Du möchtest Dein WordPress sicher machen gegen Kriminelle?
Dann bist Du hier beim WordPress Security Guide genau richtig.
Beginnen wir!
Wie dringen Hacker in WordPress ein?
Die Kriminellen des Webs versuchen Deinen WordPress Blog oder Shop mit listigen Tricks zu kapern.
Die Hacker löschen Daten, ändern Blog-Posts, verteilen Newsletter-Spam und Unterdrücken die Abrufbarkeit der Seite. Wie kommen die Hacker auf Deinen Server?
- Exploits in Plugins
Die Hacker nutzen Sicherheitslücken in 3.-Partei-Software aus, die nicht regelmäßig aktualisiert wird. Diese ist die häufigste Ursache für einen Hack. - Exploits in Themes
Wie auch Plugins erstellen Design-Themes für WordPress. Updatet der Entwickler das Design nicht, wirst Du Opfer eines Angriffs. - Exploits in WordPress
Die Software selbst kann auch Schwachstellen aufweisen. Der WordPress-Macher Automatic und die Community pflegen die Blogging-Software aber sehr gut. Spiel die Updates schnell ein. - Server-Fehlerkonfigurationen
Die Hacker dringen auf der untersten Ebene ein. Sie haben den Zugang zum FTP oder SSH usw. geknackt und verunstalten jetzt die WordPress Instanz.
Wie merke ich, ob ich gehackt wurde?
Du hast verschiedene Möglichkeiten:
- Ein WordPress Sicherheits-Plug-In meldet eine Malware.
- Du erhältst eine Mail von Deinem Hoster, dass eine Person sich aus Timbuktu angemeldet hat.
- Auf Deinem FTP-Server sind komische Dateien.
- Dein Hoster ermahnt Dich wegen schädlichen Aktivitäten.
- Dein Mail-Account sendet Spam-Mails an alle deine Kontakte.
- Ein externer Malware-Scanner schlägt Alarm (Google, Sophos).
- Hacker posten private Daten vor Dir auf den sozialen Medien.
- Du kannst Dich nicht mehr an Deinem Server anmelden.
- Der Traffic auf Deinem Server steigt exorbitant an bzw. Du kannst Deine Server nicht mehr erreichen (DDoS).
- Die Google Search Console alarmiert Dich, dass Du böse Aktivitäten auf Deinem Server ausführst.
10 Regeln für einen sicheren PHP-Server
Kein WordPress der Welt ist sicher vor Hackern, wenn die Grundlage auf wackligen Füßen steht.
Beginne mit den PHP-Server-Tipps, bevor Du versuchst besondere Konfigurationen innerhalb von WordPress vorzunehmen
- Aufgaben abgeben: Wenn Du der Typ bist, der gerne alles von der Betriebssystem-Installation bis hin zum TSL-Zertifikat (früher SSL) alles selber machst, solltest Du Dir folgendes überlegen:
„Bin ich bereit ein komplexes Patch am 24.12. um 20.00 einzuspielen, um einen Hack zu verhindern?“ - Checke die Reputation Deines Webhosters ab:
- Was berichten Kunden in diversen Foren?
- Gab es Databreaches in der Vergangenheit?
- Sind diese nach ISO 2700X zertifiziert?
- Wie stark ist der DDoS-Schutz?
- Gebe lieber ein paar Euro mehr aus, damit Deine Webseite nicht auf einem gehackten thailändischen Windows 95 läuft.
- PHP-Version: Nutze die aktuellste PHP-Version und aktualisiere Deine Webseite auf die nächste (stabile) Version so schnell wie möglich.
- Verschlüsselung: Nutze TSL (früher SSL, Verschlüsselung der Webseiten), ohne Ausnahme und mit keinem wenn oder aber! Verwende entweder ein kostenloses Zertifikat von Let’s Encrypt oder kaufe Dir ein echtes Zertifikat von einer bekannten Zertifizierungsstellen.
- Gegen Bots: Verwende einen DDoS-Schutz (und CDN)! Wenn 1 TB pro Sekunde an Bot-Anfrage auf Deine Server einprasseln, geht nicht mehr viel. Ein kostenlose CDNs wie Cloudflare eignen sich gut.
- Nicht unterschätzen: Nutze IMMER sichere Passwörter (min. 10-stellig, mit Buchstaben, Symbolen, Zahlen und einer hohen Entropie) für Euer
- WordPress
- FTP / SSH und sonstige manuelle Verbindungen
- Login-Panel des Webhosting und des Servers
- Plugins mit Login (CDNs, Sicherheit, Spam)
- Angriffsfläche: Deaktiviere alle Ports, außer die Du wirklich brauchst! SSH, FTP, RDP, AD usw. brauchst Du für Dein WordPress nicht. Verkleinere Deine Angriffsfläche.
- Rechte: Minimiere den Zugriff auf Deine Dateien-Ordner mit CHMOD bzw. ändere nichts an den Standard-Einstellungen von WordPress:
- 755 alle Ordner
- 644 alle Dateien
- 644 .htaccess
- 444 wp-config.php
- 666 sitemap.xml
- Programmieren: Wenn Du ein WordPress-PHP-Bastler bist, trenne das Test-WordPress und Produktions-WordPress voneinander. Entwickle auf Deinem Localhost oder in einer separaten Testumgebung.
- Letzte Rettung: Backupe alle Daten in einem Wochen-Rhythmus und die WordPress-Datenbank täglich. Lade Dir die Backups am Ende auf Deinen lokalen Computer und auf eine externe Festplatte, die Du vom Computer trennst.
Tipp am Rande:
Steffen Lippke
Die aller wichtigsten Passwörter wie E-Mail-Adresse, Server-Zugang und Windows Passwort solltest Du NIE einem Passwort-Manager anvertrauen. Falls die Hacker den Passwort-Manager gehackt haben, sieht es für Dich auch schlecht aus.
4 Tipps für Social WordPress Security
Die beste IT-Infrastruktur hilft nichts, wenn Du einen „menschlichen“ Fehler begehst.
Die Hacker versuchen Dich mit diesen 3 Tricks hinters Licht zu führen.
- Ignoriere die „Passwort zurücksetzen“-Mails von WordPress oder Web Hoster. Die Hacker tarnen diese Mails als einen guten Phishing-Angriff. Die Social Hacker nutzen solche Mails, um Dich auszutricksen.
- Ignoriere die Droh-E-Mails von Hackern und zahle NIE, NIE das geforderte Lösegeld (auch wenn Deine Daten verschlüsselt sind).
- „Zahlen mir 1000 Bitcoins, damit ich nicht XY“
- „Du brauchst 1 Mio. mehr Traffic auf Deiner Webseite …“
- „Ich habe Dich gehackt, ich sende XX alle Deine Kontakten.“
- Nutze das WordPress Berechtigungskonzept. Gebe Deinen „Blogger-Hilfen“ nur so viel Rechte, wie diese brauchen.
8 WordPress Security Must-Haves für jeden Blogger
WordPress braucht nach einer sauberen Neu-Installation diese 8 Einstellungen, damit Hacker weniger Angriffsfläche haben. Diese Plug-ins und Techniken schützen Dich vor den Hackern.
- Beachte die folgenden Regeln zu Plug-ins und Deiner WordPress-Installation:
- Halten die Plug-ins und WordPress mit dem Companion Auto Update immer aktuell.
- Lösche lange nicht mehr aktualisierte (6 Monate und mehr) Plug-ins sofort.
- Lösche lange nicht mehr genutzte Plug-ins sofort.
- Lösche und installiere keine Plug-ins mit weniger als 10.000 Nutzern.
- Schütze Dich vor Spam-Kommentaren mit Antispam Bee oder Akismet Anti-Spam
- Verwende eine Web Application Firewall und einen Malware-Scan mit einem WordPress Installations Integritäts-Checkup z. B. Sucuri Security oder Wordfence Security
- Nutze das Google (re)Captacha für jedes Eingabe-Feld auf Deiner Webseite. Schütze Dich vor (SQL, XSS) Injektion, Werbung und Script-Kiddies.
- Login bei WordPress
- Kommentar-Feld
- Support-Formulare
- Suchleisten
- Auswahlen
- Quizze
- Registrierung für neue Nutzer
- Newsletter-Anmeldung
- Beobachte Deinen Traffic und handle bei schädlichen Traffic mit der WordPress Erweiterung WP Cerber Security, Antispam & Malware Scan
- Aktiviere eine 2-Faktor-Authentisierung mit dem ShieldSecurity oder dem Google Authenticator. Sei vorsichtig, sodass Du Dich nicht selbst aussperrst.
- Nutze eine Sicherheits-optimierte .htaccess Datei. Sehr empfehlenswert ist die .htaccess Datei der Seoagentur Hamburg (verbessert auch die Geschwindigkeit durch Caching). Übernehmt Eure 301 Redirects und kommentiert das Rewriting zu HTTPs aus.
- Nutze einen Update-Manager für WordPress UpdraftPlus – Sichern/Wiederherstellen
Das sicherste WordPress ist vor den Zero-Day-Angriffen nicht geschützt!
Backupe Deine WordPress-Installation mit der genannten Erweiterung. Downloade Dir die Backups auf Deinem Computer. Um Platz zu sparen, nutze ein Bilder-Kompressions-Plug-in. Die Bilder verbrauchen am meisten Platz von WordPress.
Diese Liste ist nicht vollständig. Wenn Du weitere Tipps kennst, schreibe einen Kommentar in das Feld unten.