WordPress Security > TOP 22 Tipps für WordPress Sicherheit {GUIDE}

Wordpress Security Tipps - Steffen Lippke Ethical Hacking Guide Tutorial - Hacking Series
WordPress Security Tipps – Steffen Lippke Ethical Hacking Guide Tutorial – Hacking Series

Weil Du keine WordPress Security hattest, wurdest Du gehackt?

… oder …

Möchtest Du Dein WordPress vor Hackern sichern?

Dann bist Du hier beim WordPress Security GUIDE genau richtig.

Beginnen wir!

Wie dringen Hacker in WordPress ein?

Die Kriminellen des Webs versuchen Deinen WordPress Blog oder Shop mit listigen Tricks zu kapern.

Die Hacker löschen Daten, ändern Blog-Posts, verteilen Spam und Unterdrücken die Abrufbarkeit der Seite. Wie kommen Die Hacker auf Deinen Server?

02 WordPress Plugins können offene Tore sein - Hacking Series für mehr WordPress Security Steffen Lippke
02 WordPress Plugins können offene Tore sein – Hacking Series für mehr WordPress Security Steffen Lippke
  • Exploits in Plugins
    Die Hacker nutzen Sicherheitslücken in 3.-Partei-Software aus, die nicht regelmäßig aktualisiert wird. Diese ist die häufigste Ursache für einen Hack.
  • Exploits in Themes
    Wie auch Plugins erstellen Design-Themes für WordPress. Updatet der Entwickler die Theme nicht, wirst Du Opfer eines Angriffs.
  • Expoits in WordPress
    Die Software selbst kann auch Schwachstellen aufweisen. Der WordPress-Macher Automatic und die Community pflegen die Blogging-Software aber sehr gut. Spiel die Updates schnell ein.
  • Server-Fehlerkonfigurationen
    Die Hacker dringen auf der untersten Ebene ein. Sie haben den Zugang zum FTP oder SSH usw. geknackt.

Wie merke ich, ob ich gehackt wurde?

Du hast verschiedene Möglichkeiten:

  • Ein WordPress Sicherheits-Plug-In meldet eine Malware.
  • Du erhältst eine Mail von Deinem Hoster, dass ein Hacker sich aus Timbuktu angemeldet hat.
  • Auf Deinem FTP-Server sind komische Dateien.
  • Dein Hoster ermahnt Dich wegen schädlichen Aktivitäten.
  • Dein Mail-Account sendet Spam-Mails an Deine Kontakten.
  • Ein externer Malware-Scanner schlägt Alarm.
  • Hacker posten private Daten vor Dir auf den sozialen Medien.
  • Du kannst Dich nicht mehr an Deinem Server anmelden.
  • Der Traffic auf Deinem Server steigt exorbitant an bzw. Du kannst Deine Server nicht mehr erreichen (DDoS).
  • Die Google Search Console alarmiert Dich, dass Du böse Aktivitäten auf Deinem Server ausführst.
01 Hacker sind unterwegs - Hacking Series für mehr WordPress Security Steffen Lippke
01 Hacker sind unterwegs – Hacking Series für mehr WordPress Security Steffen Lippke

10 Regeln für einen sicheren PHP-Server

Kein WordPress der Welt ist sicher vor Hackern, wenn die Grundlage auf wackligen Füßen steht.

07 Hacking Versuche – Hacking Series für mehr WordPress Security Steffen Lippke

Beginne mit den PHP-Server-Tipps, bevor Du versuchst besondere Konfigurationen innerhalb von WordPress vorzunehmen

  1. Aufgaben abgeben: Wenn Du der Typ bist, der gerne alles von der Betriebssystem-Installation bis hin zum TSL-Zertifikat (früher SSL) alles selber machst, solltest Du Dir folgendes überlegen:
    „Bin ich bereit ein komplexes Patch am 24.12. um 20.00 einzuspielen, um eine Hack zu verhindern?“
  2. Checke die Reputation Deines Webhosters ab:
    1. Was berichten Kunden in diversen Foren?
    2. Gab es Databreaches in der Vergangenheit?
    3. Sind diese nach ISO 2700X zertifiziert?
    4. Wie stark ist der DDoS-Schutz?
    5. Gebe lieber ein paar Euro mehr aus, damit Deine Webseite nicht auf einen gehackten thailändischen Windows 95 läuft.
  3. PHP-Version: Nutze die aktuellste PHP-Version und aktualisiere Deine Webseite auf die nächste (stabile) Version so schnell wie möglich.
  4. Verschlüsselung: Nutze TSL (früher SSL, Verschlüsselung der Webseiten), ohne Ausnahme und mit keinem wenn oder aber! Verwende entweder ein kostenloses Zertifikat von Let’s Encrypt oder kaufe Dir ein echtes Zertifikat von einer bekannten Zertifizierungsstellen.
  5. Gegen Bots: Verwende einen DDoS-Schutz (und CDN)! Wenn 1 TB pro Sekunde an Bot-Anfrage auf Deine Server einprasseln, geht nicht mehr viel. Ein kostenlose CDNs wie Cloudflare eignen sich gut.
    05 Cloudflare DDoS Schutz - Hacking Series für mehr WordPress Security Steffen Lippke
  6. Nicht unterschätzen: Nutze IMMER sichere Passwörter (min. 10-stellig mit Buchstaben, Symbolen, Zahlen und einer hohen Entropie) für Euer
    • WordPress
    • FTP / SSH und sonstige manuelle Verbindungen
    • Login-Panel des Webhosting und des Servers
    • Plugins mit Login (CDNs, Sicherheit, Spam)
  7. Angriffsfläche: Deaktiviere alle Ports, außer die Du wirklich brauchst! SSH, Telnet, SMB oder Gopher usw. brauchst Du für Dein WordPress nicht. Verkleinere Deine Angriffsfläche.
  8. Rechte: Minimiere den Zugriff auf Deine Dateien Ordner mit CHMOD bzw. ändere nichts an den Standard-Einstellungen von WordPress:
    • 755 alle Ordner
    • 644 alle Dateien
    • 644 .htaccess
    • 444 wp-config.php
    • 666 sitemap.xml
  9. Programmieren: Wenn Du ein WordPress-PHP-Bastler bist, trenne das Test-WordPress und Produktions-WordPress voneinander. Entwickle auf Deinem Localhost oder in einer separaten Testumgebung.
  10. Letzte Rettung: Backupe alle Daten in einem Wochen-Rhythmus und die WordPress-Datenbank täglich. Lade Dir die Backups am Ende auf Deinen lokalen Computer und auf eine externe Festplatte, die Du vom Computer trennst.
03 WordPress Vulnerabilities ansehen - Hacking Series für mehr WordPress Security Steffen Lippke
03 WordPress Vulnerabilities ansehen – Hacking Series für mehr WordPress Security Steffen Lippke

Tipp am Rande:
Die aller wichtigsten Passwörter wie E-Mail-Adresse, Server-Zugang und Windows Passwort solltest Du NIE einem Passwort-Manager anvertrauen. Falls die Hacker den Passwort-Manager gehackt haben, sieht es für Dich auch schlecht aus.

Steffen Lippke

4 Tipps für Social WordPress Security

Die beste IT-Infrastruktur hilft nichts, wenn Du einen „menschlichen“ Fehler begehst.

Die Hacker versuchen Dich mit diesen 3 Tricks hinters Licht zu führen.

  1. Ignoriere die „Passwort zurücksetzen“-Mails von WordPress oder Web Hoster. Die Hacker tarnen diese Mails als einen guten Phishing-Angriff. Die Social Hacker nutzen solche Mails, um Dich auszutricksen.
  2. Ignoriere die Droh-E-Mails von Hackern und zahle NIE, NIE das geforderte Lösegeld (auch wenn Deine Daten verschlüsselt sind).
    1. „Zahlen mir 1000 Bitcoins, damit ich nicht XY“
    2. „Du brauchst 1 Mio. mehr Traffic auf Deiner Webseite …“
    3. „Ich habe Dich gehackt, ich sende XX alle Deine Kontakten.“
  3. Nutze das WordPress Berechtigungskonzept. Gebe Deinen „Blogger-Hilfen“ nur so viel Rechte, wie diese brauchen.

8 WordPress Security Must-Haves für jeden Blogger

WordPress braucht nach einer sauberen Neu-Installation diese 8 Einstellungen, damit Hacker weniger Angriffsfläche haben. Diese Plug-ins und Techniken schützen Dich vor den Hackern.

  1. Beachte die folgenden Regeln zu Plug-ins und Deiner WordPress-Installation:
    1. Halten die Plug-ins und WordPress mit dem Companion Auto Update immer aktuell.
    2. Lösche lange nicht mehr aktualisierte (6 Monate und mehr) Plug-ins sofort.
    3. Lösche lange nicht mehr genutzte Plug-ins sofort.
    4. Lösche und installiere keine Plug-ins mit weniger als 10.000 Nutzern.
  2. Schütze Dich vor Spam-Kommentaren mit Antispam Bee oder Akismet Anti-Spam
    00 Integrität der Webseite - Hacking Series für mehr WordPress Security Steffen Lippke
  3. Verwende eine Web Application Firewall und einen Malware-Scan mit einem WordPress Installations Integritäts-Checkup z. B. Sucuri Security oder Wordfence Security
  4. Nutze das Google (re)Captacha für jedes Eingabe-Feld auf Deiner Webseite. Schütze Dich vor (SQL, XSS) Injektion, Werbung und Script-Kiddies.
    04 Recaptcha gegen Bots - Hacking Series für mehr WordPress Security Steffen Lippke
    1. Login bei WordPress
    2. Kommentar-Feld
    3. Support-Formulare
    4. Suchleisten
    5. Auswahlen
    6. Quizze
    7. Registrierung für neue Nutzer
    8. Newsletter-Anmeldung
  5. Beobachte Deinen Traffic und handle bei schädlichen Traffic mit der WordPress Erweiterung WP Cerber Security, Antispam & Malware Scan
  6. Aktiviere eine 2-Faktor-Authentisierung mit dem ShieldSecurity oder dem Google Authenticator. Sei vorsichtig, sodass Du Dich nicht selbst aussperrst.
  7. Nutze eine Sicherheits-optimierte .htaccess Datei. Sehr empfehlenswert ist die .htaccess Datei der Seoagentur Hamburg (verbessert auch die Geschwindigkeit durch Caching). Übernehmt Eure 301 Redirects und kommentiert das Rewriting zu HTTPs aus.
  8. Nutze einen Update-Manager für WordPress UpdraftPlus – Sichern/Wiederherstellen

Das sicherste WordPress ist vor den Zero-Day-Angriffen nicht geschützt!

Backupe Deine WordPress-Installation mit der genannten Erweiterung. Downloade Dir die Backups auf Deinem Computer. Um Platz zu sparen, nutze ein Bilder-Kompressions-Plug-in. Die Bilder verbrauchen am meisten Platz von WordPress.

06 Wordfence überwacht viele Installationen - Hacking Series für mehr  Steffen Lippke
06 Wordfence überwacht viele Installationen – Hacking Series für mehr WordPress Security Steffen Lippke

Diese Liste ist nicht vollständig. Wenn Du weitere Tipps kennst, schreibe einen Kommentar in das Feld unten.

Quellenangabe Bilder: Icons und SVG-Grafiken im Titelbild von Microsoft PowerPoint 2019, frei verfügbar nach EULA

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.