Inhalt

    WordPress absichern – so geht’s!

    WordPress ist ein Tausendsassa unter den Content-Management-Systemen – vielseitig, nutzerfreundlich und weit verbreitet. Es bildet das solide Fundament unzähliger Websites, von kreativen Blogs bis hin zu umfangreichen Unternehmensauftritten. Doch bei all seinen Stärken hat WordPress auch seine Achillesferse: Sicherheitsrisiken. Diese resultieren meist weniger aus dem System selbst, sondern vielmehr aus der Art und Weise, wie wir es nutzen.

    Also, wie sorgen wir dafür, dass unsere WordPress-Seite nicht nur läuft, sondern auch sicher ist? Genau darum geht es hier – ich zeig dir, wie’s richtig geht, einfach und unkompliziert.

    TL;DR: Wie kann ich WordPress sicher machen?

    Achtung: lange Liste. Wenn du’s wirklich super sicher willst, arbeite dich an der Liste entlang.

    Wenn du die Kurzvariante bevorzugst: Installier keinen Mist, nimm ein gutes Sicherheitsplugin und warte deine Webseite regelmäßig (nein, nicht nur 1x im Jahr, sondern besser alle paar Wochen) und mach Backups. Damit fährst du schon ziemlich sicher und bist dem größten Anteil an WordPress-Seiten voraus. Falls du dir Hilfe von einer WordPress Agentur suchst, frag auf jeden Fall nach, wie sie das Thema Sicherheit bei sich handhaben.

    1. Wähle vertrauenswürdige Themes
      • Beachte Sicherheitsaspekte bei Drittanbieter-Themes
      • Berücksichtige Sicherheitsstandards bei Eigenentwicklungen
    2. Setze auf bewährte Plugins
    3. Implementiere Sicherheitsplugins
    4. Führe regelmäßige Wartungen durch
    5. Modifiziere die Admin-URL (insofern kompatibel)
    6. Implementiere Zwei-Faktor-Authentifizierung, sichere Passwörter und individuelle Benutzernamen
    7. Aktiviere SSL-Verschlüsselung
    8. Integriere HTTP-Security-Header zur Prävention von Missbrauch
    9. Aktualisiere auf die neueste PHP-Version
    10. Entscheide dich für ein sicheres und modernes Hosting
    11. Kontrolliere die Dateizugriffsrechte auf deinem Server
    12. Unterbinde das Bearbeiten von Dateien über das WordPress-Admin-Panel
    13. Modifiziere den Datenbank-Präfix
    14. Verlagere die wp-config.php-Datei
    15. Nutze ein Content Delivery Network (CDN)
    16. Trainiere deine Mitarbeiter:innen in Sicherheitsfragen

    Wähle vertrauenswürdige Themes

    Beim Aufbau einer Website mit WordPress sind Themes ein wesentlicher Bestandteil, um das Erscheinungsbild und die Funktionalität deiner Seite zu gestalten. Doch Vorsicht ist geboten, besonders wenn es um die Sicherheit geht – sei es bei der Nutzung von Fremdthemes oder der Entwicklung eigener Themes.

    Für die Verwendung von Fremdthemes gilt:

    • Vertrauenswürdige Quellen: Bezieh deine Themes immer von anerkannten Marktplätzen oder direkt von Entwicklern, denen du vertrauen kannst. So vermeidest du böswilligen Code.
    • Bewertungen und Support: Ein gutes Theme zeichnet sich durch positive Nutzerbewertungen und einen zuverlässigen Support aus. Dies garantiert regelmäßige Updates und die schnelle Behebung von Sicherheitslücken.
    • Funktionsumfang: Weniger ist oft mehr. Entscheide dich für Themes, die genau die Funktionen bieten, die du benötigst, um potenzielle Sicherheitsrisiken zu minimieren.
    • Sicherheitsüberprüfungen: Vor der Installation solltest du das Theme mit entsprechenden Tools auf bekannte Sicherheitslücken überprüfen.

    Beim Entwickeln eigener Themes beachte folgende Punkte:

    • Sicherheitsstandards: Halte dich an die Sicherheitsrichtlinien des WordPress-Codex und die Best Practices für die Theme-Entwicklung. Wichtig sind hierbei die sorgfältige Validierung und Bereinigung von Eingaben, um Angriffe wie Cross-Site Scripting (XSS) zu verhindern.
    • Advanced Custom Fields (ACF): Wenn du ACF einsetzt, achte darauf, dass alle benutzerdefinierten Felder sicher gehandhabt werden. Die ACF-API bietet Funktionen, die dir dabei helfen, Daten sicher zu verarbeiten.
    • Datenbereinigung und -validierung: Es ist essenziell, dass alle über Formulare eingegebenen Daten ordnungsgemäß validiert und bereinigt werden. Das schützt vor SQL-Injection und XSS-Angriffen.

    Auswahl sicherer Plugins

    Plugins sind das Zauberwort, wenn es darum geht, deine WordPress-Website mit zusätzlichen Funktionen auszustatten. Doch mit großer Macht kommt auch große Verantwortung, insbesondere im Hinblick auf die Sicherheit. Ein schlecht gewähltes Plugin kann leider schnell zum Einfallstor für Sicherheitslücken werden. Daher hier ein paar goldene Regeln für die Plugin-Auswahl:

    • Reputation ist alles: Nimm dir die Zeit, Bewertungen und Feedback zu den Plugins durchzulesen. Die Erfahrungen anderer Nutzer können dir wertvolle Hinweise auf die Zuverlässigkeit und Sicherheit eines Plugins geben.
    • Aktualität zählt: Ein Blick in die Update-Historie verrät viel über die Pflege des Plugins. Regelmäßige Aktualisierungen sind ein gutes Zeichen dafür, dass Sicherheitslücken geschlossen und Funktionen verbessert werden.
    • Kompatibilität prüfen: Nichts ist frustrierender als Konflikte zwischen Plugins oder mit deiner WordPress-Version. Vergewissere dich, dass das Plugin reibungslos mit deiner aktuellen Setup läuft.
    • Weniger ist mehr: Überlege genau, welche Funktionen du wirklich brauchst. Jedes zusätzliche Plugin birgt potenzielle Risiken, also halte deine Plugin-Liste schlank und sinnvoll.

    Installiere ein Sicherheitsplugin

    Sicherheitsplugins spielen eine Schlüsselrolle beim Schutz deiner WordPress-Website. Sie bilden eine erste Verteidigungslinie gegen die ständig wachsenden Bedrohungen aus dem Internet. Doch nicht jedes Plugin ist gleich geschaffen, daher hier ein paar wesentliche Punkte, die du bei der Auswahl und Nutzung beachten solltest:

    • Die richtige Wahl treffen: Ein gutes Sicherheitsplugin erkennst du an seiner Reputation, den durchweg positiven Bewertungen und einer engagierten Support-Community. Diese Faktoren sind ein Zeichen dafür, dass du dich auf das Plugin verlassen kannst.
    • Funktionsumfang prüfen: Stelle sicher, dass das Plugin essenzielle Sicherheitsfeatures wie eine Firewall, Malware-Scans und verstärkte Maßnahmen zur Absicherung des Logins umfasst. Diese Funktionen sind unverzichtbar, um gängigen Bedrohungen effektiv entgegenzuwirken.
    • Sorgfältige Konfiguration: Ein mächtiges Tool benötigt eine durchdachte Einstellung. Passe das Sicherheitsplugin sorgfältig an deine Bedürfnisse an und folge den Empfehlungen des Entwicklers, um einen optimalen Schutz zu gewährleisten.
    • Proaktiv handeln: Verwende das Plugin für regelmäßige Sicherheitsüberprüfungen deiner Website. Automatisierte Scans helfen, potenzielle Sicherheitsrisiken frühzeitig zu erkennen und zu beheben.
    • Aktuell bleiben: Wie bei allen Aspekten deiner Website ist es auch hier entscheidend, das Plugin stets auf dem neuesten Stand zu halten. Aktualisierungen schließen nicht nur Sicherheitslücken, sondern verbessern oft auch die Performance und Funktionalität.

    Ein zusätzlicher Tipp: Kombiniere nicht mehrere Sicherheitsplugins, um Konflikte und Leistungseinbußen zu vermeiden. Wähle stattdessen ein umfassendes Plugin, das alle wesentlichen Sicherheitsaspekte abdeckt. So sorgst du für einen effektiven Schutz, ohne deine Website zu überlasten.

    Punkteraster

    Yvonne, Teamlead Webseiten

    Yvonne, Teamlead Webseiten

    Warte deine Webseite regelmäßig

    Die regelmäßige Wartung deiner WordPress-Website ist ein entscheidender Faktor – wenn nicht sogar DER entscheidende Faktor, um ihre Sicherheit und Effizienz sicherzustellen. Entwickle deshalb eine Routine, bei der du deine Webseite wartest. Dazu gehören Theme und Plugin-Updates, aber auch mal ein Blick ins Hosting.

    • Updates sind unerlässlich: Halte WordPress sowie alle Themes und Plugins stets auf dem neuesten Stand. Gerade Plugins sind oft Einfallstore für Sicherheitsbedrohungen, weshalb aktuelle Versionen so wichtig sind, um bekannte Schwachstellen zu beheben.
    • Backup nicht vergessen: Erstelle regelmäßig vollständige Backups deiner Website. Diese sollten sicher extern gespeichert werden, um im Ernstfall eine schnelle Wiederherstellung zu ermöglichen.

    Aus der Praxis: Für Backups nutzen wir eines unserer Lieblingsplugins – Duplicator Pro. Dort kann man Wiederherstellungspunkte setzen, die man über einen Link erreichen kann. Für uns eine ideale Hilfe als Absicherung, wenn die Webseite so gar nicht mehr möchte.

    Punkteraster

    Yvonne, Teamlead Webseiten

    Yvonne, Teamlead Webseiten

    Ändere die Login-URL – oder doch nicht?

    Das Anpassen der Login-URL deiner WordPress-Website kann auf den ersten Blick als verlockende Strategie erscheinen, um die Oberfläche für potenzielle Angriffe zu minimieren. Die standardmäßige /wp-admin/ URL ist in der Tat weit bekannt und zieht daher automatisierte Brute-Force-Attacken magisch an. Durch die Änderung dieser URL kann die unmittelbare Sichtbarkeit für solche automatisierten Angriffe reduziert werden.

     

    Mögliche Nachteile durch das Ändern der Login-URL

    Kompatibilitätsrisiken

    • Das Umgestalten der Login-URL kann unbeabsichtigt Auswirkungen auf die Funktionalität von Themes und Plugins haben, die feste Pfade erwarten, besonders wenn diese auf AJAX-Funktionen oder spezifische Admin-URLs angewiesen sind.

    Falsches Sicherheitsgefühl

    • Obschon das Ändern der Login-URL eine Hürde darstellen kann, bietet es keine vollständige Sicherheit. Expert:innen können durchaus weitere Methoden finden, um Zugriff zu erlangen, wodurch die Maßnahme eher zu einem Gefühl falscher Sicherheit führt, anstatt echten Schutz zu bieten.

    Icon mit einem Schild

    Effektivere Sicherheitsmaßnahmen wie Zwei-Faktor-Authentifizierung (2FA), das Beschränken von Anmeldeversuchen oder regelmäßige Sicherheitsüberprüfungen bieten einen robusteren Schutz gegen ein breiteres Spektrum von Bedrohungen als das reine verschieben der Login-URL.

    Richte 2-FA ein, nutze starke Passwörter und einzigartige Benutzernamen

    Die Sicherheit deiner Anmeldedaten spielt eine zentrale Rolle beim Schutz deiner WordPress-Website vor unautorisierten Zugriffen. Ein mehrschichtiger Ansatz hilft dabei, deine Daten sicher zu halten:

    • Zwei-Faktor-Authentifizierung (2-FA): Die Aktivierung der Zwei-Faktor-Authentifizierung für alle Benutzerkonten, insbesondere für die der Administratoren, ist eine der wirkungsvollsten Methoden, um die Sicherheit zu erhöhen. Durch diesen zusätzlichen Authentifizierungsschritt, der über das Passwort hinausgeht, wird es für Angreifer erheblich schwieriger, sich unbefugten Zugang zu verschaffen.
    • Starke Passwörter: Ein starkes Passwort ist unerlässlich. Es sollte eine Kombination aus Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen enthalten und nicht leicht zu erraten sein. Vermeide allgemeine Wörter und Phrasen und erneuere deine Passwörter in regelmäßigen Abständen, um potenzielle Risiken zu minimieren.
    • Einzigartige Benutzernamen: Standard-Benutzernamen wie „admin“ sind ein gefundenes Fressen für Angreifer, die Brute-Force-Methoden anwenden. Indem du einen einzigartigen Benutzernamen wählst, erschwerst du es potenziellen Eindringlingen, überhaupt erst einen Fuß in die Tür zu bekommen.

    Webseite über SSL verschlüsseln

    Die Implementierung von SSL (Secure Sockets Layer) auf deiner WordPress-Website ist ein grundlegender Schritt, um die Sicherheit der Datenübertragung zu gewährleisten. SSL verschlüsselt die Kommunikation zwischen dem Browser deiner Besucher und deinem Webserver, wodurch sensible Informationen wie Passwörter und persönliche Daten vor unbefugtem Zugriff geschützt werden.

    Wenn du das hier liest, hast du hoffentlich schon längst ein SSL-Zertifikat auf deiner Webseite eingerichtet, da dies sonst auch schwerwiegende Folgen für deine Sichtbarkeit im Web hat. (Sonst ist das jetzt dein Zeichen, dich dahinter zu setzen! Das ist auch wirklich nicht schwer: du brauchst einfach nur das Login zu deinem Hosting und in aller Regel gibt es da entweder kostenfreie oder günstige SSL-Zertifikate, die man einfach nur buchen und der entsprechenden Domain zuweisen muss)

    Implementiere Sicherheitsheader (HTTP-Security-Header)

    Sicherheitsheader fungieren wie diskrete, aber effektive Wächter im digitalen Raum deiner Website. Sie arbeiten im Hintergrund, um den Browser deiner Besucher:innen anzuleiten, wie sie mit deiner Website sicher interagieren sollen. Stell dir Sicherheitsheader als eine Art versteckte Sicherheitsschalter vor, die sicherstellen, dass alles nach bestimmten Sicherheitsprotokollen abläuft.

    Warum sind diese digitalen Wächter so wichtig? Einfach ausgedrückt, helfen sie dabei, deine Website und deren Nutzer:innen vor einer Vielzahl von Online-Bedrohungen zu schützen – von Datenlecks bis hin zu bösartigen Angriffen. Indem sie klare Regeln für den Datenaustausch zwischen Browser und Server setzen, tragen Sicherheitsheader dazu bei, die Privatsphäre und Integrität deiner Website-Daten zu bewahren.

    Strict-Transport-Security (HSTS):

    Dieser Header sorgt dafür, dass deine Website ausschließlich über HTTPS, also eine sichere Verbindung, aufgerufen wird. Das verhindert, dass jemand versucht, deine Besucher auf eine unsichere Version deiner Seite umzuleiten. Um HSTS zu aktivieren, füge deiner .htaccess-Datei oder dem entsprechenden Konfigurationsfile deines Webservers folgenden Eintrag hinzu:

     

    Dabei steht max-age=31536000 für die Dauer (in Sekunden), wie lange der Browser sich daran erinnern soll, nur die HTTPS-Version deiner Website aufzurufen.

    Content-Security-Policy (CSP)

    Mit CSP kannst du festlegen, welche externen Ressourcen auf deiner Seite geladen werden dürfen. Dies hilft, Angriffe wie Cross-Site-Scripting (XSS) zu verhindern. CSP kann recht komplex sein, aber eine grundlegende Richtlinie, die du deiner .htaccess hinzufügen kannst, könnte so aussehen:

    Dieser Eintrag besagt, dass alle Inhalte (Skripte, Styles etc.) nur von der eigenen Domain geladen werden dürfen.

    X-Frame-Options

    Dieser Header verhindert, dass deine Seite in einem Frame oder iFrame von einer anderen Seite eingebettet wird, was häufig bei Clickjacking-Angriffen genutzt wird. Um ihn zu setzen, füge Folgendes hinzu:

    Dies erlaubt das Einbetten deiner Seite nur, wenn es innerhalb derselben Domain geschieht.

    Referrer-Policy

    Dieser Header kontrolliert, welche Informationen als Verweisender (Referrer) beim Klicken auf Links auf deiner Seite gesendet werden. Eine sichere Einstellung, die du nutzen kannst, ist:

    Diese Einstellung verhindert das Senden von Referrer-Informationen, wenn von HTTPS zu einer unsicheren HTTP-Verbindung gewechselt wird.

    X-Content-Type-Options

    Mit diesem Header kannst du verhindern, dass der Browser versucht, den MIME-Typ von Ressourcen zu erraten, was genutzt werden könnte, um bösartigen Code auszuführen. Um ihn zu aktivieren, füge hinzu:

    Permissions Policy (früher Feature Policy)

    Ein weiterer wichtiger Sicherheitsheader, den du in Betracht ziehen solltest, ist die Permissions Policy. Dieser relativ neue Header ermöglicht es dir, die Verwendung bestimmter Browser-Funktionen auf deiner Seite zu kontrollieren und zu beschränken. Durch das Festlegen dieser Policy kannst du beispielsweise verhindern, dass Inhalte auf deiner Website auf die Kamera oder das Mikrofon eines Benutzers zugreifen, die Vibrationen auslösen oder vollbildfähige Inhalte ohne ausdrückliche Zustimmung anzeigen.

    Die Implementierung einer Permissions Policy hilft dir, ein sichereres und kontrollierteres Browser-Erlebnis für deine Nutzer:innen zu schaffen, indem du nur den Zugriff auf Funktionen erlaubst, die für das ordnungsgemäße Funktionieren deiner Website notwendig sind. Hier ist ein einfaches Beispiel, wie du die Permissions Policy in deine Website integrieren kannst:

    In diesem Beispiel wird der Zugriff auf kritische Funktionen wie Geolokalisierung und vollbildfähige Inhalte nur für Inhalte erlaubt, die von der gleichen Domain stammen (’self‘), während der Zugriff auf andere Funktionen wie Mikrofon, Kamera und Zahlungsmöglichkeiten vollständig blockiert wird (’none‘).

    Die sorgfältige Konfiguration deiner Permissions Policy unterstützt die Datenschutzbestimmungen deiner Website, indem sie verhindert, dass Drittanbieter-Scripts unbefugt auf potenziell sensible Browser-Features zugreifen. Es ist eine zusätzliche Schicht der Sicherheit, die die Privatsphäre deiner Nutzer:innen schützt und gleichzeitig das Risiko von Missbrauch verringert.

    Okay, und wie teste ich das jetzt?

    Um sicherzustellen, dass deine HTTP-Security-Header richtig konfiguriert sind, empfiehlt es sich, regelmäßige Überprüfungen durchzuführen. Tools wie securityheaders.com bieten eine einfache Möglichkeit, deine Website zu scannen und Empfehlungen zu erhalten, wie du deine Header verbessern kannst. Ein weiteres nützliches Tool ist das Mozilla Observatory, das neben den Sicherheitsheadern auch andere Sicherheitsaspekte deiner Website bewertet.

    Gutes ScanErgebnis der SecurityHeader

    PHP-Version aktualisieren

    PHP ist die Serverseitige Skriptsprache, auf der WordPress läuft, und jede neue Version bringt nicht nur Verbesserungen in Bezug auf Geschwindigkeit und Effizienz, sondern auch wichtige Sicherheitspatches.

    So aktualisierst du die PHP-Version

    Die Vorgehensweise kann je nach Hosting-Anbieter variieren, aber hier sind allgemeine Schritte, die du befolgen kannst:

    1. Backup: Bevor du Änderungen vornimmst, solltest du immer ein vollständiges Backup deiner Website erstellen.
    2. Kompatibilitätsprüfung: Stelle sicher, dass deine Themes und Plugins mit der neuesten PHP-Version kompatibel sind. Viele Hosting-Provider bieten eine Option, um deine Website in einer Testumgebung mit der neuen PHP-Version auszuführen.
    3. Aktualisierung durchführen: Bei vielen Hosting-Anbietern kannst du die PHP-Version direkt in deinem Hosting-Dashboard aktualisieren. Suche nach dem Abschnitt „PHP-Version“ oder „Software-Versionen“ und wähle die neueste verfügbare Version aus.
    4. Website testen: Nach der Aktualisierung solltest du deine Website gründlich testen, um sicherzustellen, dass alles reibungslos funktioniert.

    Auswahl eines guten Hostings

    Die Wahl eines guten Hostings ist entscheidend für die Sicherheit, Geschwindigkeit und Zuverlässigkeit deiner WordPress-Website. Hier sind einige Schlüsselfaktoren, die du berücksichtigen solltest, um eine informierte Entscheidung zu treffen:

    Wichtige Merkmale eines empfehlenswerten Hostings

    Sicherheit

    • Firewalls und DDoS-Schutz: Zum Schutz vor Angriffen und unerwünschtem Datenverkehr.

    • Regelmäßige Malware-Scans und -Entfernungen: Um sicherzustellen, dass deine Website sauber bleibt.

    • Back-up-Lösungen: Automatisierte und regelmäßige Back-ups deiner Website-Daten für den Notfall.

    Performance

    • Hochverfügbarkeit und Uptime-Garantien: Achte auf Anbieter, die eine Uptime von 99,9% oder höher garantieren.

    • Serverleistung: Serverkonfigurationen und -ressourcen sollten deine Website auch bei hohem Besucheraufkommen unterstützen können.

    • Content Delivery Network (CDN): Einige Hosts bieten Integrationen mit CDNs an, die deine Website weltweit schneller machen.

    Dateizugriffsrechte auf dem Server

    Diese Rechte bestimmen, wer oder was Dateien und Verzeichnisse auf deinem Webserver lesen, schreiben oder ausführen kann. Eine unsachgemäße Konfiguration kann Sicherheitsrisiken wie unbefugten Zugriff oder Malware-Injektionen eröffnen. Hier sind einige grundlegende Richtlinien zur Einstellung der Dateizugriffsrechte für eine WordPress-Website:

    Grundlagen der Dateizugriffsrechte

    Dateizugriffsrechte werden in der Regel durch drei Ziffern dargestellt, die jeweils unterschiedliche Zugriffsebenen für den Dateieigentümer, die Gruppe und alle anderen Nutzer definieren. Die Rechte sind wie folgt aufgebaut:

    4 steht für „Lesen“

    2 steht für „Schreiben“

    1 steht für „Ausführen“

    0 steht für „Kein Zugriff“

    Diese Ziffern können kombiniert werden, um verschiedene Zugriffsebenen zu setzen (z.B. 6 für Lesen und Schreiben).

    process-tip

    Empfohlene Zugriffsrechte für WordPress

    • Dateien: Für die meisten Dateien ist 644 empfohlen, was bedeutet, dass der Dateieigentümer lesen und schreiben kann, während Gruppen und andere nur lesen können.
    • Verzeichnisse: Für Verzeichnisse wird in der Regel 755 empfohlen. Dies erlaubt dem Eigentümer, das Verzeichnis zu lesen, zu schreiben und darin zu navigieren, während Gruppen und andere Nutzer das Verzeichnis lesen und darin navigieren können, aber keine Dateien darin ändern dürfen.
    • wp-config.php: Dies ist eine kritische Datei, die deine WordPress-Installationseinstellungen enthält. Für diese Datei ist eine strengere Einstellung wie 600 oder 640 empfehlenswert, um den Lesezugriff auf den Dateieigentümer (und möglicherweise die Gruppe) zu beschränken und anderen keinen Zugriff zu gewähren.

    Du kannst die Dateizugriffsrechte über einen FTP-Client oder direkt über die Kommandozeile (falls du SSH-Zugriff auf deinen Server hast) ändern. Im FTP-Client kannst du normalerweise mit einem Rechtsklick auf eine Datei oder ein Verzeichnis auf eine Option wie „Berechtigungen ändern“ oder „Eigenschaften“ zugreifen und die gewünschten Rechte einstellen.

    Punkteraster

    Yvonne, Teamlead Webseiten

    Yvonne, Teamlead Webseiten

    File Editing ausschalten

    Die Möglichkeit, Dateien direkt im WordPress-Admin-Dashboard zu bearbeiten – wie zum Beispiel Theme- oder Plugin-Dateien über den Theme-Editor oder Plugin-Editor – kann zwar sehr praktisch sein, stellt aber auch ein erhebliches Sicherheitsrisiko dar.

    Wenn diese Funktion missbraucht wird, kann das zu ernsthaften Sicherheitsproblemen führen, einschließlich der Möglichkeit, dass Schadcode injiziert wird. Daher ist es oft ratsam, das direkte Bearbeiten von Dateien innerhalb des WordPress-Dashboards zu deaktivieren.

    So deaktivierst du das File Editing:

    Das Deaktivieren des Datei-Editors in WordPress ist einfach. Du musst lediglich eine Zeile Code zur wp-config.php-Datei deiner WordPress-Installation hinzufügen:

     

    Durch Hinzufügen dieser Zeile wird der eingebaute Editor für Themes und Plugins deaktiviert, was die Möglichkeit, Dateien über das WordPress-Dashboard zu bearbeiten, entfernt.

    Alternative Wege zur sicheren Dateibearbeitung:

    • FTP/SFTP: Verwende einen FTP- oder SFTP-Client, um Dateien sicher von deinem Desktop zu bearbeiten und dann auf den Server hochzuladen. Dieser Ansatz bietet mehr Kontrolle und Sicherheit.
    • Entwicklungsumgebungen: Führe Änderungen in einer lokalen Entwicklungsumgebung oder einer Staging-Website durch, bevor du sie auf die Live-Website überträgst. Dies minimiert das Risiko, dass die Live-Site durch Fehler beeinträchtigt wird.
    • Kind-Themes: Wenn du Änderungen an einem Theme vornehmen möchtest, erwäge die Verwendung eines Kind-Themes. So bleiben deine Änderungen auch nach einem Update des Haupt-Themes erhalten.

    Ändere den Datenbank-Präfix

    Standardmäßig verwendet WordPress das Präfix wp_ für alle Tabellennamen in der Datenbank. Angreifer:innen, die sich mit WordPress auskennen, können diese Standardkonfiguration zu ihrem Vorteil nutzen, um SQL-Injection-Angriffe durchzuführen oder sensible Daten aus deiner Datenbank zu extrahieren.

    So änderst du den Datenbank-Präfix

    Wichtig: Bevor du Änderungen an deiner Datenbank vornimmst, solltest du unbedingt ein vollständiges Backup deiner Website und deiner Datenbank erstellen.

    1. Ändern des Präfixes bei einer neuen Installation:
      • Während der Installation kannst du das Präfix in der Datei wp-config.php ändern, indem du den Wert in der Zeile $table_prefix = 'wp_'; anpasst. Verwende eine Kombination aus Buchstaben, Zahlen und Unterstrichen, um dein neues Präfix zu erstellen, z.B. mywp123_.
    2. Ändern des Präfixes bei einer bestehenden Installation:
      • Schritt 1: Bearbeite die wp-config.php-Datei deiner Website und ändere das $table_prefix von wp_ zu deinem neuen Präfix, z.B. mywp123_.
      • Schritt 2: Melde dich bei deiner Datenbank über ein Tool wie phpMyAdmin an und benenne alle Tabellen um, indem du das alte Präfix (wp_) durch das neue ersetzt.
      • Schritt 3: Suche in deiner Datenbank nach allen Instanzen des alten Präfixes in allen Tabellen und ersetze sie durch das neue Präfix. Dies betrifft insbesondere die Tabellen wp_options und wp_usermeta, wo das Präfix in den Optionennamen bzw. Meta-Keys verwendet wird.
      • Schritt 4: Überprüfe deine Website auf Funktionstüchtigkeit. Falls Probleme auftreten, stelle die Datenbank aus deinem Backup wieder her und überprüfe deine Schritte.

    Verlagere die wp-config.php

    Die wp-config.php-Datei ist eine der wichtigsten Dateien in deiner WordPress-Installation. Sie enthält sensible Informationen, darunter die Datenbankzugangsdaten und Sicherheitsschlüssel. Durch das Verlagern dieser Datei aus dem root-Verzeichnis deiner Website kannst du die Sicherheit deiner WordPress-Seite erheblich verbessern.

    Warum die wp-config.php verlagern?

    • Sicherheitserhöhung: Das Verlagern der wp-config.php aus dem öffentlich zugänglichen root-Verzeichnis macht es für Hacker schwieriger, an die sensiblen Informationen in dieser Datei zu gelangen.
    • Schutz vor Skripten: Einige automatisierte Angriffe durchsuchen bekannte Pfade nach Konfigurationsdateien. Wenn die wp-config.php nicht im Standardverzeichnis liegt, verringert sich das Risiko, dass diese Angriffe erfolgreich sind.

    So verlagerst du die wp-config.php

    WordPress ermöglicht es dir, die wp-config.php-Datei ein Verzeichnis über dem WordPress-Installationsverzeichnis zu platzieren. Hier ist, wie du das machen kannst:

    1. Backup erstellen: Sichere zuerst deine Website und insbesondere die wp-config.php-Datei.
    2. Datei verschieben: Verschiebe die wp-config.php-Datei physisch ein Verzeichnis über das root-Verzeichnis deiner WordPress-Installation. Wenn zum Beispiel deine WordPress-Dateien unter /var/www/html/wordpress liegen, solltest du die wp-config.php nach /var/www/html/ verschieben.

    WordPress sucht automatisch im aktuellen Verzeichnis und dann ein Verzeichnis darüber nach der wp-config.php. Wenn die Datei also ein Verzeichnis höher verschoben wird, kann WordPress sie immer noch finden und verwenden.

    Dinge, die du beachten solltest

    • Serverkonfiguration: Stelle sicher, dass deine Serverkonfiguration den Zugriff auf Dateien außerhalb des root-Verzeichnisses zulässt. In einigen Shared-Hosting-Umgebungen ist dies möglicherweise nicht erlaubt.
    • Sicherheit des übergeordneten Verzeichnisses: Vergewissere dich, dass das Verzeichnis, in das du die wp-config.php verschiebst, sicher ist und nicht öffentlich zugänglich gemacht wird.
    • Plugins und Themes: Überprüfe, ob alle deine Plugins und Themes korrekt funktionieren, nachdem du die wp-config.php verschoben hast. Einige könnten speziell auf den Standardpfad der wp-config.php angewiesen sein.
    • Manuelle Aktualisierungen: Wenn du WordPress manuell aktualisierst, denke daran, dass du möglicherweise die wp-config.php erneut verschieben musst, wenn sie aus irgendeinem Grund zurück in das root-Verzeichnis verschoben wurde.

    Nutze ein CDN

    Die Verwendung eines Content Delivery Network (CDN) ist eine ausgezeichnete Methode, um die Leistung deiner WordPress-Website zu verbessern und gleichzeitig die Sicherheit zu erhöhen.

    Ein CDN besteht aus einem Netzwerk von Servern, die über den Globus verteilt sind und darauf ausgelegt sind, die Ladezeiten deiner Webseite zu verkürzen, indem Inhalte von einem Standort ausgeliefert werden, der geografisch näher am Besucher deiner Website liegt.

    Bekannte Anbieter sind z.B. Cloudflare oder Fastly.

    Vorteile der Verwendung eines CDN

    • Verbesserte Ladegeschwindigkeit: Durch das Speichern von statischen Inhalten (wie Bildern, CSS und JavaScript-Dateien) auf mehreren Servern weltweit können Besucher diese Inhalte schneller herunterladen, da sie von einem Server in ihrer Nähe ausgeliefert werden.
    • Erhöhte Verfügbarkeit und Redundanz: Da deine Inhalte auf mehreren Servern repliziert werden, kann deine Website auch dann weiterhin Inhalte ausliefern, wenn ein Server oder sogar ein ganzes Rechenzentrum ausfällt.
    • Verbesserte Website-Sicherheit: Viele CDN-Anbieter bieten zusätzliche Sicherheitsfunktionen wie DDoS-Schutz, Web Application Firewalls (WAF) und TLS-Verschlüsselung an, die helfen, deine Website vor verschiedenen Online-Bedrohungen zu schützen.
    • Entlastung deines Host-Servers: Indem ein Teil des Traffics auf die CDN-Server umgeleitet wird, verringert sich die Belastung deines originären Host-Servers, was dessen Stabilität und Performance verbessert.

    Wie man ein CDN für WordPress einrichtet

    1. CDN-Anbieter auswählen: Es gibt viele CDN-Anbieter auf dem Markt, darunter Cloudflare, MaxCDN (jetzt Teil von StackPath), Amazon CloudFront und viele andere. Wähle einen Anbieter, der deinen Anforderungen in Bezug auf Kosten, geografische Abdeckung und zusätzliche Dienste entspricht.
    2. CDN konfigurieren: Nach der Registrierung bei einem CDN-Anbieter musst du dein CDN so konfigurieren, dass es mit deiner WordPress-Website zusammenarbeitet. Dies umfasst normalerweise die Einstellung von DNS-Einträgen und die Konfiguration des CDNs, um deine statischen Inhalte zu speichern und auszuliefern.
    3. WordPress für CDN einrichten: Viele WordPress-Caching-Plugins wie W3 Total Cache oder WP Rocket bieten integrierte Unterstützung für verschiedene CDNs. Du kannst das Plugin verwenden, um dein CDN mit WordPress zu verbinden, indem du deine CDN-URL oder andere relevante Details angibst.
    4. Testen und Überwachen: Nachdem du dein CDN eingerichtet hast, ist es wichtig, die Leistung deiner Website zu testen und zu überwachen, um sicherzustellen, dass alles korrekt funktioniert und die Ladegeschwindigkeit verbessert wurde.

    Best Practices

    • Nur statische Inhalte über CDN ausliefern: Stelle sicher, dass dein CDN so konfiguriert ist, dass es nur statische Inhalte ausliefert und dynamische Inhalte, die Benutzerinteraktionen oder persönliche Daten enthalten könnten, von deinem originären Server ausgeliefert werden.
    • HTTPS verwenden: Um die Sicherheit zu gewährleisten, solltest du sicherstellen, dass dein CDN HTTPS unterstützt und konfiguriert ist, um verschlüsselte Verbindungen zu verwenden.
    • CDN-Cache regelmäßig leeren: Wenn du Änderungen an deinen statischen Inhalten vornimmst, vergewissere dich, dass du den Cache deines CDNs leerst, damit die neuesten Versionen deiner Inhalte ausgeliefert werden.

    Mitarbeiterschulungen durchführen

    Mitarbeiterschulungen sind ein kritischer Bestandteil der Sicherheitsstrategie, denn: Menschen sind oft das schwächste Glied in der Sicherheitskette, und durch gezielte Schulungen können viele potenzielle Sicherheitsrisiken minimiert werden.

    Bewusstsein für Sicherheitsbedrohungen

    • Phishing und Social Engineering: Mitarbeitende sollten über die gängigen Methoden informiert werden, die Angreifer:innen verwenden, um Zugang zu sensiblen Informationen zu erlangen, wie zum Beispiel Phishing-E-Mails oder betrügerische Anrufe.
    • Malware und Viren: Eine Einführung in die verschiedenen Arten von Malware und wie sie sich verbreiten können, insbesondere durch unsichere Downloads oder infizierte Websites.

    Sichere Umgangspraktiken

    • Berechtigungen und Zugriffskontrolle: Schulungen dazu, wie Berechtigungen und Zugriffsebenen innerhalb von WordPress sinnvoll verwaltet und eingeschränkt werden können.
    • Sicherer Umgang mit Daten: Richtlinien zum sicheren Umgang mit personenbezogenen Daten und sensiblen Informationen der Website-Besuchenden.

    Reaktionsplan bei Sicherheitsvorfällen

    • Erkennung und Meldung: Wie Sicherheitsvorfälle erkannt und an wen sie gemeldet werden sollten.
    • Erste Schritte zur Schadensbegrenzung: Grundlegende Maßnahmen, die im Falle eines Sicherheitsvorfalls ergriffen werden sollten, bevor IT-Sicherheitsexpert:innen eingreifen.

    Best Practices für die tägliche Arbeit

    • Sichere Nutzung von E-Mails und Internet: Richtlinien für das sichere Surfen im Internet und den Umgang mit E-Mails, um das Risiko von Sicherheitsverletzungen zu minimieren.
    • Verwendung externer Geräte: Regeln für den sicheren Umgang mit externen Geräten wie USB-Laufwerken, die potenzielle Sicherheitsrisiken darstellen können.

    Puh, geschafft!

    Das war jetzt ganz schön viel. Aber hey, wir haben es geschafft! Jetzt, wo du mit den besten Tricks und Kniffen zur Absicherung deiner WordPress-Seite ausgestattet bist, kannst du ruhig schlafen – oder zumindest ein bisschen ruhiger.

    Denk daran, die Welt der Website-Sicherheit ist wie ein endloses Katz-und-Maus-Spiel. Wir, die guten Mäuse, müssen stets wachsam und einen Schritt voraus sein, um nicht von den nicht so netten Katzen (aka Cyber-Kriminelle) erwischt zu werden.