei WordPress ein paar mögliche Hintertürchen für Hacker, um dort großen Schaden anzurichten.

Oft sind es veraltete WordPress-Versionen, bei denen solche Backdoors unzureichend gesichert sind. Potenzielle Eindringliche bekommen durch eine Backdoor den Zugriff auf Deinen Server, ohne einen Login zu benutzen.

Ob es so eine Schwachstelle bei Dir gibt, lässt sich zum Beispiel mit dem Security Checker von Sucuri herausfinden.

Auch hier empfehlen sich gleich mehrere Maßnahmen, die das Sicherheitsrisiko zumindest eindämmen: Beispielsweise helfen die Einschränkung des Admin-Zugriffs oder das Einschränken von PHP-Ausführung. Die Zwei-Faktor-Authentifizierung kann den Zugriff auch nochmal ein wenig erschweren, da sie das einfache Übernehmen von Login-Daten erschwert.

Denial of Service Angriffe

Denial of Service Angriffe (DoS-Angriffe) wollen den Speicher Deiner WordPress Installation überlasten und so Deine Website unzugänglich machen. Hacker penetrieren den Server dabei mit einer Flut von Anfragen.

DoS-Angriffe auf Websites laufen zum Beispiel über massenhafte Spam-Kommentare oder Emails mit Schad-Code.

Eine spezielle Spielart dieser Angriffe ist der Distributed Denial of Service Angriff (DDoS-Angriff). Hier setzt der Angreifer ein Botnetz aus Tausenden von Rechnern ein, um möglichst viele Anfragen gleichzeitig an den Server der Seite rauszuballern. Wenn die Anfragen dann auch noch von vielen verschiedenen Orten kommen, wird es umso schwieriger, solch einen Angriff zu stoppen.

Verhindern kannst Du Attacken dieser Art leider nicht. Du kannst sie aber versuchen einzudämmen, zum Beispiel indem Du via Security Plugins automatische IP-Sperren einrichten lässt oder die Kommentarfunktionen einschränkst. Auch mit regelmäßigen WordPress Updates, starken Passwörtern und generellen Zugriffsbeschränkungen erschwerst Du solche Angriffe.

Zusätzliche WordPress Sicherheit kann ansonsten noch Dein Hoster auf einer höheren Ebene bieten. Denn er kann theoretisch Zugriffe auf das Netzwerk schon blocken, bevor diese zum Server kommen und diesen belasten.

SEO Spam Hacks

Bei SEO Spam Hacks schmuggeln Hacker Code auf Deine Website, der meist Links zu illegalen Online-Apotheken enthält. Daher werden solche Angriffe auch „Pharma Hacks“ genannt.

Klickt ein Nutzer auf eine mit Pharma Hacks infizierte Website, wird er auf eine Online-Apotheke weitergeleitet. Die Hacker verdienen damit zum einen direkt Geld, und zum anderen sammeln sie so fleißig und unerlaubt Nutzerdaten.

Um vor solchen Hacks gewappnet zu sein, ist der beste Weg, regelmäßig WordPress Updates durchzuführen. Auch eine Firewall und andere Sicherheitsmaßnahmen tragen hier zu mehr WordPress Sicherheit bei.

Cross Site Scripting

Das Cross-Site Scripting (XSS) schmuggelt bestimmte Skripte in Deine Seite, Und diese Skripte senden dann schädlichen Code auf die Rechner Deiner Website Besucher. Zweck dieses Hacks ist meist das Sammeln von Cookie-Daten oder Session-Daten.

Vor allem in WordPress Plugins liegen diese Schwachstellen häufig. Deshalb solltest Du nicht nur auf regelmäßige Plugin Updates achten, sondern am besten auch nur so wenig wie möglich Plugins installieren.

Einfache Schritte für Nicht-Programmierer zu mehr WordPress Sicherheit

So, nun heißt es Ärmel hochkrempeln, denn los geht es mit den konkreten Maßnahmen, die Du für Deine WordPress Sicherheit umsetzen kannst.

Backup Routine – Immer eine alte Version in der Hinterhand

Nichts ist 100-prozentig sicher – auch nicht Deine WordPress Website, egal wie gut Du sie absicherst. Du kannst Dir aber eine Art Rückversicherung in Form von Backups gegen jede Art von Angriff auf Deine Website oder sonstige technische Probleme aufbauen.

Mit Backups kannst Du Deine Seite schnell wiederherstellen, falls mal etwas Blödes passiert.

Im Idealfall sorgst Du für eine Speicherung der Backups auf einem externen Server. Also nicht da, wo auch Deine WordPress Website liegt.

Für das automatische und regelmäßige Erstellen von Backups gibt es zum Glück eine Reihe von guten Plugins. BackupBuddy, UpdraftPlus oder BackWPup sind gute Beispiele. Für UltraPress.de lassen wir die Backups immer im Rahmen unserer regelmäßigen WordPress Wartung durch unseren Partner WP-Wartung24 mit einem eigenen Tool machen, das separat vom Server läuft. Als zusätzliche Fallback-Lösung setzt das Team auf BackWPup.

Security Plugins – die Garanten für WordPress Sicherheit

Neben den Backups empfiehlt sich als Standard ein Sicherheitssystem, das durchgehend überwacht, was auf Deiner Seite passiert. Dazu gehören vor allem die Überwachung der Dateien, Anmeldeversuche, Scans auf Malware und andere Bedrohungen.

Diese Überwachung erledigen allgemeine Security Plugins , die daneben noch eine Reihe weiterer Sicherheitsfunktionen erfüllen und auf jeden Fall auf Deiner Website im Hintergrund laufen sollten.

Security Plugins , die sich großer Beliebtheit erfreuen, sind beispielsweise:

• NinjaFirewall
• iThemes Security 
• WordFence
• Sucuri

Das Beispiel NinjaFirewall arbeitet insbesondere als eigenständige Firewall, die dem WordPress CMS vorgeschaltet ist. Da wir mit dem Plugin arbeiten, hier ein paar Details dazu, um einen Überblick zu bekommen, was so ein Security Plugin sonst noch so macht:

WordPress Sicherheit Plugin NinjaFirewall als Beispiel

• Filtern: HTTP/HTTPS-Anfragen scannen, bereinigen oder auch ablehnen zum Schutz der Skripte aus den Installationsverzeichnissen und Unterverzeichnissen (Umgehungs- und Verschleierungstaktiken von Hackern können so beispielsweise erkannt werden).
• Brute-Force-Angriffsschutz: Mit Verarbeitung von HTTP-Anfragen, die der eigentlichen WordPress-Installation vorgeschaltet ist.
• Echtzeiterkennung: Erkennen jedes Zugriffs auf eine PHP-Datei, somit auch auf Dateien, die von Hackern hochladen.
  

  Blick ins Unter-Menü von Ninja Firewallt, somit auch auf Dateien, die von Hackern hochgeladen wurden.

• Dateien überwachen: Erkennen jeder Änderung an einer Datei, egal ob in Bezug auf Dateiinhalt, Dateiberechtigungen, Dateibesitz oder Zeitstempel.
• Traffic loggen: Verfolgen des Website Traffics in Echtzeit.
• Benachrichtigungen: Info via Email über bestimmte Ereignisse auf Deiner Seite, so dass Du im Notfall manuell eingreifen kannst (zum Beispiel Administratoranmeldung, Änderungen von Administratorkonten, neue oder geänderte Plugins und Themes, WordPress-Updates, ausstehende Sicherheitsupdate in Plugins und Themes).
• Aktueller Schutz vor WordPress-Sicherheitsschwachstellen: NinjaFirewall kann Sicherheitsregeln automatisch täglich, zweimal täglich oder auch stündlich aktualisieren, wenn neue Schwachstellen gefunden wurden.
• Datenschutz: Filterung des Datenverkehrs auf Deinem Server, wodurch sensible Daten (Kontaktformularnachrichten, Anmeldeinformationen usw.) auf Deinem Server verbleiben, anstatt in die Cloud auf die Server von Drittunternehmen zu gelangen.
• IPV6-Unterstützung: IPv6 steht für IP-Version 6 und ist die neueste Generation des Internet-Protokolls (IP), was Hackern und Co. die Arbeit wieder etwas erschwert.
• Option für eigenen PHP-Code vor der Firewall: Eigene Sicherheitsregeln greifen, bevor WordPress und alle seine Plugins laden, was natürlich eher eine Funktion für Profis ist.
• Unix-Shared-Memory-Nutzung: Kommunikation zwischen einzelnen Prozessen und verbesserter Performance.
• Zugriffskontrolle: IPs, Rollen, Länder (Geo-Lokalisierung), URLs, Bots
• Antispam: Für Kommentar- und andere Formulare.
• Blockierung: Aggressive Bots, Crawler, Web Scraper und HTTP-Angriffe können geblockt werden.
• Response-Body-Filter: Ausgabe von HTML-Seiten scannen, bevor sie an den Browser des Website-Besuchers gesendet werden.

Updates – WordPress Sicherheit aktuell halten

Die Entwickler des CMS WordPress, der Plugins und der Themes arbeiten glücklicherweise stetig an Verbesserungen aller WordPress-Elemente.

Dein Job dabei: Spiele die Updates regelmäßig auf Deiner Website ein. Denn neben Performance-Verbesserungen und Funktionserweiterungen schließen die WordPress Updates auch immer wieder neu erkannte Sicherheitslücken.

Was es im Einzelnen zu aktualisieren gilt und wie das konkret geht, liest Du in unserem Beitrag zu WordPress Updates.

Neueste PHP-Version – WordPress Sicherheit beim Hoster

PHP ist die Programmiersprache, auf der WordPress aufbaut. Aber keine Sorge, Du musst jetzt kein PHP lernen, sondern nur dafür sorgen, dass bei Deine Website die neueste PHP-Version verwendet. Und das entscheidet sich bei Deinem Hosting.

So sieht die Wahl der PHP-Version beispielsweise bei unserem Hoster All-Inkl aus:

Bei der Wahl des Hosters ist daher wichtig, dass dieser immer die neuesten PHP-Versionen unterstützt. Denn je älter eine PHP-Version, umso anfälliger wird das Ganze für Probleme und Angriffe.

Website Firewall – Der Burggraben Deiner Website

Eine Website Firewall blockiert grob gesprochen den schädlichen Traffic, bevor er Deine Website erreicht.

Wenn Dein allgemeines Sicherheits-Plugin keine eigene Firewall enthält, solltest Du anderweitig einen solchen Schutzwall aufbauen. Dabei gibt es zwei generelle Arten von Plugins:

• Website Firewall via Cloud – Diese Firewalls leiten Deinen Website Traffic über eigene Server in der Cloud.
• Firewall auf Anwendungsebene – Solche Plugins untersuchen den Datenverkehr bei Erreichen Deines Servers, bevor die meisten WordPress-Skripte geladen werden.

SSL-/TLS-Verschlüsselung – Datentransfer schützen

SSL, beziehungsweise TLS schützt vertrauliche Daten Deiner Website vor Missbrauch durch unerwünschte Zugriffe von außen.

• SSL (Secure Sockets Layer) ist ein Sicherheitsprotokoll und übermittelt Daten zwischen einem Webbrowser und einem Webserver in verschlüsselter Form.
• Noch sicherer geht´s via TLS (Transport Layer Security), das auf SSL aufbaut.

Die Verschlüsselungen sind natürlich vor allem für die Übertragung sensibler Daten wie Login-Daten oder persönlicher Daten relevant, die Dritte so nicht einfach abfischen und missbrauchen können.

SSL/TLS checken zudem die Identität des Servers, mit dem kommuniziert wird, mithilfe von digitalen Zertifikaten. Diese Zertifikate gibt es bei vertrauenswürdigen Zertifizierungsstellen. Du kannst sie normalerweise über Deinen Hoster erwerben.

Und so läuft die Installation des SSL-Zertifikats:

1. Domain validieren: Die Domain, für die das Zertifikat ausgestellt wird, muss zunächst validiert werden. Das läuft in der Regel per Email-Validierung, DNS-Validierung oder HTTP-Validierung. Je nachdem, wo Du das Zertifikat kaufst, sollten dazu entsprechende Infos mitgegeben werden.
2. Zertifikat generieren: Nach der Validierung generiert Dein Hoster oder die entsprechende Zertifizierungsstelle das Zertifikat.
3. Zertifikat installieren: Jetzt kannst Du das SSL-Zertifikat auf Deinem Webserver installieren, was je nach Server auf unterschiedlichen Wegen erfolgen kann. Normalerweise importierst Du das Zertifikat auf den Server und konfigurierst es per SSL/TLS-Protokoll.
4. Installation prüfen: Wenn das Zertifikat installiert ist, solltest Du noch checken, ob es auch funktioniert. Ruf´ dazu Deine Website einfach mit https:// anstelle von http:// auf, und sehe nach, ob das Zertifikat ordnungsgemäß angezeigt wird.

Dieser Schritt kann schon etwas frickelig werden. Von daher ist es wirklich der letzte Punkt, den ich in der Umsetzung gerade noch so bei Nicht-Tekkies sehe. Alles weitere sollte wirklich Profis überlassen werden. Was das im Einzelnen ist, darum geht´s in den nächsten Abschnitten.

Login ins WordPress Backend schützen

Gerade der Login ins WordPress Backend – quasi als Haupteingang – bedarf besonderen Schutzes. Deshalb gibt´s hier gleich ein ganzes Bündel an Maßnahmen nur zum Login-Schutz.

Username „admin“ austauschen

Programmierer sind eigentlich kreative Menschen, da Sie die unglaublichsten technischen Konstruktionen erschaffen. Doch manchmal sind sie auch nicht besonders kreativ. So kam es, dass früher als WordPress-Admin-Benutzername der Name „admin“ standardmäßig eingesetzt wurde.

So ein Benutzernamen macht immerhin die Hälfte der Anmeldeinformationen aus, was für Hacker schon die Andeutung eines roten Teppichs ist.

Glücklicherweise läuft das bei WordPress mittlerweile anders. Direkt bei der WordPress-Installation bist Du quasi gezwungen einen eigenen Benutzernamen zu definieren.

Allerdings kann es Dir bei One-Click-WordPress-Installern passieren, dass sich der Admin-Benutzername automatisch auf „admin“ setzt. Das wäre schon mal ein schlechtes Zeugnis für Deinen Hoster.

Was kann man da machen, außer den Hoster zu wechseln? Da es bei WordPress nicht möglich ist, Benutzernamen zu ändern, ist die naheliegendste Option, einfach einen neuen Admin-Benutzer zu erstellen und den alten zu löschen.

Es gibt zum Ändern von Benutzernamen zwar auch noch Plugins und einen Weg über die Datenbank. Dies lassen wir hier aber mal außen vor, da es die Sache in meinen Augen unnötig verkomplizieren würde.

Anmeldeversuche limitieren

Da sich Benutzer bei WordPress so oft hintereinander anmelden können, wie sie möchten, ist Deine Website von Haus aus anfällig für sogenannte Brute-Force-Angriffe. Hacker versuchen dabei, Passwörter zu knacken, indem sie ganz stumpf zig verschiedene Benutzer-Passwort-Kombinationen automatisiert eingeben.

Das kannst Du recht einfach unterbinden durch das Begrenzen fehlgeschlagener Anmeldeversuche eines Benutzers. Ein Firewall-Plugin wie Ninja Firewall erledigt so etwas automatisch mit.

Ohne ein solches Firewall Plugin kannst Du zum Beispiel auch das Login LockDown-Plugin nehmen.

Mit Zwei-Faktor-Authentifizierung anmelden

In der Zwei-Faktor-Authentifizierung müssen sich Benutzer immer in zwei Schritten anmelden:

• Der erste Schritt besteht ganz normal aus Benutzername und Passwort.
• Im zweiten Schritt musst Du Dich mit einer separaten App (in der Regel auf dem Handy) authentifizieren.

Sowas kennst Du sicher von den ganz großen Playern Google, Facebook, aber Du kannst die gleiche Funktionalität auch für Deine Website nutzen.

Installiere dazu das Zwei-Faktor-Authentifizierungs-Plugin auf Deiner Website sowie eine Authentifizierungs-App auf Deinem Handy, wie beispielsweise Google Authentificator oder Authy.

Das Handling Deiner Website wird so für Dich leider etwas unkomfortabler. Von daher ist es auch im gewissen Maße Abwägungssache, ob Du das so für Dich einsetzen willst.

Passwort sicher machen

Die Sicherheit von Passwörtern sollte eigentlich eine Selbstverständlichkeit sein, und gerade für die Sicherheit von WordPress Websites ist sie ein zentraler Baustein. Passswörter sind logischerweise häufig Ziel von Hackern, denn damit lässt sich einfach eine Menge Unsinn anstellen.

Für die Passwörter Deiner WordPress Website gilt es folgende Punkte zu beherzigen:

• Vermeide gängige Wörter oder Phrasen.
• Verwende Kombination aus Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen.
• Gib Deinem Passwort mindestens 16 Zeichen.
• Verwende nicht dasselbe Passwort für mehrere Konten.
• Ändere Dein Passwort immer mal wieder, zum Beispiel alle drei Monate als Routine.
• Hast Du einen Verdacht auf Kompromittierung Deiner Website, ändere das Passwort sofort.
• Nutze einen Passwort-Generator wie beispielsweise den von LastPass, um sichere Passwörter zu erstellen, die zufällig, komplex und schwer zu knacken sind. Ergänzend dazu eignet sich ein Passwort-Manager, damit Du Deine Passwörter nicht vergisst.

Sicherheitsfragen beim WordPress Login einsetzen

Eine weitere Sicherheitsstufe, die Du sicher auch von anderen Online Tools mit Login kennst, sind Sicherheitsfragen. Der Nutzer muss diese beantworten, sonst kann er oder sie sich nicht ins Backend einloggen.

Solche Sicherheitsfragen kannst Du zur weiteren WordPress Security mit einem zusätzlichen Plugin umsetzen. Ein Beispiel ist das Plugin Two Factor Authentication, das auch noch ein paar weitere sicherheitsrelevante Funktionen im Gepäck hat.

Wenn ein Benutzer eine Frage beantwortet, checkt das Plugin die Antwort. Ist die Antwort richtig, wird der Benutzer zur nächsten Seite weitergeleitet. Ansonsten bekommt er die Möglichkeit, die Frage nochmal zu beantworten oder sich per Email oder anderweitig zu verifizieren.

Inaktive Benutzer automatisch abmelden

Ist ein Benutzer nicht mehr aktiv, sollte er oder sie auch nicht mehr eingeloggt bleiben. Auch diese Sicherheitsmaßnahme kannst Du mit einem Plugin umsetzen namens Inactive Logout.

In der Konfiguration des Plugins kannst Du noch verschiedene Nachrichten für ausgeloggte Benutzer und einige weitere Stellschrauben individuell einstellen. Dazu gehört vor allem die Zeit, nach der ein Benutzer automatisch abgemeldet wird.

Anstatt der automatischen Abmeldefunktion kannst Du auch einfach nur die Option „Nur Warnmeldung anzeigen“ aktivieren. Dann bekommt der User nur eine Warnmeldung angezeigt, aber er bleibt angemeldet.

Daten und Dateien schützen für höhere WordPress Sicherheit

Dein WordPress System besteht im Wesentlichen aus einer großen Zusammenstellung von Datenbanken und Dateien. Und diese gilt es, so gut es geht zu schützen.

Sichere Dateinamen als WordPress Sicherheit verwenden

Deine Daten und Dateien sind im WordPress-System sicherer, wenn Du auch beim Vergeben von Dateinamen das Thema WordPress Sicherheit mit einbeziehst. Dazu bieten sich folgende Einzelmaßnahmen:

• Keine sensiblen Informationen: Verwende in Dateinamen keine sensiblen Informationen wie Benutzernamen, Passwörter oder andere persönliche Daten.
• Keine Duplikate: Benenne Deine Dateien nicht so, wie schon andere Dateien auf deiner Website benannt wurden. Das ist zwar sicherheitstechnisch nicht so wahnsinnig relevant, kann aber zu Verwechslungen oder Problemen führen.

Dateiberechtigungen zur WordPress Sicherheit einstellen

Prüfe die Berechtigungen deiner Dateien und Ordner darauf, dass nur notwendige Benutzer darauf zugreifen können. Generell sollten 777-Berechtigungen möglichst vermieden werden, da diese allen Benutzern die Berechtigung zum Lesen, Beschreiben und Ausführen der jeweiligen Dateien oder Ordner geben.

WordPress hat zudem einen eigenen Code-Editor, mit dem Du Design- und Plugin-Dateien direkt im WordPress Backend bearbeiten kannst. Doch dies ist Fluch und Segen zugleich.

Denn verschafft sich jemand Zugriff zu dieser Funktion, ist das ein handfestes Sicherheitsrisiko. Stell´ die Funktion daher am besten aus. Dazu musst Du den folgenden Code in Deine wp-config.php-Datei einfügen:

1 // Disallow file edit
2 define( ‚DISALLOW_FILE_EDIT‘, true );

Alternativ kannst Du diese Einstellung auch in verschiedenen Sicherheits-Plugins vornehmen.

Ausführung von PHP-Dateien deaktivieren

Ein weiterer Schritt zu mehr WordPress Security liegt im Deaktivieren der Ausführung von PHP-Dateien in bestimmten Verzeichnissen. Wähle dabei die Verzeichnisse aus, die PHP nicht benötigen, zum Beispiel /wp-content/uploads/.

Erstelle dazu eine Text-Datei mit folgendem Code:

1  <Files *.php>
2  deny from all
3  </Files>

Diese Datei speicherst Du als .htaccess lädst sie via FTP in die Ordner /wp-content/uploads/ auf Deiner Website. Auch das geht alternativ ohne Code mit einigen Security Plugins.

WordPress Datenbankpräfix ändern

Standardmäßig verwendet WordPress für alle Tabellen in der Datenbank das Präfix „wp_“. Damit können Hacker relativ leicht den jeweiligen Tabellennamen erraten. Mit einer Änderung hast Du wieder einen Tick mehr WordPress Sicherheit. Der Sicherheitseffekt beim Ändern des Präfix ist jedoch relativ gering. Denn ein Angreifer kann via Backdoor-Zugriff mit einem einfachen vorgeschalteten Befehl den Präfix ermitteln.

Trotzdem schadet es nicht, den Präfix zu ändern. Zumindest die ganz stumpfen Angriffe kannst Du zu verhindern.

Aber: Auch als Programmierer solltest Du hier Vorsicht walten lassen, denn mit solch Anpassungen kannst Du das WordPress System schädigen. Du solltest den Präfix vor allem nur bei einer frischen Installation ändern, weil nachträgliche Anpassungen für die Systemstabilität gefährlich sein können.

Als Nicht-Programmierer kann ich zu derartigen Maßnahmen also nur raten: Lieber Finger weg.

Verzeichnisindizierung und -suche deaktivieren

Hacker können möglicherweise Verzeichnisse Deiner Website durchsuchen, um nach Dateien mit bekannten Schwachstellen zu schauen. Auch das reine Betrachten von Dateien, das Kopieren von Bildern oder ähnlichem ist von Dir vielleicht nicht gewünscht.

Um das zu verhindern, kannst Du die Verzeichnisindizierung und das Durchsuchen von Verzeichnissen deaktivieren.

Über FTP oder einen Dateimanager musst Du dazu erstmal die .htaccess-Datei im Stammverzeichnis Deiner Website finden. Am Ende der .htaccess-Datei ist dann diese Zeile einzufügen:

Options -Indexes

Dann natürlich noch .htaccess-Datei abspeichern und wieder hochzuladen.

XML-RPC deaktivieren

XML-RPC steht für „Extensible Markup Language Remote Procedure Call“ und ist eine Spezifikation für Remote-Aufrufe in Netzwerken über die Auszeichnungssprache XML. Damit hilft es, WordPress Websites mit Web-Apps oder mobilen Apps zu verbinden.

Brute-Force-Angriffe machen sich das gern zunutze. XML-RPC kann gleich mehrere Befehle innerhalb einer HTTP-Anfrage übergeben. Und genau das kann auch für böswillige Absichten eingesetzt werden.

Bestimmte WordPress Plugins basieren zwar auf XML-RPC, aber im Sinne der Sicherheit solltest Du  lieber darauf verzichten. Deaktiviere also den Zugriff darauf. Bevor Du das machst, ist aber zu checken, ob XML-RPC überhaupt bei Dir läuft.

Zum Deaktivieren gibt es das Plugin „Disable XML-RPC-API„.

Erkennen und Fixen von Sicherheitslücken

Ein gutes WordPress Security Plugin sollte Deine Website regelmäßig nach Malware und anderen möglichen Sicherheitslücken und -verletzungen durchscannen. Akute Probleme können aber auch anderweitig zu Tage treten.

Ein plötzlicher Rückgang des Website Traffics oder Deiner Google-Rankings können ebenso Anzeichen für Sicherheitsprobleme sein. Ein manuelles Durchsuchen nach Sicherheitslücken kann dann auch erforderlich werden.

Ein erster Schritt dazu wäre jedoch ganz einfach die Nutzung eines externen Security Scanners. Du gibst dort einfach Deine Website-URL ein, und schon durchsuchen Crawler Deine Website nach bekannter Malware und schädlichem Code.

Das Entfernen der Malware oder das Bereinigen der gehackten WordPress Website können die Scanner allerdings nicht übernehmen, das musst Du anderweitig organisieren.

Backups können dazu extrem wertvoll sein. Denn das manuelle Bereinigen der WordPress Website kann ziemlich zeitaufwändig sein – und technisch anspruchsvoll sowieso. Spätestens hier sollten eigentlich immer Spezialisten für WordPress Sicherheit ran.

Auch wenn Du den Eindruck hast, ein Problem sei gelöst, können Hacker Hintertüren, die nicht ordentlich dich gemacht werden, erneut für ihre Angriffe nutzen.

Fazit – WordPress Sicherheit ist machbar

Kein System ist zu 100 Prozent sicher. Aber Du kannst einiges dafür tun, Deine WordPress Website gegen die verbreitetsten Angriffsmethoden zu wappnen.

Wichtig dabei: WordPress Sicherheit ist kein Kurzzeit-Projekt. Natürlich gilt es, einmal zu Beginn diverse Maßnahmen für WordPress Sicherheit umzusetzen. Wirklich wirksam ist Dein ganzer Schutz jedoch nur, wenn Du WordPress Sicherheit als Dauer-Thema betrachtest.

Sprich, neben einem gründlichen Setup aller Sicherheitsmaßnahmen braucht Deine Website monatliche oder wöchentliche Routinen, die für Updates sorgen, die Systeme beobachten, und eben auch punktuelle Eingriffe beinhalten können.

Als Nicht-Programmierer kannst Du schon einen guten Teil davon abdecken. Im professionellen Einsatz würde ich allerdings immer einen Rundum-Service wie WP-Wartung24 empfehlen. Nicht nur, weil Deine WordPress Sicherheit von Profis hergestellt wird, sondern ganz einfach weil Du Dir auf dem Wege einiges an technischem Gefrickel und Zeit sparst.