Du besitzt eine WordPress-Website und willst auf keinen Fall, dass diese kompromittiert wird? Du weißt aber nicht, welche Maßnahmen du ergreifen musst, um deine Website gegen verschiedene Arten von Angriffen abzusichern? Dann könnte dieser Blogbeitrag dir dabei helfen.
WordPress ist an sich schon relativ sicher, auch weil es regelmäßig von mehreren hundert Entwicklern geprüft wird. Trotzdem kann man mit ein paar Kniffen die Sicherheit einer auf WordPress basierenden Website noch erhöhen. Die Maßnahmen, die du ergreifen kannst, reichen von offensichtlich und simpel bis hin zu „wusste ich nicht“ und kompliziert. Um langsam ins Thema reinzukommen, fangen wir erst einmal mit den einfachen Maßnahmen an.
1. WordPress immer up to date halten
Wahrscheinlich einer der offensichtlichsten Tipps, aber dennoch wichtig. Aktualisiere WordPress und die installierten Plug-ins regelmäßig. So werden kürzlich gefundene Sicherheitslücken meist relativ zeitnah geschlossen.
2. Standard Benutzernamen umbenennen
Das ist auch ein sehr simpler Tipp, aber du solltest den Benutzernamen nicht „admin“ nennen. Früher war bei WordPress der Benutzername standardmäßig „admin“. Das wissen auch Hacker, die in dein Backend eindringen wollen. Deshalb ist es nur logisch, diesen Namen nicht mehr zu verwenden.
Hast du „admin“ schon als Nutzernamen verwendet, legst du am einfachsten ein neues Benutzerprofil an und löschst das alte.
3. Login über eine andere URL verfügbar machen
Jetzt haben wir potentiellen Angreifer*innen durch die Änderung des Namens, falls dieser „admin“ lautete, 50 % der Logindaten genommen. Wie kannst du deine auf WordPress basierende Website nun weiter vor Angriffen schützen? Indem du die Standardloginseite von WordPress auf eine andere URL umstellst. Das geht z. B. mit dem Plugin Change wp-admin login. Hast du das getan, funktioniert die Anmeldung nur noch über die eingestellte URL im Backend der Webseite.
4. Limitieren der Loginversuche
Standardmäßig kann man beliebig viele Loginversuche ausführen. Das macht die Webseite allerdings über sogenannte Brute-Force-Angriffe sehr leicht angreifbar. Bei einem Brute-Force-Angriff handelt es sich um den Versuch von Hacker*innen, den Benutzernamen und das Passwort durch Ausprobieren zu erraten.
Um das zu verhindern, kann man mithilfe eines Plug-ins die Anzahl der Loginversuche limitieren. Mit dem Plug-in Login LockDown kann die Anzahl der fehlgeschlagenen Versuche sowie der Zeitraum, in dem die Versuche fehlschlagen müssen, und die Länge des Ausschlusses eingestellt werden.
5. Zweifaktorauthentifizierung einrichten
Wer die Sicherheit von WordPress noch weiter optimieren möchte, der richtet per Plug-in eine Zweifaktorauthentifizierung für den Backendbereich ein. In dem Fall bekommst du per App, SMS oder E-Mail einen Code zugeschickt, den du zusätzlich zu den Logindaten eingeben musst.
Die Plug-ins funktionieren alle relativ ähnlich. Möchtest du die Zweifaktorauthentifizierung über eine App auslösen, benötigst du ein Plug-in und logischerweise eine kompatible App. Mit dem Plug-in WP 2FA geht die Einrichtung leicht von der Hand. Du wählst aus, welche Nutzer*innen sich authentifizieren müssen. Diese Nutzer*innen werden dann aufgefordert, die Zweifaktorauthentifizierung einzurichten. Mit dem Google Authenticator zum Beispiel scannst du den angezeigten QR-Code und schon ist die WordPress-Website wieder einen Tick sicherer.
6. Theme vor ungewollten Änderungen schützen
Standardmäßig lässt sich ein WordPress-Theme übers Backend zum Teil editieren. Um das zu verhindern, musst du wieder im Verzeichnis der Website etwas anpassen. Hierbei werden aber keine neuen Dateien mit Code angelegt, sondern eine vorhandene Datei angepasst. Im Hauptordner der Website befindet sich die wp-config.php, in der du einfach folgende Zeilen hinzufügst:
// Disallow file edit
define( 'DISALLOW_FILE_EDIT', true );
7. Brute-Force-Attacken auf XML-RPC abwehren
XML-RPC ermöglicht die Kommunikation zwischen WordPress und anderen Systemen. Der Haken: Es erleichtert Unbefugten den Zugriff auf die Website mittels Brute-Force-Angriffe. Ein*e potentielle*r Hacker*in würde, um 500 Passwörter beim Login zu testen, 500 Angriffe unternehmen. Mit XML-RPC könnte sie oder er über eine Funktion mehrere tausend Passwörter mit 20 – 50 Anfragen ausprobieren. Das könnte einerseits zu einem erfolgreichen Login für den Angreifenden führen, andererseits aber auch den Webserver durch die hohe Anzahl an Anfragen einfach lahmlegen.
Deshalb solltest du XML-RPC deaktivieren, wenn es nicht genutzt wird.
Bei einem Apacheserver kannst du in deinem Webspace Einstellungen für nginx vornehmen. Diese lauten wie folgt:
# Deny XMLRPC execution
location = /xmlrpc.php {
deny all;
access_log off;
log_not_found off;
return 444;
}
# Deny PHP Access "wp-includes"
location ~* /wp-includes/.*.php$ {
deny all;
access_log off;
log_not_found off;
}
# Deny PHP Access "/wp-content/uploads/"
location ~* /wp-content/uploads/.*.php$ {
deny all;
access_log off;
log_not_found off;
}
Mit diesen Zeilen verweigerst du jedem die Benutzung von XML-RPC.
8. Deaktivieren der REST-API
Die REST-API einer WordPress-Seite wird dazu benutzt, um auf Daten der Website Zugriff zu bekommen und diese zu verarbeiten. Jedoch hat die REST-API einen entscheidenden Nachteil: Es kann öffentlich eingesehen werden, welche Nutzer*innen Inhalte auf der Webseite veröffentlicht haben. Da du Hacker*innen aber keine Informationen über die Nutzernamen geben möchtest, kannst du die REST-API mit dem Plug-in Disable REST API deaktivieren. Keine Sorge, du kannst auch einzelne Teile der API aktiviert lassen, um so trotzdem noch an deine Daten zu gelangen.
Nachdem du das Plug-in installiert und aktiviert hast, haben nicht authentifizierte Nutzer*innen keinen Zugriff mehr auf die REST-API.
9. Regelmäßige Backups durchführen
Damit du trotzdem nicht alles verloren hast, falls die Website kompromittiert wird oder sogar komplett gekapert wird, gibt es noch Backups. Diese sollten in regelmäßigen Abständen auf einem separaten System abgespeichert werden: Falls du den Zugang zum System der Website verlierst, kannst du immer noch auf das Backup zurückgreifen.
Das war ein kurzer Einblick in die Möglichkeiten, wie du die Sicherheit deiner WordPress-Website optimierst. Wir hoffen, unsere Tipps helfen dir weiter. Falls du noch Fragen hast, sprich uns gerne an und wir stehen dir mit Rat und Tat zur Seite.