WordPress absichern – so geht’s!

Wähle vertrauenswürdige Themes

Beim Aufbau einer Website mit WordPress sind Themes ein wesentlicher Bestandteil, um das Erscheinungsbild und die Funktionalität deiner Seite zu gestalten. Doch Vorsicht ist geboten, besonders wenn es um die Sicherheit geht – sei es bei der Nutzung von Fremdthemes oder der Entwicklung eigener Themes.

Für die Verwendung von Fremdthemes gilt:

Beim Entwickeln eigener Themes beachte folgende Punkte:

Auswahl sicherer Plugins

Plugins sind das Zauberwort, wenn es darum geht, deine WordPress-Website mit zusätzlichen Funktionen auszustatten. Doch mit großer Macht kommt auch große Verantwortung, insbesondere im Hinblick auf die Sicherheit. Ein schlecht gewähltes Plugin kann leider schnell zum Einfallstor für Sicherheitslücken werden. Daher hier ein paar goldene Regeln für die Plugin-Auswahl:

Installiere ein Sicherheitsplugin

Sicherheitsplugins spielen eine Schlüsselrolle beim Schutz deiner WordPress-Website. Sie bilden eine erste Verteidigungslinie gegen die ständig wachsenden Bedrohungen aus dem Internet. Doch nicht jedes Plugin ist gleich geschaffen, daher hier ein paar wesentliche Punkte, die du bei der Auswahl und Nutzung beachten solltest:

Warte deine Webseite regelmäßig

Die regelmäßige Wartung deiner WordPress-Website ist ein entscheidender Faktor – wenn nicht sogar DER entscheidende Faktor, um ihre Sicherheit und Effizienz sicherzustellen. Entwickle deshalb eine Routine, bei der du deine Webseite wartest. Dazu gehören Theme und Plugin-Updates, aber auch mal ein Blick ins Hosting.

Ändere die Login-URL – oder doch nicht?

Das Anpassen der Login-URL deiner WordPress-Website kann auf den ersten Blick als verlockende Strategie erscheinen, um die Oberfläche für potenzielle Angriffe zu minimieren. Die standardmäßige /wp-admin/ URL ist in der Tat weit bekannt und zieht daher automatisierte Brute-Force-Attacken magisch an. Durch die Änderung dieser URL kann die unmittelbare Sichtbarkeit für solche automatisierten Angriffe reduziert werden.

Richte 2-FA ein, nutze starke Passwörter und einzigartige Benutzernamen

Die Sicherheit deiner Anmeldedaten spielt eine zentrale Rolle beim Schutz deiner WordPress-Website vor unautorisierten Zugriffen. Ein mehrschichtiger Ansatz hilft dabei, deine Daten sicher zu halten:

Webseite über SSL verschlüsseln

Die Implementierung von SSL (Secure Sockets Layer) auf deiner WordPress-Website ist ein grundlegender Schritt, um die Sicherheit der Datenübertragung zu gewährleisten. SSL verschlüsselt die Kommunikation zwischen dem Browser deiner Besucher und deinem Webserver, wodurch sensible Informationen wie Passwörter und persönliche Daten vor unbefugtem Zugriff geschützt werden.

Wenn du das hier liest, hast du hoffentlich schon längst ein SSL-Zertifikat auf deiner Webseite eingerichtet, da dies sonst auch schwerwiegende Folgen für deine Sichtbarkeit im Web hat. (Sonst mach mal bitte, das ist auch wirklich nicht schwer: du brauchst einfach nur das Login zu deinem Hosting und in aller Regel gibt es da entweder kostenfreie oder günstige SSL-Zertifikate, die man einfach nur buchen und der entsprechenden Domain zuweisen muss)

Implementiere Sicherheitsheader (HTTP-Security-Header)

Sicherheitsheader fungieren wie diskrete, aber effektive Wächter im digitalen Raum deiner Website. Sie arbeiten im Hintergrund, um den Browser deiner Besucher:innen anzuleiten, wie sie mit deiner Website sicher interagieren sollen. Stell dir Sicherheitsheader als eine Art versteckte Sicherheitsschalter vor, die sicherstellen, dass alles nach bestimmten Sicherheitsprotokollen abläuft.

Warum sind diese digitalen Wächter so wichtig? Einfach ausgedrückt, helfen sie dabei, deine Website und deren Nutzer:innen vor einer Vielzahl von Online-Bedrohungen zu schützen – von Datenlecks bis hin zu bösartigen Angriffen. Indem sie klare Regeln für den Datenaustausch zwischen Browser und Server setzen, tragen Sicherheitsheader dazu bei, die Privatsphäre und Integrität deiner Website-Daten zu bewahren.

Strict-Transport-Security (HSTS):

Dieser Header sorgt dafür, dass deine Website ausschließlich über HTTPS, also eine sichere Verbindung, aufgerufen wird. Das verhindert, dass jemand versucht, deine Besucher auf eine unsichere Version deiner Seite umzuleiten. Um HSTS zu aktivieren, füge deiner .htaccess-Datei oder dem entsprechenden Konfigurationsfile deines Webservers folgenden Eintrag hinzu:

Dabei steht max-age=31536000 für die Dauer (in Sekunden), wie lange der Browser sich daran erinnern soll, nur die HTTPS-Version deiner Website aufzurufen.

Content-Security-Policy (CSP)

Mit CSP kannst du festlegen, welche externen Ressourcen auf deiner Seite geladen werden dürfen. Dies hilft, Angriffe wie Cross-Site-Scripting (XSS) zu verhindern. CSP kann recht komplex sein, aber eine grundlegende Richtlinie, die du deiner .htaccess hinzufügen kannst, könnte so aussehen:

Dieser Eintrag besagt, dass alle Inhalte (Skripte, Styles etc.) nur von der eigenen Domain geladen werden dürfen.

X-Frame-Options

Dieser Header verhindert, dass deine Seite in einem Frame oder iFrame von einer anderen Seite eingebettet wird, was häufig bei Clickjacking-Angriffen genutzt wird. Um ihn zu setzen, füge Folgendes hinzu:

Dies erlaubt das Einbetten deiner Seite nur, wenn es innerhalb derselben Domain geschieht.

Referrer-Policy

Dieser Header kontrolliert, welche Informationen als Verweisender (Referrer) beim Klicken auf Links auf deiner Seite gesendet werden. Eine sichere Einstellung, die du nutzen kannst, ist:

Diese Einstellung verhindert das Senden von Referrer-Informationen, wenn von HTTPS zu einer unsicheren HTTP-Verbindung gewechselt wird.

X-Content-Type-Options

Mit diesem Header kannst du verhindern, dass der Browser versucht, den MIME-Typ von Ressourcen zu erraten, was genutzt werden könnte, um bösartigen Code auszuführen. Um ihn zu aktivieren, füge hinzu:

Permissions Policy (früher Feature Policy)

Ein weiterer wichtiger Sicherheitsheader, den du in Betracht ziehen solltest, ist die Permissions Policy. Dieser relativ neue Header ermöglicht es dir, die Verwendung bestimmter Browser-Funktionen auf deiner Seite zu kontrollieren und zu beschränken. Durch das Festlegen dieser Policy kannst du beispielsweise verhindern, dass Inhalte auf deiner Website auf die Kamera oder das Mikrofon eines Benutzers zugreifen, die Vibrationen auslösen oder vollbildfähige Inhalte ohne ausdrückliche Zustimmung anzeigen.

Die Implementierung einer Permissions Policy hilft dir, ein sichereres und kontrollierteres Browser-Erlebnis für deine Nutzer:innen zu schaffen, indem du nur den Zugriff auf Funktionen erlaubst, die für das ordnungsgemäße Funktionieren deiner Website notwendig sind. Hier ist ein einfaches Beispiel, wie du die Permissions Policy in deine Website integrieren kannst:

In diesem Beispiel wird der Zugriff auf kritische Funktionen wie Geolokalisierung und vollbildfähige Inhalte nur für Inhalte erlaubt, die von der gleichen Domain stammen (’self‘), während der Zugriff auf andere Funktionen wie Mikrofon, Kamera und Zahlungsmöglichkeiten vollständig blockiert wird (’none‘).

Die sorgfältige Konfiguration deiner Permissions Policy unterstützt die Datenschutzbestimmungen deiner Website, indem sie verhindert, dass Drittanbieter-Scripts unbefugt auf potenziell sensible Browser-Features zugreifen. Es ist eine zusätzliche Schicht der Sicherheit, die die Privatsphäre deiner Nutzer:innen schützt und gleichzeitig das Risiko von Missbrauch verringert.

PHP-Version aktualisieren

PHP ist die Serverseitige Skriptsprache, auf der WordPress läuft, und jede neue Version bringt nicht nur Verbesserungen in Bezug auf Geschwindigkeit und Effizienz, sondern auch wichtige Sicherheitspatches.

So aktualisierst du die PHP-Version

Die Vorgehensweise kann je nach Hosting-Anbieter variieren, aber hier sind allgemeine Schritte, die du befolgen kannst:

1. Backup: Bevor du Änderungen vornimmst, solltest du immer ein vollständiges Backup deiner Website erstellen.
2. Kompatibilitätsprüfung: Stelle sicher, dass deine Themes und Plugins mit der neuesten PHP-Version kompatibel sind. Viele Hosting-Provider bieten eine Option, um deine Website in einer Testumgebung mit der neuen PHP-Version auszuführen.
3. Aktualisierung durchführen: Bei vielen Hosting-Anbietern kannst du die PHP-Version direkt in deinem Hosting-Dashboard aktualisieren. Suche nach dem Abschnitt „PHP-Version“ oder „Software-Versionen“ und wähle die neueste verfügbare Version aus.
4. Website testen: Nach der Aktualisierung solltest du deine Website gründlich testen, um sicherzustellen, dass alles reibungslos funktioniert.

Auswahl eines guten Hostings

Die Wahl eines guten Hostings ist entscheidend für die Sicherheit, Geschwindigkeit und Zuverlässigkeit deiner WordPress-Website. Hier sind einige Schlüsselfaktoren, die du berücksichtigen solltest, um eine informierte Entscheidung zu treffen:

Dateizugriffsrechte auf dem Server

Diese Rechte bestimmen, wer oder was Dateien und Verzeichnisse auf deinem Webserver lesen, schreiben oder ausführen kann. Eine unsachgemäße Konfiguration kann Sicherheitsrisiken wie unbefugten Zugriff oder Malware-Injektionen eröffnen. Hier sind einige grundlegende Richtlinien zur Einstellung der Dateizugriffsrechte für eine WordPress-Website:

Grundlagen der Dateizugriffsrechte

Dateizugriffsrechte werden in der Regel durch drei Ziffern dargestellt, die jeweils unterschiedliche Zugriffsebenen für den Dateieigentümer, die Gruppe und alle anderen Nutzer definieren. Die Rechte sind wie folgt aufgebaut:

4 steht für „Lesen“

2 steht für „Schreiben“

1 steht für „Ausführen“

0 steht für „Kein Zugriff“

Diese Ziffern können kombiniert werden, um verschiedene Zugriffsebenen zu setzen (z.B. 6 für Lesen und Schreiben).

File Editing ausschalten

Die Möglichkeit, Dateien direkt im WordPress-Admin-Dashboard zu bearbeiten – wie zum Beispiel Theme- oder Plugin-Dateien über den Theme-Editor oder Plugin-Editor – kann zwar sehr praktisch sein, stellt aber auch ein erhebliches Sicherheitsrisiko dar.

Wenn diese Funktion missbraucht wird, kann das zu ernsthaften Sicherheitsproblemen führen, einschließlich der Möglichkeit, dass Schadcode injiziert wird. Daher ist es oft ratsam, das direkte Bearbeiten von Dateien innerhalb des WordPress-Dashboards zu deaktivieren.

So deaktivierst du das File Editing:

Das Deaktivieren des Datei-Editors in WordPress ist einfach. Du musst lediglich eine Zeile Code zur wp-config.php-Datei deiner WordPress-Installation hinzufügen:

Durch Hinzufügen dieser Zeile wird der eingebaute Editor für Themes und Plugins deaktiviert, was die Möglichkeit, Dateien über das WordPress-Dashboard zu bearbeiten, entfernt.

Ändere den Datenbank-Präfix

Standardmäßig verwendet WordPress das Präfix wp_ für alle Tabellennamen in der Datenbank. Angreifer:innen, die sich mit WordPress auskennen, können diese Standardkonfiguration zu ihrem Vorteil nutzen, um SQL-Injection-Angriffe durchzuführen oder sensible Daten aus deiner Datenbank zu extrahieren.

So änderst du den Datenbank-Präfix

Wichtig: Bevor du Änderungen an deiner Datenbank vornimmst, solltest du unbedingt ein vollständiges Backup deiner Website und deiner Datenbank erstellen.

1. Ändern des Präfixes bei einer neuen Installation:
   • Während der Installation kannst du das Präfix in der Datei wp-config.php ändern, indem du den Wert in der Zeile $table_prefix = 'wp_'; anpasst. Verwende eine Kombination aus Buchstaben, Zahlen und Unterstrichen, um dein neues Präfix zu erstellen, z.B. mywp123_.
2. Ändern des Präfixes bei einer bestehenden Installation:
   • Schritt 1: Bearbeite die wp-config.php-Datei deiner Website und ändere das $table_prefix von wp_ zu deinem neuen Präfix, z.B. mywp123_.
   • Schritt 2: Melde dich bei deiner Datenbank über ein Tool wie phpMyAdmin an und benenne alle Tabellen um, indem du das alte Präfix (wp_) durch das neue ersetzt.
   • Schritt 3: Suche in deiner Datenbank nach allen Instanzen des alten Präfixes in allen Tabellen und ersetze sie durch das neue Präfix. Dies betrifft insbesondere die Tabellen wp_options und wp_usermeta, wo das Präfix in den Optionennamen bzw. Meta-Keys verwendet wird.
   • Schritt 4: Überprüfe deine Website auf Funktionstüchtigkeit. Falls Probleme auftreten, stelle die Datenbank aus deinem Backup wieder her und überprüfe deine Schritte.

Verlagere die wp-config.php

Die wp-config.php-Datei ist eine der wichtigsten Dateien in deiner WordPress-Installation. Sie enthält sensible Informationen, darunter die Datenbankzugangsdaten und Sicherheitsschlüssel. Durch das Verlagern dieser Datei aus dem root-Verzeichnis deiner Website kannst du die Sicherheit deiner WordPress-Seite erheblich verbessern.

Warum die wp-config.php verlagern?

• Sicherheitserhöhung: Das Verlagern der wp-config.php aus dem öffentlich zugänglichen root-Verzeichnis macht es für Hacker schwieriger, an die sensiblen Informationen in dieser Datei zu gelangen.
• Schutz vor Skripten: Einige automatisierte Angriffe durchsuchen bekannte Pfade nach Konfigurationsdateien. Wenn die wp-config.php nicht im Standardverzeichnis liegt, verringert sich das Risiko, dass diese Angriffe erfolgreich sind.

So verlagerst du die wp-config.php

WordPress ermöglicht es dir, die wp-config.php-Datei ein Verzeichnis über dem WordPress-Installationsverzeichnis zu platzieren. Hier ist, wie du das machen kannst:

1. Backup erstellen: Sichere zuerst deine Website und insbesondere die wp-config.php-Datei.
2. Datei verschieben: Verschiebe die wp-config.php-Datei physisch ein Verzeichnis über das root-Verzeichnis deiner WordPress-Installation. Wenn zum Beispiel deine WordPress-Dateien unter /var/www/html/wordpress liegen, solltest du die wp-config.php nach /var/www/html/ verschieben.

WordPress sucht automatisch im aktuellen Verzeichnis und dann ein Verzeichnis darüber nach der wp-config.php. Wenn die Datei also ein Verzeichnis höher verschoben wird, kann WordPress sie immer noch finden und verwenden.

Dinge, die du beachten solltest

• Serverkonfiguration: Stelle sicher, dass deine Serverkonfiguration den Zugriff auf Dateien außerhalb des root-Verzeichnisses zulässt. In einigen Shared-Hosting-Umgebungen ist dies möglicherweise nicht erlaubt.
• Sicherheit des übergeordneten Verzeichnisses: Vergewissere dich, dass das Verzeichnis, in das du die wp-config.php verschiebst, sicher ist und nicht öffentlich zugänglich gemacht wird.
• Plugins und Themes: Überprüfe, ob alle deine Plugins und Themes korrekt funktionieren, nachdem du die wp-config.php verschoben hast. Einige könnten speziell auf den Standardpfad der wp-config.php angewiesen sein.
• Manuelle Aktualisierungen: Wenn du WordPress manuell aktualisierst, denke daran, dass du möglicherweise die wp-config.php erneut verschieben musst, wenn sie aus irgendeinem Grund zurück in das root-Verzeichnis verschoben wurde.

Nutze ein CDN

Die Verwendung eines Content Delivery Network (CDN) ist eine ausgezeichnete Methode, um die Leistung deiner WordPress-Website zu verbessern und gleichzeitig die Sicherheit zu erhöhen.

Ein CDN besteht aus einem Netzwerk von Servern, die über den Globus verteilt sind und darauf ausgelegt sind, die Ladezeiten deiner Webseite zu verkürzen, indem Inhalte von einem Standort ausgeliefert werden, der geografisch näher am Besucher deiner Website liegt.

Bekannte Anbieter sind z.B. Cloudflare oder Fastly.

Vorteile der Verwendung eines CDN

• Verbesserte Ladegeschwindigkeit: Durch das Speichern von statischen Inhalten (wie Bildern, CSS und JavaScript-Dateien) auf mehreren Servern weltweit können Besucher diese Inhalte schneller herunterladen, da sie von einem Server in ihrer Nähe ausgeliefert werden.
• Erhöhte Verfügbarkeit und Redundanz: Da deine Inhalte auf mehreren Servern repliziert werden, kann deine Website auch dann weiterhin Inhalte ausliefern, wenn ein Server oder sogar ein ganzes Rechenzentrum ausfällt.
• Verbesserte Website-Sicherheit: Viele CDN-Anbieter bieten zusätzliche Sicherheitsfunktionen wie DDoS-Schutz, Web Application Firewalls (WAF) und TLS-Verschlüsselung an, die helfen, deine Website vor verschiedenen Online-Bedrohungen zu schützen.
• Entlastung deines Host-Servers: Indem ein Teil des Traffics auf die CDN-Server umgeleitet wird, verringert sich die Belastung deines originären Host-Servers, was dessen Stabilität und Performance verbessert.

Wie man ein CDN für WordPress einrichtet

1. CDN-Anbieter auswählen: Es gibt viele CDN-Anbieter auf dem Markt, darunter Cloudflare, MaxCDN (jetzt Teil von StackPath), Amazon CloudFront und viele andere. Wähle einen Anbieter, der deinen Anforderungen in Bezug auf Kosten, geografische Abdeckung und zusätzliche Dienste entspricht.
2. CDN konfigurieren: Nach der Registrierung bei einem CDN-Anbieter musst du dein CDN so konfigurieren, dass es mit deiner WordPress-Website zusammenarbeitet. Dies umfasst normalerweise die Einstellung von DNS-Einträgen und die Konfiguration des CDNs, um deine statischen Inhalte zu speichern und auszuliefern.
3. WordPress für CDN einrichten: Viele WordPress-Caching-Plugins wie W3 Total Cache oder WP Rocket bieten integrierte Unterstützung für verschiedene CDNs. Du kannst das Plugin verwenden, um dein CDN mit WordPress zu verbinden, indem du deine CDN-URL oder andere relevante Details angibst.
4. Testen und Überwachen: Nachdem du dein CDN eingerichtet hast, ist es wichtig, die Leistung deiner Website zu testen und zu überwachen, um sicherzustellen, dass alles korrekt funktioniert und die Ladegeschwindigkeit verbessert wurde.

Best Practices

• Nur statische Inhalte über CDN ausliefern: Stelle sicher, dass dein CDN so konfiguriert ist, dass es nur statische Inhalte ausliefert und dynamische Inhalte, die Benutzerinteraktionen oder persönliche Daten enthalten könnten, von deinem originären Server ausgeliefert werden.
• HTTPS verwenden: Um die Sicherheit zu gewährleisten, solltest du sicherstellen, dass dein CDN HTTPS unterstützt und konfiguriert ist, um verschlüsselte Verbindungen zu verwenden.
• CDN-Cache regelmäßig leeren: Wenn du Änderungen an deinen statischen Inhalten vornimmst, vergewissere dich, dass du den Cache deines CDNs leerst, damit die neuesten Versionen deiner Inhalte ausgeliefert werden.

Mitarbeiterschulungen durchführen

Mitarbeiterschulungen sind ein kritischer Bestandteil der Sicherheitsstrategie, denn: Menschen sind oft das schwächste Glied in der Sicherheitskette, und durch gezielte Schulungen können viele potenzielle Sicherheitsrisiken minimiert werden.

Bewusstsein für Sicherheitsbedrohungen

• Phishing und Social Engineering: Mitarbeitende sollten über die gängigen Methoden informiert werden, die Angreifer:innen verwenden, um Zugang zu sensiblen Informationen zu erlangen, wie zum Beispiel Phishing-E-Mails oder betrügerische Anrufe.
• Malware und Viren: Eine Einführung in die verschiedenen Arten von Malware und wie sie sich verbreiten können, insbesondere durch unsichere Downloads oder infizierte Websites.

Sichere Umgangspraktiken

• Berechtigungen und Zugriffskontrolle: Schulungen dazu, wie Berechtigungen und Zugriffsebenen innerhalb von WordPress sinnvoll verwaltet und eingeschränkt werden können.
• Sicherer Umgang mit Daten: Richtlinien zum sicheren Umgang mit personenbezogenen Daten und sensiblen Informationen der Website-Besuchenden.

Reaktionsplan bei Sicherheitsvorfällen

• Erkennung und Meldung: Wie Sicherheitsvorfälle erkannt und an wen sie gemeldet werden sollten.
• Erste Schritte zur Schadensbegrenzung: Grundlegende Maßnahmen, die im Falle eines Sicherheitsvorfalls ergriffen werden sollten, bevor IT-Sicherheitsexpert:innen eingreifen.

Best Practices für die tägliche Arbeit

• Sichere Nutzung von E-Mails und Internet: Richtlinien für das sichere Surfen im Internet und den Umgang mit E-Mails, um das Risiko von Sicherheitsverletzungen zu minimieren.
• Verwendung externer Geräte: Regeln für den sicheren Umgang mit externen Geräten wie USB-Laufwerken, die potenzielle Sicherheitsrisiken darstellen können.