Profi-Tipps für mehr WordPress-Sicherheit

Schon in seiner reinsten Form gehört WordPress zu den sicheren Content Management Systemen. Die Standardinstallation ohne jegliche Plugins und Themes enthält bereits solide Sicherheitsfunktionen und -grundlagen. Halten Sie mit Systemupdates Ihr WordPress dann kontinuierlich auf dem neuesten Stand, ist es schon die halbe Miete. Nun gibt es viele Tricks, wie man die Sicherheit in der eigenen WordPress-Umgebung signifikant erhöhen kann. Wir zeigen Ihnen im folgenden Ratgeber, auf welche Faktoren Sie bei der Theme- und Plugin-Auswahl unbedingt achten sollten und geben Ihnen nützliche Profitipps, mit denen Sie Ihre WordPress Installation vor Hackern und Viren schützen können.

Das Problem

Das Bild vom langhaarigen und mit Pickel bedeckten Teenager, der aus seinem dunklen Kinderzimmer gravierende Hacker-Angriffe startet, ist weit verbreitet. Die Realität ist meistens recht unspektakulär, jedoch für den Einzelnen nicht weniger schädlich. Denn viele Angriffe laufen voll automatisiert ab und können somit in kurzer Zeit großen Schaden anrichten. Vorab die schon immer geltende Info: Es gibt keinen absoluten Schutz! Wer jetzt sagt: „Na dann ist mir das auch egal – ich komme auch ohne Sicherheitsmaßnahmen zurecht“, begibt sich schlicht in Gefahr. Die Auswirkungen können von peinlich bis existenzbedrohend sein.

Es gibt zwei wesentliche Gründe, warum Angriffe auf WordPress-Installationen überhaupt so attraktiv sind

Der erste und wohl wichtigste ist die hohe und immer weiter steigende Verbreitung des CMS WordPress. Durch die leichte Bedienung und den unkomplizierten Aufbau von Webseiten gewinnt WordPress nicht nur bei Privatnutzern und Unternehmen sehr viel Aufmerksamkeit. Die Masse an WP-Webseiten erschließt auch einen lukrativen Markt für Hacker, die es auf Ihre Daten und auf Ihre Webpräsenz abgesehen haben. Egal, ob sie ein mittelständisches Unternehmen, ein Kleinbetrieb oder eine Privatperson sind. Solange der Angreifer Zugriff auf die Installation erhält, kann er Schadsoftware platzieren und Ihre Internetseite für die Verteilung von Malware oder Viren nutzen. Damit werden Sie zum unwissenden Komplizen. Ihr Ruf könnte durch den Missbrauch Dritter für immer einen Schaden nehmen.

Der zweite Grund, warum sich Angriffe auf WordPress Webseiten häufen, ist der Nutzer selbst. Denn viele sind einfach nur zu bequem, um für ausreichende Sicherheit in ihrem System zu sorgen. Anderen dagegen fehlt es einfach an Sensibilität für dieses Thema. Hinzu kommen leichtfertige Passwörter wie die eigenen Geburtstagsdaten oder der Klassiker „12345“. Dabei können ein paar Minuten Investition in komplexe Passwörter große Mengen Geld sparen. Wenn Sie ihr System außerdem nicht regelmäßig updaten und die neuesten Plugin-Versionen ignorieren, servieren Sie den Hackern genügend Sicherheitslücken  und Schwachstellen auf dem Silbertablett.

Sie können es den Angreifern also durchaus schwer machen. In der Regel werden von gut abgesicherten WordPress-Installationen schnell die Hackerfinger gelassen. Sie sind kein leichtes Opfer mehr und somit auch nicht mehr attraktiv. Wie Sie sich genau schützen können, erfahren Sie weiter unten im Text.

Für welche Zwecke werden WordPress-Installationen gehackt?

Angreifer versuchen aus verschiedenen Gründen, Kontrolle über Ihre WordPress-Installation zu erlangen. Die häufigsten wollen wir im Folgenden kurz erwähnen:

Versand von Spam E-Mails

Nachdem sich ein Angreifer den Zugang zu einer WordPress-Installation verschafft hat, kann er Spam-Mails über Ihren Webhosting-Account versenden. Oft mit eindeutigen Produktempfehlungen aus der Pharmazie. Und das in Ihrem Namen! Sie als Seitenbetreiber bekommen meist erst etwas mit, wenn es schon zu spät ist oder wir als Webhoster die gesamte Domain bereits wegen Spam-Missbrauch sperren mussten. Dazu sind wir im Übrigen verpflichtet. Der Spamversand kann oftmals auch eine kostenpflichtige Abmahnung zur Konsequenz haben, sollte sich dadurch ein Dritter belästigt fühlen.

Platzierung von Viren und Schadsoftware

Dabei bringt der Angreifer einen Schadcode im Quelltext – also im Herzen Ihrer Webseite – unter. Wenn dann ein Besucher Ihre Internetseite aufruft, wird der Schadcode über den Browser auf den PC des Besuchers heruntergeladen. Google erkennt die missbräuchliche Nutzung der betroffenen WordPress-Installation i.d.R. umgehend und markiert den gesamten Internetauftritt als „möglicherweise manipuliert“, was wiederum für jeden Google-Nutzer einsehbar ist. Oder es wird gleich die ganze Seite aus dem Google-Index verbannt. Ihr Schaden ist dann also allgemein sichtbar und sicherlich nicht hilfreich für die eigene Reputation im Internet. Das kann für Unternehmen eine wirtschaftliche Katastrophe sein.

Einsatz von Phishing Seiten

Hierbei werden vom Angreifer Unterseiten auf Ihrer Domain erstellt, die üblicherweise über Spam-Mails beworben werden. Diese Seiten sind oftmals exakte Kopien von PayPal- oder Bankenseiten. Sie täuschen eine andere Identität vor und dienen einzig und allein zum Erlangen der Bank- und anderer Zugangsdaten. Eine der gefährlichsten und schädlichsten Methoden, weil immer noch viele Benutzer nichts ahnend in solche Fallen tappen. Auch wenn die Kopien optisch oft sehr gut gemacht sind, empfiehlt es sich hierbei immer auf die URL im Browser (Internetadresse) zu achten. Alleine dadurch erkennt man schon, ob es sich um eine echte Bankseite handelt.

Wie können Sie sich vor Angriffen besser schützen?

Es gibt einige Maßnahmen, die Ihr WordPress und somit Ihre Webseite deutlich sicherer machen. Und das Beste ist: Es sind oft die ganz einfachen Regeln und keine „Sicherheits“-Plugins, die einem weiterhelfen.

Das Passwort für den Adminbereich – richtig kompliziert muss es sein

Der wohl beste Schutzfaktor ist immer noch das Passwort zu Ihrem WordPress-Adminbereich. Leider ist das auch der Faktor, der von vielen Nutzern vernachlässigt wird. Auch in Zeiten des Digitalen Wandels sind Geburtstage, Namen von Verwandten und Bekannten oder just simple Begriffe wie „Liebe“ und „Schicksal“ noch sehr beliebt. Ein solches Passwort ist auch von einem durchschnittlichen Hacker in Sekunden geknackt. Ein sicheres Passwort sollte aus mindestens 10 Zeichen bestehen. Sind im Passwort neben Ziffern, Groß- und Kleinbuchstaben auch Sonderzeichen enthalten, befinden Sie sich auf dem richtigen Weg. Gängige Wörter sollten vermieden werden, da Hacker bei ihren Angriffen voll automatisierte Wörterbücher nutzen. Doch auch hier gilt: Eine hundertprozentige Sicherheit gibt es nicht. Die Angreifer zum Verzweifeln bringt man jedoch nur mit komplexen Passwörtern.

Inaktive Themes und Plugins immer löschen

Die Funktionen und das Aussehen Ihrer WordPress-Installation können Sie nach Belieben mit Plugins und Themes an Ihre Vorstellungen anpassen. Da es viele kostenlose Erweiterungen gibt, sammeln sich jedoch schnell mal ein paar Plugins oder Themes an, die Sie nicht (mehr) nutzen, die aber trotzdem noch auf dem Server liegen. Deinstallieren Sie diese am besten gleich nach ihrer Deaktivierung, falls kein Bedarf mehr besteht. Der Grund dafür ist so einfach wie gefährlich: Auch wenn Sie die Themes und Plugins nicht mehr nutzen, können Angreifer sie für ihre Zwecke missbrauchen. Deswegen: Weg damit!

Sicherheitslücken in kostenpflichtigen Themes und Plugins

Nicht immer sind Erweiterungen und Themes ihr Geld wert. Bevor Sie in solche Programme investieren, sollten Sie sich erkundigen, ob auch zukünftige Updates im Preis inbegriffen sind. Falls nicht – welche Kosten kommen auf Sie zu und wie werden Sie vom Entwickler über mögliche Schwachstellen informiert?

Niemals Themes oder Plugins aus dubiosen Quellen installieren

WordPress selbst empfiehlt, man solle WordPress niemals von einer anderen Seite als https://wordpress.org herunterladen. Für Plugins und Themes gilt dasselbe! Die Gefahr, dass man sich durch gecrackte oder modifizierte Dateien Schadsoftware auf der Seite installiert, ist nicht zu unterschätzen. Die Devise lautet hier: Original Software gibt es nur beim Original Entwickler. Lädt man die Erweiterungen aus unbekannten Quellen, entsteht neben dem fraglichen Sicherheitsfaktor auch ein anderes Problem: Der direkte Service vom Entwickler entfällt.

WordPress-Plugins: Nur so viel, wie nötig

Es mag zunächst wie ein banaler Tipp klingen, aber auch hier gilt das bekannte Weniger-ist-Mehr-Prinzip. Viele WordPress Nutzer installieren bei sich Unmengen von Plugins – man will ja schließlich jedes Bedürfnis abdecken. Das Ende vom Lied: Sie haben 30 laufende Plugins, von denen 20 gar nicht mehr aktualisiert wurden und das ganze System ausbremsen können. Stellen Sie sich ganz ehrlich die Frage, ob sie bestimmte Plugins wirklich brauchen oder die Funktion dieser vielleicht auch ganz einfach anders umzusetzen ist.

WordPress immer auf dem neuesten Stand halten

Egal ob WordPress-, Plugin- oder Themeupdates. Alle Updates haben einen Sinn und nicht selten werden dadurch auch Sicherheitslücken geschlossen. Die Entwickler von WordPress reagieren meist unverzüglich, wenn eine Sicherheitslücke innerhalb von WordPress gefunden wurde. Ein Update ist schnell verfügbar und kann über das Dashboard zügig mit nur wenigen Klicks eingespielt werden. Im Normalfall werden Sie direkt nach dem Login ins WordPress über neue Updates informiert. Dasselbe gilt auch für Ihr Theme und die installierten Plugins. Verschwenden Sie dabei keine Zeit, denn Hacker nutzen natürlich die bekannt gewordenen Lücken, um noch nicht aktualisierte Systeme anzugreifen.

Immer die aktuellste PHP-Version nutzen

Die Grundlage Ihrer WordPress-Installation ist PHP. Daher ist die Verwendung der neuesten PHP-Version sehr wichtig. Jede Hauptversion von PHP wird normalerweise zwei Jahre nach ihrer Veröffentlichung vollständig unterstützt. In diesen zwei Jahren werden Fehler und Sicherheitsprobleme behoben und regelmäßig gepatcht. Jeder, der ältere PHP-Versionen nutzt, hat keine Sicherheitsunterstützung mehr und ist nicht geschlossenen Sicherheitslücken ausgesetzt. Offizielle WordPress-Statistiken zeigen, dass sehr viele WordPress-Benutzer immer noch eine veraltete PHP-Version nutzen. Hier bei InternetWerk empfehlen wir stets die Verwendung von stabilen und unterstützten Versionen von PHP. In Ihrem Account können Sieper Mausklick zwischen verschiedenen, einschließlich der aktuellsten, PHP-Versionen wechseln.

Das Online-Editieren von Themes und Plugins im Backend deaktivieren

WordPress hat einen integrierten Online-Editor, mit dem man WordPress Plugins und Themes direkt aus dem Administrationsbereich bearbeiten kann. Wenn Sie selbst kein Programmierer sind oder diesen Editor nicht jeden Tag benötigen, schalten Sie Ihn am besten ab. Mit einem zusätzlichen Code in der wp-config.php wird verhindert, dass im Backend Themes und Plugins manipuliert werden können. Gehen Sie dazu wie folgt vor:

• Laden Sie mit einem FTP-Programm Ihrer Wahl die Datei wp-config.php herunter.
• Öffnen Sie die Datei und fügen Sie folgende Zeile ein:

define('DISALLOW_FILE_EDIT', true);

• Laden Sie die Datei anschließend wieder hoch.

WordPress Sicherheit verbessern – weitere allgemeine Grundregeln

• Unter „Einstellungen“ —> „Allgemein“ sollten Sie den Haken bei dem Punkt „Jeder kann sich registrieren“ entfernen, falls gesetzt.
• Erstellen Sie regelmäßige Backups Ihrer WordPress-Installation.
• Achten Sie darauf, dass das Antivirenprogramm auf Ihrem Rechner stets auf dem aktuellsten Stand ist. Hat Ihr Computer einen Trojaner, können Sie darauf wetten, dass auch das WordPress-Passwort und die FTP-Daten ausgespäht worden sind.
• Auch wenn es bequem ist: Speichern Sie keine FTP-Zugangsdaten in Ihrem FTP-Programm!
• Keine ungepflegten WordPress-Installationen auf dem selben Server liegen lassen (z.B. Testversionen)

Fazit für mehr WordPress Sicherheit

Die o.g. Maßnahmen sind nun wirklich keine Wissenschaft und sollten für jeden so umsetzbar sein. Sie stellen das Mindestmaß an Sicherheit dar und lassen sich mit wenig Aufwand erledigen. Damit entgeht man ca. 95 % aller Angriffsversuche und reduziert die Wahrscheinlichkeit eines erfolgreichen Hacks enorm.