Wordpress vor Hackern schützen - Einfache Schutzmaßnahmen im Überblick!
Netzwelt Blog

WordPress vor Hackern schützen – Einfache Schutzmaßnahmen im Überblick!

Für viele Webseitenbetreiber kommt die Situation völlig überraschend. Wird der WordPress-Blog gehackt, stellt sich häufig die Frage nach dem „Warum“. Es genügt nicht, regelmäßig aktuelle WordPress-Updates durchzuführen. Wer das CMS effektiv vor Hackern schützen möchte, sollte auf die nachfolgenden Maßnahmen nicht verzichten:

WordPress an jedem Tag absichern

Ein regelmäßiges Backup des WordPress-Blogs wird dringend empfohlen. Am besten ist ein tägliches Backup. Doch an das Minimum von einem wöchentlichen Backup sollten sich Webseitenbetreiber unbedingt halten. Diesbezüglich ist es wichtig, sich nicht nur auf den Webhoster zu verlassen. Zu groß ist die Gefahr, dass der Anbieter nicht mehr zahlungsfähig ist oder selbst gehackt wird. Vielmehr sollten Webseitenbetreiber verschiedene Optionen testen, um manuelle oder halbautomatische Backups des WordPress zu erstellen.

Auf sichere Passwörter setzen

Bei der Wahl geeigneter Passwörter ist viel Geschick und auch etwas Fantasie gefragt. Ein Passwort muss mindestens acht Zeichen lang sein und Zahlen, Sonderzeichen sowie Buchstaben enthalten. Wer außerdem Buchstaben mit Groß- und Kleinschreibung einbaut, geht bei der Passwortwahl auf Nummer sicher. Kostenfreie Passwort-Manager wie KeePass helfen dabei, sich schwierige Passwörter zu merken. Diese Manager speichern die Passwörter nicht nur ab, sondern können diese auch direkt im Browser einfügen bzw. sichere Passwörter für WordPress generieren. Zudem sind Internetnutzer gut beraten, nicht für jeden WordPress-Blog oder jede Webseite dasselbe Passwort zu benutzen. Wird eines der Passwörter gehackt, sind wenigstens die anderen Seiten gesichert.

Installation von WordPress-Updates

Im Gegensatz zu anderen Content Management Systemen (CMS) ist WordPress keine Software, bei der es genügt, das Tool einmalig zu installieren. Regelmäßig werden WordPress-Versionen mit neuen Updates und Sicherheitsfunktionen veröffentlicht, so dass Webseitenbetreiber stets die aktuellste Version installieren sollten. In aller Regel genügen einige wenige Mausklicks, um ein Update von WordPress zu erstellen. Dieses Update erfolgt in diesen Schritten:

  1. Vor der Einspielung eines Haupt-Updates wird Ihnen die Erstellung eines Backups empfohlen.

  2. Suchen Sie auf Webseiten wie dem blogVault Dashboard den Punkt „Jetzt Backupen“.

  3. Überprüfen Sie im Anschluss unter dem Punkt „History“, inwiefern letzte Beiträge abgesichert wurden.

Sind beim letzten WordPress-Update Fehler unterlaufen, kann die letzte WordPress-Version jederzeit durch Mausklicks wieder hergestellt werden. Werden außerdem alle Plugins stets auf dem neuesten Stand gehalten, treten in älteren Plugins auch keine Sicherheitslücken auf.

Änderung des Standard-Benutzers „Admin“

Während des Installationsprozesses des WordPress-Blogs schlägt das CMS automatisch die Benutzer-Bezeichnung „Admin“ vor. Allerdings ist es ratsam, einen anderen Benutzernamen auszuwählen. Experten raten zu einem Benutzernamen, der nur relativ schwer zu erraten ist. Eine Option sind kryptische Nummern, die sich durch Benutzer dennoch gut merken lassen. Eine andere Lösung ist eine abgeänderte Form des Webseitentitels. Als dritte Alternative kommt eine Bezeichnung in Betracht, die für Dritte ebenfalls nur schwer nachzuvollziehen ist. Typische Beispiele sind eigene Kfz-Nummernschilder.

Installation von Sicherheits-Plugins

Einige Plugins steigern die Sicherheit des WordPress-Blogs deutlich. Diese Plugins zielen beispielsweise darauf ab, einen WordPress-Zugang für Hacker gezielt einzuschränken. Häufig lassen Hacker keine Bemühungen unversucht, um unterschiedliche Benutzernamen und Passwörter auszuprobieren. Ein Plugin wie „Limit Login Attempts“ ermöglicht es hingegen, dass der Zugriff auf den WordPress-Adminbereich nur bestimmten IP-Adressen vorbehalten bleibt. Alternativ besteht die Möglichkeit, IP-Adressen sperren zu lassen, falls durch diese eine festgelegte Anzahl an Anmeldungen nicht gelungen ist. Diese Sicherheitsmaßnahmen hindern Hacker daran, ungestört im World Wide Web ihr Unwesen zu treiben.

Absicherung der wp-config-Datei

Die wp-config-Datei ist eine wichtige Stütze in jedem WordPress-Blog. Diese Datei wird entweder durch Eigeninitiative oder von WordPress direkt während der Installation angelegt. In diese Datei sind nicht nur Logindaten der Datenbank integriert. Darüber hinaus sind in dieser Datei unterschiedliche Konfigurationsangaben und Einstellungen enthalten. Die nachfolgenden drei Änderungen schützen die eigene wp-config.php-Datei unmittelbar vor Hackern:

  1. Abänderung des Sicherheitsschlüssels: bietet hohes Sicherheitspotential in WordPress

  2. Änderung der Datenbank „Prefix“: bezieht sich auf das vor Datenbankeinträgen von WordPress befindliche Wort; standardmäßige Wortkombination „wp“ kann in nur schwer zu erratende Kürzel umgewandelt werden

  3. Ausschaltung der Funktion „Themes bearbeiten“: dient einer Vermeidung des Zugriffs dritter Personen; wird durch Suche nach Begriff “define(‘DISALLOW_FILE_EDIT’,true);” ermöglicht; Begriff „true“ muss enthalten sein

Auf diese Weise werden Sicherheitsschlüssel verändert. Die wp-config.php-Datei integriert nachfolgende Zeilen:

define(‘AUTH_KEY’, ‘put your unique phrase here’)
define(‘SECURE_AUTH_KEY’, ‘put your unique phrase here’)
define(‘LOGGED_IN_KEY’, ‘put your unique phrase here’)
define(‘NONCE_KEY’, ‘put your unique phrase here’)
define(‘AUTH_SALT’, ‘put your unique phrase here’)
define(‘SECURE_AUTH_SALT’, ‘put your unique phrase here’)
define(‘LOGGED_IN_SALT’, ‘put your unique phrase here’)
define(‘NONCE_SALT’, ‘put your unique phrase here’)

Diese erwähnten Schlüssel sollten WordPress-Administratoren und andere Webseitenbetreiber gegen zufällig generierte Optionen austauschen. Dieses System stellt Hacker vor schier unüberwindbare Barrieren. Nun sind nachfolgende Schritte nötig:

  1. Betätigen Sie den Link der sich in einem neuen Fenster öffnet.
  2. Kopieren Sie die Zeilen.

  3. Setzen Sie die Zeilen in der wp-config.php-Datei ein.

  4. Ersetzen Sie die Datei mit den neuen Zeilen. Die neu generierten Zeilen sind an einem „String“ erkennbar.

Diese Methoden sind die einfachsten Lösungen, um die eigene WordPress Seite vor Hackern zu schützen. Wer diese Tipps beherzigt, kann zukünftig noch sicherer auf der eigenen WordPress-Seite arbeiten.