Wenn es um die Sicherheit von WordPress geht, gibt es eine Menge Dinge, die Du tun kannst, um Deine Seite zu verriegeln, um zu verhindern, dass Hacker und Schwachstellen Deine E-Commerce-Seite oder Deinen Blog beeinträchtigen. Das Letzte, was Du willst, ist, eines Morgens aufzuwachen, und Deine Seite in Trümmern vorzufinden. Deshalb werden wir heute viele Tipps, Strategien und Techniken vorstellen, die Du verwenden kannst, um Deine WordPress-Sicherheit zu verbessern und geschützt zu bleiben.Wenn du bei Kinsta hostest, musst du dich nicht selbst um die Einrichtung eines DDoS-Schutzes kümmern. Alle unsere Pakete beinhalten eine kostenlose Cloudflare-Integration mit eingebautem DDoS-Schutz.

Wenn Du ein Kunde von Kinsta bist, brauchst Du Dir um viele dieser Probleme keine Sorgen zu machen, da wir kostenlose Hack-Fixes anbieten! Aber auch mit dieser Garantie solltest Du immer die besten Sicherheitsmaßnahmen einhalten.

Ist WordPress sicher?

Die erste Frage, die Du Dir wahrscheinlich stellst: Ist WordPress sicher? In den meisten Fällen, ja. WordPress erhält jedoch in der Regel einen schlechten Ruf, weil es anfällig für Sicherheitsschwachstellen ist und von Natur aus keine sichere Plattform für ein Unternehmen darstellt. In den meisten Fällen liegt dies daran, dass die Benutzer die im Sicherheitsbereich branchenerprobten Worst-Practices immer wieder befolgen.

Die Verwendung veralteter WordPress-Software, deaktivierte Plugins, schlechte Systemadministration, Anmeldeinformationen und das Fehlen von notwendigem Web- und Sicherheitswissen bei nicht-techie WordPress-Benutzern halten Hacker bei ihrem Spiel rund um Cyber-Kriminalität im Rennen. Selbst Branchenführer verwenden nicht immer die besten Praktiken. Reuters wurde gehackt, weil sie eine veraltete Version von WordPress verwendeten.

Grundsätzlich geht es bei der Sicherheit nicht um vollkommen sichere Systeme. So etwas kann durchaus unpraktisch oder unmöglich zu finden und/oder zu warten sein. Was Sicherheit aber ist, ist die Risikominderung, nicht die Risikobeseitigung. Es geht darum, alle geeigneten Kontrollen einzusetzen, die einem in angemessenem Rahmen zur Verfügung stehen, die es einem ermöglichen, seine Gesamtposition zu verbessern und die Chancen zu verringern, sich selbst zum Ziel zu machen und anschließend gehackt zu werden. – WordPress Sicherheitskodex

Nun, das soll nicht heißen, dass es keine Schwachstellen gibt. Laut einer Q3 2017-Studie von Sucuri, einem plattformübergreifenden Sicherheitsunternehmen, führt WordPress weiterhin bei den infizierten Websites, die sie untersucht haben (83%). Im Jahr 2016 lag dieser Wert noch bei 74%.

WordPress Sicherheitslücken
WordPress Sicherheitslücken

WordPress versorgt über 43.5% aller Websites im Internet, und mit Hunderttausenden von Themes- und Plugin-Kombinationen ist es nicht verwunderlich, dass Schwachstellen existieren und ständig entdeckt werden. Es gibt aber auch eine große Community rund um die WordPress-Plattform, um sicherzustellen, dass diese Dinge so schnell wie möglich gepatcht werden. Zum Jahr 2024 besteht das WordPress-Sicherheitsteam aus etwa 50 (2017 waren es noch 25) Experten, darunter leitende Entwickler und Sicherheitsforscher – etwa die Hälfte sind Mitarbeiter von Automattic und eine Reihe von Personen arbeitet im Bereich Web-Sicherheit.

WordPress Schwachstellen

Nachfolgend findest Du einige der verschiedenen Arten von WordPress-Sicherheitsschwachstellen.

Backdoors (Hintertüren)

Die passend benannte Backdoor-Schwachstelle bietet Hackern versteckte Passagen, die die Sicherheitsverschlüsselung umgehen, um über anormale Methoden – wp-admin, SFTP, FTP, etc. – Zugriff auf WordPress-Websites zu erhalten. Einmal ausgenutzt, ermöglichen Backdoors Hackern, Verwüstungen auf Hosting-Servern mit standortübergreifenden Kontaminationsangriffen anzurichten, wodurch mehrere Standorte auf demselben Server gefährdet werden. Im dritten Quartal 2017 berichtete Sucuri, dass Backdoors weiterhin eine der vielen Post-Hack-Aktionen sind, die Angreifer durchführen, wobei 71% der infizierten Websites eine Art Backdoor-Injektion haben.

Verteilung der Malware-Produktfamilie
Verteilung der Malware-Produktfamilie

Backdoors werden oft verschlüsselt, um wie legitime WordPress-Systemdateien auszusehen, und gelangen durch die Ausnutzung von Schwachstellen und Fehlern in veralteten Versionen der Plattform zu WordPress-Datenbanken. Das TimThumb-Fiasko war ein Paradebeispiel für eine Backdoor-Schwachstelle, die zwielichtige Skripte und veraltete Software ausnutzt, mit der Millionen von Websites kompromittiert wurden.

Glücklicherweise ist die Prävention und Heilung dieser Schwachstelle recht einfach. Du kannst Deine WordPress-Seite mit Tools wie SiteCheck scannen, die leicht gängige Backdoors erkennen können. Die Zwei-Faktor-Authentifizierung, das Blockieren von IPs, die Einschränkung des Admin-Zugriffs und die Verhinderung der unbefugten Ausführung von PHP-Dateien bewältigen problemlos häufige Backdoor-Bedrohungen, auf die wir im Folgenden näher eingehen werden. Canton Becker hat auch einen tollen Beitrag zur Bereinigung des Backdoor Chaos auf Deinen WordPress Installationen.

Pharma-Hacks

Der Pharma-Hack-Exploit wird verwendet, um Rogue-Code in veraltete Versionen von WordPress-Websites und -Plugins einzufügen, wodurch Suchmaschinen Anzeigen für pharmazeutische Produkte zurückgeben, wenn eine kompromittierte Website nach einer solchen gesucht hat. Die Schwachstelle ist eher eine Spam-Bedrohung als herkömmliche Malware, gibt Suchmaschinen aber genügend Grund, die Website wegen Verdachts der Verbreitung von Spam zu blockieren.

Zu den beweglichen Teilen eines Pharma-Hacks gehören Hintertüren in Plugins und Datenbanken, die gemäß den Anweisungen in diesem Sucuri-Blog bereinigt werden können. Die Exploits sind jedoch oft bösartige Varianten verschlüsselter bösartiger Injektionen, die in Datenbanken versteckt sind und einen gründlichen Bereinigungsprozess erfordern, um die Schwachstelle zu beheben. Dennoch kannst Du Pharma Hacks leicht verhindern, indem Du empfohlene WordPress Hosting-Provider mit aktuellen Servern verwendest und Deine WordPress-Installationen, Themen und Plugins regelmäßig aktualisierst. Hosts wie Kinsta bieten auch kostenlose Hack-Fixes an.

Brute-Force Login-Versuche

Brute-Force-Login-Versuche verwenden automatisierte Skripte, um schwache Passwörter auszunutzen und Zugang zu Deiner Website zu erhalten. Zweistufige Authentifizierung, Begrenzung von Anmeldeversuchen, Überwachung unbefugter Anmeldungen, Blockierung von IPs und Verwendung sicherer Passwörter sind einige der einfachsten und höchst effektiven Möglichkeiten, Brute-Force-Angriffe zu verhindern. Aber leider können eine Reihe von WordPress Website-Besitzern diese Sicherheitspraktiken nicht durchführen, während Hacker leicht in der Lage sind, bis zu 30.000 Websites an einem einzigen Tag mit Brute-Force-Angriffen zu kompromittieren.

Böswillige Umleitungen

Böswillige Umleitungen erstellen Backdoors in WordPress-Installationen mit FTP, SFTP, wp-admin und anderen Protokollen und injizieren Umleitungscodes in die Website. Die Umleitungen werden oft in Deiner.htaccess-Datei und anderen WordPress-Kerndateien in verschlüsselter Form platziert und leiten den Webverkehr zu bösartigen Websites. In den folgenden WordPress-Sicherheitsschritten werden wir einige Möglichkeiten aufzeigen, wie Du diese verhindern kannst.

Cross-Site Scripting (XSS)

Cross-Site Scripting (XSS) ist, wenn ein bösartiges Skript in eine vertrauenswürdige Website oder Anwendung injiziert wird. Der Angreifer verwendet dies, um bösartigen Code, typischerweise browserspezifische Skripte, an den Endbenutzer zu senden, ohne dass dieser es merkt. Der Zweck ist in der Regel, Cookie- oder Session-Daten zu sammeln oder vielleicht sogar HTML auf einer Seite neu zu schreiben.

Laut WordFence sind Cross-Site Scripting-Schwachstellen die mit Abstand häufigste Schwachstelle in WordPress-Plugins.

Denial-of-Service

Die vielleicht gefährlichste von allen, die Denial of Service (DoS)-Schwachstelle nutzt Fehler und Bugs im Code aus, um den Speicher von Website-Betriebssystemen zu überlasten. Hacker haben Millionen von Websites kompromittiert und Millionen von Dollar verdient, indem sie veraltete und fehlerhafte Versionen der WordPress-Software mit DoS-Angriffen ausgebeutet haben. Obwohl finanziell motivierte Cyberkriminelle weniger wahrscheinlich kleine Unternehmen ansprechen, neigen sie dazu, veraltete, gefährdete Websites bei der Schaffung von Botnet-Ketten für den Angriff auf große Unternehmen zu gefährden.

Selbst die neuesten Versionen der WordPress-Software können sich nicht umfassend gegen hochkarätige DoS-Angriffe schützen, helfen Dir aber zumindest, nicht in das Kreuzfeuer zwischen Finanzinstituten und anspruchsvollen Cyberkriminellen zu geraten. Und vergiss nicht den 21. Oktober 2016. An diesem Tag ging das Internet aufgrund eines DNS-DDoS-Angriffs aus. Lies mehr darüber, warum es wichtig ist, einen Premium-DNS-Anbieter zu verwenden, um Deine WordPress-Sicherheit zu erhöhen.

WordPress Security Guide 2024

Laut Internet Live Stats werden täglich über 100.000 Websites gehackt. 😮 Deshalb ist es so wichtig, sich etwas Zeit zu nehmen und die folgenden Empfehlungen durchzugehen, wie Du Deine WordPress-Sicherheit besser festigen kannst.

täglich gehackte WordPress-Seiten
täglich gehackte WordPress-Seiten

Wir werden sicherstellen, dass dieser Beitrag mit relevanten Informationen auf dem Laufenden gehalten wird, wenn sich die Dinge mit der WordPress-Plattform ändern und neue Schwachstellen auftreten.

  1. Sicheres WordPress Hosting
  2. Verwendung der neuesten PHP Version
  3. Clevere Usernamen und Passwörter
  4. Neueste Versionen
  5. WordPress Admin sperren
  6. Zwei-Faktor-Authentifizierung
  7. HTTPS – SSL Zertifikat
  8. Hardening wp-config.php
  9. XML-RPC deaktivieren
  10. WordPress-Version ausblenden
  11. HTTP-Sicherheitsüberschriften
  12. WordPress Sicherheits-Plugins
  13. Datenbanksicherheit
  14. Sichere Verbindungen
  15. Datei- und Serverrechte
  16. Bearbeitung im Dashboard deaktivieren
  17. Hotlinking verhindern
  18. Immer WordPress Backups durchführen
  19. DDoS-Schutz

1. Investition in sicheres WordPress Hosting

Wenn es um die Sicherheit von WordPress geht, gibt es viel mehr als nur das Sperren Deiner Website, auch wenn wir Dir unten die besten Empfehlungen geben werden, wie Du das machen kannst. Es gibt auch Sicherheit auf Webserver-Ebene, für die Dein WordPress Host verantwortlich ist. Wir nehmen die Sicherheit hier bei Kinsta sehr ernst und kümmern uns für unsere Kunden um viele dieser Probleme.

Es ist sehr wichtig, dass Du einen Host wählst, dem Du mit Deinem Unternehmen vertrauen kannst. Oder wenn Du WordPress auf Deinem eigenen VPS hosten möchtest, dann brauchst Du das technische Wissen, um diese Dinge selbst zu erledigen. Und um ehrlich zu sein, ist der Versuch, ein Systemadministrator zu sein, um 20 Dollar im Monat zu sparen, eine schlechte Idee.

Sicheres WordPress Hosting
Sicheres WordPress Hosting

Server-Hardening ist der Schlüssel zur Aufrechterhaltung einer durchgängig sicheren WordPress-Umgebung. Es werden mehrere Schichten von Sicherheitsmaßnahmen auf Hard- und Softwareebene durchgeführt, um sicherzustellen, dass die IT-Infrastruktur, in der WordPress-Sites gehostet werden, in der Lage ist, sich gegen komplexe physische und virtuelle Bedrohungen zu schützen.

Aus diesem Grund sollten Server, auf denen WordPress läuft, mit dem neuesten Betriebssystem und der neuesten (Sicherheits-)Software aktualisiert sowie gründlich getestet und auf Schwachstellen und Malware überprüft werden. Ein gutes Beispiel dafür ist, dass Kinsta NGINX für entdeckte OpenSSL-Sicherheitsschwachstellen patchen musste.

Firewalls auf Serverebene und Einbruchmeldeanlagen sollten vor der Installation von WordPress auf dem Server vorhanden sein, um es auch während der Installations- und Erstellungsphase von WordPress gut geschützt zu halten. Jede Software, die auf der Maschine installiert wird, um WordPress-Inhalte zu schützen, sollte jedoch mit den neuesten Datenbankmanagementsystemen kompatibel sein, um eine optimale Leistung zu gewährleisten. Der Server sollte auch so konfiguriert sein, dass er sichere Netzwerk- und Dateiübertragungs-Verschlüsselungsprotokolle (z. B. SFTP anstelle von FTP) verwendet, um sensible Inhalte vor bösartigen Eindringlingen zu schützen.

Hier bei Kinsta nutzen wir die schnellsten Server der Google Cloud Platform und das Premium-Tier-Netzwerk für alle unsere WordPress-Kunden, um ein schnelles und sicheres WordPress-Hosting zu gewährleisten. Ein großer Vorteil davon ist, dass wir auf einem Sicherheitsmodell aufbauen, das im Laufe von 15 Jahren aufgebaut wurde und derzeit Produkte und Dienste wie Google Mail, Suche usw. sichert. Google beschäftigt derzeit mehr als 500 Vollzeit-Sicherheitsexperten. Alle Seiten auf Kinsta sind außerdem durch unsere kostenlose Cloudflare-Integration geschützt, die eine sichere Firewall auf Unternehmensniveau sowie einen kostenlosen DDoS-Schutz beinhaltet.

Kinsta verwendet auch Linux-Container (LXC) und LXD, um sie auf der Google Cloud Plattform zu orchestrieren, was es uns ermöglicht, nicht nur jedes Konto, sondern auch jede einzelne WordPress-Site vollständig zu isolieren. Sicherheit ist von Anfang an in unsere Architektur integriert und dies ist eine viel sicherere Methode als sie von anderen Wettbewerbern angeboten wird.

Kinsta Hosting Architektur.
Kinsta Hosting Architektur.

2. Benutze die neueste PHP-Version

PHP ist das Rückgrat Deiner WordPress-Seite und deshalb ist es sehr wichtig, die neueste Version auf Deinem Server zu verwenden. Jede größere Version von PHP wird nach ihrer Veröffentlichung in der Regel zwei Jahre lang vollständig unterstützt. Während dieser Zeit werden Fehler und Sicherheitsprobleme behoben und regelmäßig gepatcht. Ab sofort hat jeder, der mit der Version PHP 7.1 oder niedriger läuft, keinen Sicherheits-Support mehr und ist nicht gepatchten Sicherheitslücken ausgesetzt.

Unterstützte PHP-Versionen
Unterstützte PHP-Versionen

Und weißt Du was? Laut der offiziellen WordPress Stats-Seite sind zum Zeitpunkt dieses Schreibens über 57% der WordPress-Benutzer noch auf PHP 5.6 oder niedriger. Wenn man dies mit PHP 7.0 kombiniert, verwenden immerhin 77,5% der Benutzer derzeit PHP-Versionen, die nicht mehr unterstützt werden. Das ist beängstigend!

Manchmal brauchen Unternehmen und Entwickler Zeit, um zu testen und um die Kompatibilität mit ihrem Code sicherzustellen, aber sie haben keine Entschuldigung, mit etwas ohne Sicherheitsunterstützung zu arbeiten. Ganz zu schweigen von den enormen Auswirkungen auf die Leistung, die das Arbeiten mit älteren Versionen hat.

WordPress PHP-Version Statistiken
WordPress PHP-Version Statistiken

Du weißt nicht, auf welcher Version von PHP Du Dich gerade befindest? Die meisten Hosts schließen dies in der Regel in eine Header-Anfrage auf Deiner Website ein. Eine schnelle Möglichkeit, dies zu überprüfen, ist, Deine Website mit Hilfe von Pingdom zu analysieren. Klick auf die erste Anfrage und suche nach einem X-Powered-By-Parameter. Normalerweise zeigt dies die Version von PHP an, die Dein Webserver gerade verwendet. Einige Hosts werden diesen Header jedoch aus Sicherheitsgründen entfernen. Kinsta entfernt diesen Header standardmäßig, um Deine Website sicher zu halten.

PHP-Version in Pingdom überprüfen
PHP-Version in Pingdom überprüfen

Hier bei Kinsta empfehlen wir nur die Verwendung von stabilen und unterstützten Versionen von PHP, einschließlich 8.0 und 8.1. PHP 5.6, 7.0 und 7.1 wurden auslaufen lassen.  Du kannst sogar per Mausklick im MyKinsta Dashboard zwischen PHP-Versionen wechseln.

Umschalten zwischen PHP-Versionen
Umschalten zwischen PHP-Versionen

Wenn Du Dich auf einem WordPress Host befindest, der cPanel verwendet, kannst Du in der Regel zwischen den PHP-Versionen wechseln, indem Du in der Softwarekategorie auf „PHP Select“ klickst.

cpanel php version
cPanel PHP version

3. Verwendung von cleveren Benutzernamen und Passwörtern

Überraschenderweise ist eine der besten Möglichkeiten, Deine WordPress-Sicherheit zu verbessern, die Verwendung cleverer Benutzernamen und Passwörter. Klingt ziemlich einfach, oder? Nun, dann schau Dir die jährliche Liste 2019 von SplashData an, die die beliebtesten Passwörter enthält, die das ganze Jahr über gestohlen wurden (sortiert nach Beliebtheit).

  • 123456
  • password
  • 123456789
  • 12345678
  • 12345
  • 111111
  • 1234567
  • sunshine
  • qwerty
  • iloveyou

Das ist richtig! Das beliebteste Passwort ist „123456“, gefolgt von einem erstaunlichen „password“. Das ist ein Grund, warum wir hier bei Kinsta auf neuen WordPress-Installationen ein komplexes Passwort für Deinen wp-admin-Login erzwingen (wie unten bei unserem One-Click-Installationsprozess zu sehen ist). Dies ist nicht optional.

Erzwingen eines sicheren WordPress-Passworts
Erzwingen eines sicheren WordPress-Passworts

Die Core-Funktion WordPress wp_hash_password verwendet das phpass Password Hashing Framework und acht Durchgänge von MD5-basierten Hashings.

Einige der besten Sicherheitsmaßnahmen beginnen bei den Grundlagen. Google hat einige großartige Empfehlungen, wie man ein starkes Passwort wählt. Oder Du kannst ein Online-Tool wie Strong Password Generator verwenden. Du kannst hier mehr darüber erfahren, wie du dein WordPress-Passwort ändern kannst.

Es ist auch wichtig, für jede Website unterschiedliche Passwörter zu verwenden. Der beste Weg, sie zu speichern, ist lokal in einer verschlüsselten Datenbank auf Deinem Computer. Ein gutes kostenloses Werkzeug dafür ist KeePass. Wenn Du diese Vorgehensweise nicht willst, gibt es auch Online-Passwortmanager wie 1Password oder LastPass. Auch wenn Deine Daten sicher in der Cloud gehostet werden, sind diese im Allgemeinen noch sicherer, da Du nicht das gleiche Passwort für mehrere Standorte verwendest. Es befreit Dich auch von der Verwendung von Haftnotizen. 😉

Und was Deine WordPress-Installation betrifft, solltest Du niemals den Standard-Benutzernamen „admin“ verwenden. Erzeuge einen eindeutigen WordPress-Benutzernamen für das Administratorkonto und lösche den „admin“-Benutzer, falls dieser existiert. Dies geschieht, indem Du im Dashboard unter „Benutzer“ einen neuen Benutzer hinzufügst und ihm das Profil „Administrator“ zuweist (siehe unten).

WordPress Administratorrolle
WordPress Administratorrolle

Sobald Du dem neuen Konto die Administratorrolle zugewiesen hast, kannst Du zurückgehen und den ursprünglichen „Admin“-Benutzer löschen. Achte darauf, dass du beim Klicken auf Löschen die Option „Attribute all content to “ wählst und dein neues Administratorprofil auswählst. Dadurch wird die Person als Autor dieser Beiträge zugewiesen.

Alle Inhalte dem Admin zuordnen
Alle Inhalte dem Admin zuordnen

Du kannst Deinen aktuellen Admin-Benutzernamen auch manuell in phpMyAdmin mit dem folgenden Befehl umbenennen. Achte darauf, dass Du Deine Datenbank sicherst, bevor Du Tabellen bearbeitest.

UPDATE wp_users SET user_login = 'newcomplexadminuser' WHERE user_login = 'admin';

4. Benutze immer die neueste Version von WordPress, Plugins und Themes.

Eine weitere sehr wichtige Möglichkeit, Deine WordPress-Sicherheit zu verbessern, ist es, sie immer auf dem neuesten Stand zu halten. Dazu gehören WordPress Core, Plugins und Themes (sowohl aus dem WordPress Repository als auch Premium). Diese werden aus einem bestimmten Grund aktualisiert, und viele Male beinhalten diese Erweiterungen der Sicherheit und Bugfixes. Wir empfehlen Dir, unseren ausführlichen Leitfaden zu lesen, wie automatische WordPress-Aktualisierungen funktionieren.

Wordpress auf dem neuesten Stand halten
WordPress auf dem neuesten Stand halten

Leider lassen Millionen von Unternehmen veraltete Versionen von WordPress-Software und Plugins laufen und glauben immer noch, dass sie auf dem richtigen Weg zum Geschäftserfolg sind. Sie nennen für die Nichtaktualisierung Gründe wie „die Seite wird kaputt gehen“, „Core-Modifikationen werden weg sein“, „Plugin X wird nicht funktionieren“ oder „sie brauchen einfach nicht die neue Funktionalität“.

In der Tat werden Websites vor allem aufgrund von Fehlern in älteren WordPress-Versionen beschädigt. Core-Modifikationen werden vom WordPress-Team und erfahrenen Entwicklern, die die damit verbundenen Risiken verstehen, niemals empfohlen. Und WordPress-Updates enthalten meist unverzichtbare Sicherheitspatches sowie zusätzliche Funktionen, die für die Ausführung der neuesten Plugins erforderlich sind.

Wusstest Du, dass es Berichte gibt, dass Plugin-Schwachstellen 55,9% der bekannten Zugangspunkte für Hacker darstellen? Das hat WordFence in einer Studie herausgefunden, in der sie über 1.000 WordPress-Site-Besitzer befragt haben, die Opfer von Angriffen geworden waren. Durch die Aktualisierung Deiner Plugins kannst Du besser sicherstellen, dass Du nicht eines dieser Opfer bist.

Gehackte WordPress-Seiten
Gehackte WordPress-Seiten

Es wird auch empfohlen, nur vertrauenswürdige Plugins zu installieren. Die Kategorien „Featured“ und „Popular“ im WordPress-Repository können ein guter Ausgangspunkt sein. Oder lade es direkt von der Website des Entwicklers herunter. Wir raten dringend davon ab, nulled WordPress Plugins und Themes zu verwenden.

Erstens weiß man nie, was der geänderte Code enthalten könnte. Dies kann leicht dazu führen, dass Deine Website gehackt wird. Nicht für Premium WordPress Plugins zu bezahlen, trägt auch nicht dazu bei, dass die Community als Ganzes wächst. Wir müssen die Entwickler unterstützen.

Hier ist, wie man ein WordPress-Thema richtig löscht.

Du kannst ein Online-Tool wie VirusTotal verwenden, um ein Plugin oder die Dateien eines Themas zu scannen, damit du sehen kannst, ob es irgendeine Art von Malware erkennt.

VirusTotal
VirusTotal

Wie man WordPress Core aktualisiert

Es gibt ein paar einfache Möglichkeiten, Deine WordPress-Installation zu aktualisieren. Wenn Du ein Kinsta-Kunde bist, haben wir automatische Backups mit einer Ein-Klick-Wiederherstellungsoption bereitgestellt. Auf diese Weise kannst Du neue Versionen von WordPress und Plugins testen, ohne Dir Sorgen machen zu müssen, dass es etwas kaputt macht. Oder Du könntest auch zuerst in unserer Staging-Umgebung testen.

Um den WordPress-Kern zu aktualisieren, kannst Du in Deinem WordPress-Dashboard auf „Updates“ klicken und auf die Schaltfläche „Update Now“ klicken.

WordPress Core aktualisieren
WordPress Core aktualisieren

Du kannst WordPress auch manuell aktualisieren, indem du die neueste Version herunterlädst und sie per SFTP hochlädst.

Wichtig! Das Überschreiben der falschen Ordner könnte Deine Website beschädigen, wenn es nicht richtig gemacht wird. Wenn Du Dich dabei nicht wohl fühlst, wende Dich bitte zuerst an einen Entwickler.

Folge den folgenden Schritten, um Deine bestehende Installation zu aktualisieren:

  1. Lösche die alten wp-includes und wp-admin-Verzeichnisse.
  2. Lade die neuen wp-includes und wp-admin-Verzeichnisse hoch.
  3. Lade die einzelnen Dateien aus dem neuen wp-content-Ordner in Deinen bestehenden wp-content-Ordner hoch und überschreibe bestehende Dateien. Lösche NICHT Deinen bestehenden wp-content-Ordner. Es dürfen KEINE Dateien oder Ordner in Deinem bestehenden wp-content-Verzeichnis gelöscht werden (außer derjenigen, die durch neue Dateien überschrieben wird).
  4. Lade alle neuen losen Dateien aus dem Stammverzeichnis der neuen Version in Dein bestehendes WordPress Stammverzeichnis hoch.

Wie man WordPress Plugins aktualisiert

Die Aktualisierung Deiner WordPress-Plugins ist ein sehr ähnlicher Prozess wie die Aktualisierung des WordPress-Cores. Klick auf „Updates“ in Deinem WordPress Dashboard, wähle die Plugins aus, die Du aktualisieren möchtest, und klicke auf „Update Plugins“.

WordPress-Plugins aktualisieren
WordPress-Plugins aktualisieren

Ebenso kannst Du ein Plugin auch manuell aktualisieren. Hol Dir einfach die neueste Version aus dem Plugin-Entwickler oder WordPress-Repository und lade sie per FTP hoch, wobei das bestehende Plugin im Verzeichnis /wp-content/plugins überschrieben wird.

Es ist auch wichtig zu beachten, dass Entwickler ihre Plugins nicht immer auf dem neuesten Stand halten. Das Team von WP Loop hat eine tolle kleine Analyse gemacht, wie viele WordPress-Plugins im Repository nicht mit dem aktuellen WordPress-Core auf dem neuesten Stand sind. Laut ihrer Forschung wurden fast 50% der Plugins im Repository seit über 2 Jahren nicht mehr aktualisiert.

Dies bedeutet nicht, dass das Plugin nicht mit der aktuellen Version von WordPress funktioniert, aber es wird empfohlen, dass Du Plugins wählst, die aktiv aktualisiert werden. Veraltete Plugins enthalten eher Sicherheitsschwachstellen.

Bildquelle: WP Loop

Benutze dein ganzes Urteilsvermögen, wenn es um Plugins geht. Sieh Dir das Datum „Last Updated“ an und wie viele Bewertungen ein Plugin hat. Wie im folgenden Beispiel zu sehen ist, ist dieses veraltet und hat schlechte Bewertungen, so dass wir höchstwahrscheinlich empfehlen würden, sich davon fernzuhalten. WordPress hat auch eine Warnung oben in den meisten jener Plugins, die seit einiger Zeit nicht mehr aktualisiert wurden.

Altes WordPress Plugin mit schlechten Bewertungen
Altes WordPress Plugin mit schlechten Bewertungen

Es gibt auch viele Ressourcen, die Dir helfen, über die neuesten WordPress-Sicherheitsupdates und -Schwachstellen auf dem Laufenden zu bleiben. Im Folgenden sind einige davon aufgeführt:

WordPress Sicherheitsarchiv
WordPress Sicherheitsarchiv

5. Sichere Deinen WordPress Admin

Manchmal ist WordPress-Sicherheit durch Obskurität eine beliebte Strategie und angemessen effektiv für durchschnittliche Online-Geschäfte sowie WordPress Websites. Wenn Du es Hackern erschwerst, bestimmte Hintertüren zu finden, dann bist Du weniger anfällig dafür, angegriffen zu werden. Das Sperren Deines WordPress-Admin-Bereichs und des Logins ist eine gute Möglichkeit, Deine Sicherheit zu erhöhen. Zwei großartige Möglichkeiten, dies zu tun, sind zum einen, indem Du Deine Standard-Anmelde-URL für wp-admin änderst und zum anderen die Anmeldeversuche einschränkst.

So änderst Du Deine WordPress Login-URL

Standardmäßig ist die Anmelde-URL Deiner WordPress-Seite domain.com/wp-admin. Eines der Probleme dabei ist, dass alle Bots, Hacker und Skripte da draußen dies auch wissen. Durch die Änderung der URL kannst Du Dich weniger zum Ziel machen und Dich besser gegen Brute-Force-Angriffe schützen. Dies ist keine Lösung, sondern nur ein kleiner Trick, der definitiv helfen kann, Dich zu schützen.

Um Deine WordPress Login-URL zu ändern, empfehlen wir Dir, das kostenlose WPS Hide Login Plugin oder das Premium Perfmatters Plugin zu verwenden. Beide Plugins haben ein einfaches Eingabefeld. Denke nur daran, etwas Einzigartiges auszuwählen, das nicht bereits auf einer Liste steht, die ein Bot oder Skript versuchen könnte zu scannen.

WordPress Login-URL mit Perfmatters verstecken
WordPress Login-URL mit Perfmatters verstecken

Wie man Login-Versuche einschränkt

Während die oben genannte Lösung zur Änderung Deiner Admin-Login-URL helfen kann, die Mehrheit der schlechten Anmeldeversuche zu reduzieren, kann die Einführung eines Limits auch sehr effektiv sein. Das kostenlose Limit Login Attempts Reloaded Plugin ist eine großartige Möglichkeit, Sperrdauern, Anmeldeversuche und IP-Whitelists und Blacklists einfach einzurichten.

Limit Login Attempts Reloaded plugin
Limit Login Attempts Reloaded

Wenn Du auf der Suche nach einer einfacheren WordPress-Sicherheitslösung bist, ist eine weitere großartige Alternative das kostenlose Login Lockdown Plugin. Login LockDown zeichnet die IP-Adresse und den Zeitstempel jedes fehlgeschlagenen Anmeldeversuchs auf. Werden innerhalb kurzer Zeit mehr als eine bestimmte Anzahl von Versuchen aus dem gleichen IP-Bereich erkannt, so wird die Anmeldefunktion für alle Anfragen aus diesem Bereich deaktiviert. Und es ist vollständig kompatibel mit dem oben genannten WPS Hide Login-Plugin.

Lockdown WordPress
Lockdown WordPress

How to Add Basic HTTP Authentication (htpasswd protection)

Eine weitere Möglichkeit, Deinen Admin zu sperren, besteht darin, eine HTTP-Authentifizierung hinzuzufügen. Dies erfordert einen Benutzernamen und ein Passwort, bevor man überhaupt auf die WordPress Login-Seite zugreifen kann. Hinweis: Dies sollte im Allgemeinen nicht auf E-Commerce-Seiten oder Mitgliedschaftsseiten verwendet werden. Aber es kann eine sehr effektive Möglichkeit sein, um zu verhindern, dass Bots auf Deine Seite gelangen.

.htpasswd-Authentifizierungsaufforderung
.htpasswd-Authentifizierungsaufforderung

Apache

Wenn Du einen cPanel-Host verwendest, kannst Du passwortgeschützte Verzeichnisse über deren Control Panel aktivieren. Um es manuell einzurichten, musst Du zuerst eine .htpasswd-Datei erstellen. Du kannst dieses praktische Generator Tool verwenden. Dann lade die Datei in ein Verzeichnis unter Deinem wp-admin-Ordner hoch, z.B.:

home/user/.htpasswds/public_html/wp-admin/htpasswd/

Anschließend erstelle eine .htaccess-Datei mit dem folgenden Code und lade sie in Dein /wp-admin-Verzeichnis hoch. Achte darauf, dass Du den Verzeichnispfad und den Benutzernamen aktualisierst.

AuthName "Admins Only"
AuthUserFile /home/yourdirectory/.htpasswds/public_html/wp-admin/htpasswd
AuthType basic
require user yourusername

Der einzige Vorbehalt, es auf diese Weise zu tun, ist, dass es AJAX (admin-ajax) auf dem Frontend Deiner Website zerstört. Dies wird von einigen Plugins von Drittanbietern benötigt. Daher musst Du in die Datei .htaccess auch den folgenden Code einfügen.

<Files admin-ajax.php>
Order allow,deny
Allow from all
Satisfy any
</Files>

Nginx

Wenn Du Nginx verwendest, kannst Du den Zugriff auch mit der HTTP-Basisauthentifizierung einschränken. Sieh Dir dieses Tutorial an.

Wenn du deine WordPress-Seite bei Kinsta hostest, kannst du unser Tool Easy Password Protection (htpasswd) im MyKinsta-Dashboard verwenden. Du findest es unter dem Abschnitt „Tools“ auf deiner Website. Klicke einfach auf „Aktivieren“, wähle einen Benutzernamen und ein Passwort und schon kannst du loslegen!

.htpasswd Schutz aktivieren
.htpasswd Schutz aktivieren

Nachdem es aktiviert wurde, benötigt deine WordPress-Site dann eine Authentifizierung, um darauf zuzugreifen. Du kannst die Anmeldeinformationen jederzeit ändern oder deaktivieren, wenn du sie nicht mehr brauchst.

Sperren eines URL-Pfades

Wenn Du eine Web Application Firewall (WAF) wie Cloudflare oder Sucuri verwendest, haben diese auch Methoden, um einen URL-Pfad zu sperren. Im Wesentlichen kannst Du eine Regel einrichten, so dass nur Deine IP-Adresse auf Deine WordPress-Administrator-Login-URL zugreifen kann. Auch dies sollte im Allgemeinen nicht auf E-Commerce-Websites oder Mitgliedschaftsseiten verwendet werden, da sie auch auf den Zugriff auf das Backend der eigenen Website angewiesen sind.

  • Cloudflare hat eine Lockdown URL-Funktion in seinen Pro- und höheren Konten. Du kannst eine Regel für jede URL oder jeden Pfad einrichten.
  • Sucuri verfügt über eine Blacklist URL-Pfadfunktion. Du könntest dann Deine eigene IP auf die Whitelist setzen.

6. Vorteile der Zwei-Faktor-Authentifizierung nutzen

Und natürlich dürfen wir die Zwei-Faktor-Authentifizierung nicht vergessen! Unabhängig davon, wie sicher Dein Passwort ist, besteht immer die Gefahr, dass es von jemandem entdeckt wird. Die Zwei-Faktor-Authentifizierung umfasst einen zweistufigen Prozess, bei dem Du nicht nur Dein Passwort zum Anmelden brauchst, sondern auch eine zweite Methode. Es handelt sich in der Regel um einen Text (SMS), einen Telefonanruf oder ein zeitbasiertes Einmalpasswort (TOTP). In den meisten Fällen ist dies zu 100% effektiv, um Brute-Force-Angriffe auf Deine WordPress-Seite zu verhindern. Warum? Weil es fast unmöglich ist, dass der Angreifer sowohl Dein Passwort als auch Dein Handy hat.

Es gibt wirklich zwei Teile, in Bezug auf die Zwei-Faktor-Authentifizierung. Das erste ist Dein Konto und/oder Dashboard, das Du bei Deinem Webhosting-Provider hast. Wenn jemand Zugriff darauf erhält, kann er Deine Passwörter ändern, Deine Webseiten löschen, DNS-Einträge ändern und alle möglichen anderen schrecklichen Dinge. Wir bei Kinsta sind eine Partnerschaft mit Authy eingegangen und verfügen über eine Zwei-Faktor-Authentifizierung für Dein MyKinsta Dashboard.

Der zweite Teil der Zwei-Faktor-Authentifizierung bezieht sich auf Deine tatsächliche WordPress-Installation. Hierfür gibt es ein paar Plugins, die wir empfehlen:

Viele von ihnen haben ihre eigenen Authenticator-Apps, die Du auf Deinem Handy installieren kannst:

Nach der Installation und Konfiguration eines der oben genannten Plugins hast Du in der Regel ein zusätzliches Feld auf Deiner WordPress-Anmeldeseite, um Deinen Sicherheitscode einzugeben. Oder mit dem Duo-Plugin meldest Du Dich zuerst mit Deinen Zugangsdaten an und musst dann eine Authentifizierungsmethode wie Duo Push, Call oder Passcode auswählen.

Diese Methode kann leicht mit der Änderung Deiner Standard-Login-URL kombiniert werden, die wir zuvor besprochen haben. So ist nicht nur Deine WordPress-Login-URL etwas, das nur Du kennst, sondern es bedarf jetzt auch einer zusätzlichen Authentifizierung, um reinzukommen. 💪

WordPress Zwei-Faktor-Authentifizierungsseite
WordPress Zwei-Faktor-Authentifizierungsseite

Achte deshalb darauf, die Vorteile der Zwei-Faktor-Authentifizierung zu nutzen, denn es kann ein einfacher Weg sein, Deine WordPress-Sicherheit zu verbessern.

7. HTTPS für verschlüsselte Verbindungen verwenden – SSL-Zertifikat

Eine der am häufigsten übersehenen Möglichkeiten, Deine WordPress-Sicherheit zu verbessern, ist die Installation eines SSL-Zertifikats und der Betrieb Deiner Website über HTTPS. HTTPS (Hyper Text Transfer Protocol Secure) ist ein Mechanismus, der es Deinem Browser oder Deiner Webanwendung ermöglicht, sich sicher mit einer Website zu verbinden. Ein großes Missverständnis ist, dass Du kein SSL brauchst, wenn Du keine Kreditkarten akzeptierst.

Nun, lass uns ein paar Gründe erklären, warum HTTPS über den reinen eCommerce hinaus wichtig ist. Viele Hosts, darunter Kinsta, bieten kostenlose SSL-Zertifikate mit Let’s Encrypt an.

HTTPS-verschlüsselte Verbindungen
HTTPS-verschlüsselte Verbindungen

1. Sicherheit

Natürlich ist der größte Grund für HTTPS die zusätzliche Sicherheit, und ja, das betrifft stark die E-Commerce-Seiten. Wie wichtig sind jedoch Deine Login-Daten? Für diejenigen unter Euch, die WordPress-Websites mit mehreren Autoren ausführen: Wenn Ihr über HTTP läuft, werden diese Informationen jedes Mal, wenn sich eine Person anmeldet, im Klartext an den Server weitergeleitet. HTTPS ist absolut unerlässlich für die Aufrechterhaltung einer sicheren Verbindung zwischen einer Website und einem Browser. Auf diese Weise kannst Du besser verhindern, dass Hacker und/oder ein Mittelsmann Zugang zu Deiner Website erhalten.

Unabhängig davon, ob Du einen Blog, eine Nachrichtenseite, eine Agentur usw. hast, können also alle von HTTPS profitieren, da dadurch sichergestellt wird, dass nichts im Klartext weitergegeben wird.

2. SEO

Google hat offiziell gesagt, dass HTTPS ein Rankingfaktor ist. Während es nur ein kleiner Ranking-Faktor ist, würden die meisten von Euch wahrscheinlich jeden Vorteil nutzen, den Ihr in SERPs bekommen könnt, um Eure Konkurrenten zu schlagen.

3. Vertrauen und Glaubwürdigkeit

Laut einer Umfrage von GlobalSign suchen 28,9% der Besucher nach der grünen Adressleiste in ihrem Browser. Und 77% von ihnen sind besorgt, dass ihre Daten online abgefangen oder missbraucht werden. Durch das grüne Vorhängeschloss haben Kunden sofort mehr Vertrauen, da sie wissen, dass ihre Daten sicherer sind.

4. Empfehlungsdaten

Viele Leute wissen nicht, dass HTTPS zu HTTP Empfehlungsdaten in Google Analytics blockiert sind. Was passiert also mit den Daten? Nun, das meiste davon wird einfach mit dem Abschnitt „Direktverkehr“ in einen Topf geworfen. Wenn jemand von HTTP zu HTTPS wechselt, wird der Referrer trotzdem übergeben.

5. Chrome-Warnungen

Seit dem 24. Juli 2018 kennzeichnen Versionen von Chrome 68 und höher alle Nicht-HTTPS-Sites als „Nicht sicher“. Unabhängig davon, ob sie Daten erheben oder nicht. Deshalb ist HTTPS wichtiger denn je!

Dies ist besonders wichtig, wenn Deine Website einen Großteil ihres Traffics von Chrome erhält. Du kannst in Google Analytics unter dem Abschnitt Audience in Browser & OS nachschauen, um den Prozentsatz des Traffics zu sehen, den Deine WordPress-Seite von Google Chrome erhält. Google macht es den Besuchern viel deutlicher, dass Deine WordPress Website möglicherweise nicht auf einer gesicherten Verbindung läuft.

Chrome keine sichere Website
Chrome keine sichere Website

6. Leistung

Aufgrund eines Protokolls namens HTTP/2 können diejenigen, die ordnungsgemäß optimierte Websites über HTTPS betreiben, oft sogar Geschwindigkeitsverbesserungen feststellen. HTTP/2 benötigt HTTPS wegen der Browserunterstützung. Die Verbesserung der Performance ist auf eine Vielzahl von Gründen zurückzuführen, wie z.B. HTTP/2, das ein besseres Multiplexing, Parallelität, HPACK-Kompression mit Huffman-Kodierung, die ALPN-Erweiterung und Server-Push unterstützen kann.

Und mit TLS 1.3 sind HTTPS-Verbindungen sogar noch schneller. Kinsta unterstützt TLS 1.3 auf allen unseren Servern und unser Kinsta CDN.

HTTPS jetzt neu überdenken? Schau Dir unseren ausführlichen WordPress HTTPS-Migrationsleitfaden an, um Dich auf den richtigen Weg zu bringen und erfahren Sie mehr in unserem TLS vs. SSL-Vergleich.

Um eine sichere, verschlüsselte Verbindung zwischen Dir und dem Server beim Anmelden und Verwalten Deiner Website zu erzwingen, füge die folgende Zeile zu Deiner wp-config.php-Datei hinzu:

define('FORCE_SSL_ADMIN', true);

(Empfohlene Lektüre: Wenn Sie TLS-Altversionen verwenden, sollten Sie vielleicht ERR_SSL_OBSOLETE_VERSION-Benachrichtigungen in Chrome korrigieren).

8. Härte Deine wp-config.php-Datei

Deine wp-config.php-Datei ist wie das Herz und die Seele Deiner WordPress-Installation. Es ist bei weitem die wichtigste Datei auf Deiner Website, wenn es um die Sicherheit von WordPress geht. Sie enthält Deine Datenbank-Login-Informationen und Sicherheitsschlüssel, die die Verschlüsselung von Informationen in Cookies behandeln. Nachfolgend findest Du ein paar Dinge, die Du tun kannst, um diese wichtige Datei besser zu schützen.

1. Bewege wp-config.php

Standardmäßig befindet sich Deine wp-config.php-Datei im Stammverzeichnis Deiner WordPress-Installation (Deinem /public HTML-Ordner). Du kannst dies aber in ein Verzeichnis verschieben, das nicht über WWW zugänglich ist. Aaron Adams schrieb eine großartige Erklärung, warum dies von Vorteil ist.

Um Deine wp-config.php-Datei zu verschieben, kopiere einfach alles aus ihr heraus in eine andere Datei. Dann kannst Du in Deiner wp-config.php-Datei den folgenden Ausschnitt platzieren, um einfach Deine andere Datei einzubinden. Hinweis: Der Verzeichnispfad kann je nach Webhost und Einrichtung unterschiedlich sein. Typischerweise ist es aber nur ein Verzeichnis darüber.

<?php
include('/home/yourname/wp-config.php');

Hinweis: Dies funktioniert nicht für Kinsta-Kunden und führt zu Funktionsausfällen auf unserer Plattform. Dies liegt daran, dass unsere open_basedir-Beschränkungen aus Sicherheitsgründen keine Ausführung von PHP über dem ~/public-Verzeichnis erlauben. Die gute Nachricht ist, dass wir das für Dich übernehmen! Wir tun effektiv dasselbe, indem wir den Zugang zu wp-login.php im ~/public Verzeichnis blockieren. Unsere standardmäßige Nginx-Konfiguration enthält eine Regel, die einen 403 für jeden Zugriffsversuch auf die wp-config.php zurückgibt.

2. WordPress Sicherheitsschlüssel aktualisieren

WordPress Sicherheitsschlüssel sind eine Reihe von Zufallsvariablen, die die Verschlüsselung der in den Cookies des Benutzers gespeicherten Informationen verbessern. Seit WordPress 2.7 gibt es 4 verschiedene Schlüssel: AUTH_KEY, SECURE_AUTH_KEY, LOGGED_IN_KEY und NONCE_KEY.

Wenn Du WordPress installierst, werden diese nach dem Zufallsprinzip für Dich generiert. Wenn Du jedoch mehrere Migrationen durchgemacht hast (siehe unsere kuratierte Liste der besten WordPress Migrationsplugins) oder eine Website von jemand anderem gekauft hast, kann es sinnvoll sein, neue WordPress-Schlüssel zu erstellen.

WordPress hat tatsächlich ein kostenloses Tool, mit dem Du Zufallsschlüssel generieren kannst. Du kannst deine aktuellen Schlüssel aktualisieren, die in Deiner wp-config.php-Datei gespeichert sind.

WordPress Sicherheitsschlüssel
WordPress Sicherheitsschlüssel

Lies mehr über WordPress-Sicherheitsschlüssel.

3. Berechtigungen ändern

Normalerweise werden Dateien im Stammverzeichnis einer WordPress-Site auf 644 gesetzt, was bedeutet, dass Dateien vom Eigentümer der Datei lesbar und beschreibbar sind und von Benutzern im Gruppenbesitzer dieser Datei und von allen anderen lesbar. Gemäß der WordPress-Dokumentation sollten die Berechtigungen für die Datei wp-config.php auf 440 oder 400 gesetzt werden, um zu verhindern, dass andere Benutzer auf dem Server sie lesen. Du kannst dies ganz einfach mit Deinem FTP-Client ändern.

wp-config.php Berechtigungen
wp-config.php Berechtigungen

Auf einigen Hosting-Plattformen müssen die Berechtigungen möglicherweise anders sein, da der Benutzer, der den Webserver ausführt, keine Berechtigung zum Schreiben von Dateien hat. Wenn Du Dir darüber nicht sicher bist, wende Dich an Deinen Hosting-Provider.

9. XML-RPC deaktivieren

In den letzten Jahren hat sich XML-RPC zu einem immer größeren Ziel für Brute-Force-Angriffe entwickelt. Wie Sucuri bereits erwähnte, ist eines der versteckten Merkmale von XML-RPC, dass Du die system.multicall-Methode verwenden kannst, um mehrere Methoden innerhalb einer einzigen Anfrage auszuführen. Das ist sehr nützlich, da es der Anwendung erlaubt, mehrere Befehle innerhalb einer HTTP-Anfrage zu übergeben. Aber was auch passiert, ist, dass es für böswillige Absichten verwendet wird.

Es gibt ein paar WordPress-Plugins wie Jetpack, die auf XML-RPC basieren, aber die Mehrheit der Leute da draußen wird dies nicht brauchen und es kann vorteilhaft sein, den Zugriff darauf einfach zu deaktivieren. Du bist Dir nicht sicher, ob XML-RPC derzeit auf Deiner Website läuft? Danilo Ercoli vom Automattic-Team schrieb ein kleines Tool namens XML-RPC Validator. Du kannst Deine WordPress-Seite durchlaufen lassen, um zu sehen, ob XML-RPC aktiviert ist. Wenn dies nicht der Fall ist, wird eine Fehlermeldung angezeigt, wie sie in der Abbildung unten im Kinsta-Blog angezeigt wird.

WordPress XML-RPC Validator
WordPress XML-RPC Validator

Um dies vollständig zu deaktivieren, kannst Du das kostenlose Disable XML-RPC-API Plugin installieren. Oder Du kannst es mit dem Premium Perfmatters Plugin deaktivieren, das auch Verbesserungen der Webleistung enthält.

Wenn Du ein Kunde bei Kinsta bist, ist dies nicht erforderlich, da, wenn ein Angriff über XML-RPC entdeckt wird, ein kleiner Codeausschnitt in die NGINX-Konfigurationsdatei eingefügt wird, um sie zu stoppen – was einen 403-Fehler verursacht.

location ~* ^/xmlrpc.php$ {
return 403;
}

10. Verberge Deine WordPress-Version

Das Ausblenden Deiner WordPress-Version betrifft erneut das Thema WordPress-Sicherheit durch Obskurität. Je weniger andere Personen über Deine WordPress-Site-Konfiguration wissen, desto besser. Wenn sie sehen, dass Du eine veraltete WordPress-Installation verwendest, könnte dies ein willkommenes Zeichen für Eindringlinge sein. Standardmäßig wird die WordPress-Version im Kopf des Quellcodes Deiner Website angezeigt. Auch hier empfehlen wir Dir, einfach sicherzustellen, dass Deine WordPress-Installation immer auf dem neuesten Stand ist, damit Du Dir darüber keine Sorgen machen musst.

WordPress-Version im Quellcode
WordPress-Version im Quellcode

Du kannst den folgenden Code verwenden, um dies zu entfernen. Füge es einfach zur Datei functions.php Deines WordPress Themes hinzu.

Wichtig! Das Bearbeiten des Quellcodes eines WordPress-Themas könnte Deine Website beschädigen, wenn es nicht korrekt ausgeführt wird. Wenn Du Dich dabei nicht wohl fühlst, wende Dich bitte zuerst an einen Entwickler.
function wp_version_remove_version() {
return '';
}
add_filter('the_generator', 'wp_version_remove_version');

Du könntest auch ein Premium-Plugin wie Perfmatters (entwickelt von einem Teammitglied bei Kinsta) verwenden, mit dem Du die WordPress-Version mit einem Klick ausblenden kannst, zusammen mit anderen Optimierungen für Deine WordPress-Seite.

WordPress-Version mit Perfmatters ausblenden
WordPress-Version mit Perfmatters ausblenden

Ein weiterer Ort, an dem die WordPress-Version angezeigt wird, ist in der standardmäßigen readme.html-Datei (wie unten gezeigt), die in jeder WordPress-Version enthalten ist. Sie befindet sich im Stammverzeichnis Deiner Installation, domain.com/readme.html. Du kannst diese Datei auf sichere Weise per FTP löschen.

WordPress-Version in der Readme-Datei
WordPress-Version in der Readme-Datei

Wenn Du WordPress 5.0 oder höher verwendest, ist dies nicht mehr anwendbar, da die Versionsnummer nicht mehr in der Datei enthalten ist.

11. Hinzufügen der neuesten HTTP-Sicherheits-Header

Ein weiterer Schritt, den Du tun kannst, um Deine WordPress-Sicherheit zu verbessern, ist die Nutzung von HTTP-Sicherheits-Headern. Diese werden in der Regel auf der Ebene des Webservers konfiguriert und sagen dem Browser, wie er sich beim Umgang mit den Inhalten Deiner Website verhalten soll. Es gibt viele verschiedene HTTP-Sicherheits-Header, aber nachfolgend sind die typischerweise wichtigsten.

KeyCDN hat einen sehr ausführlichen Beitrag, wenn Du mehr über HTTP-Sicherheits-Header erfahren möchtest.

Du kannst überprüfen, welche Header gerade auf Deiner WordPress-Seite laufen, indem Du Chrome-Devtools startest und Dir den Header in der ersten Rückmeldung Deiner Seite ansiehst. Nachfolgend ein Beispiel auf kinsta.com. Du kannst sehen, dass wir die Header strict-transport-security, x-content-type und x-frame-options verwenden.

HTTP-Sicherheitsheader
HTTP-Sicherheitsheader

Du kannst Deine WordPress Website auch mit dem kostenlosen securityheaders.io Tool von Scott Helme scannen. Dies zeigt Dir, welche HTTP-Sicherheitsheader Du derzeit auf Deiner Website hast. Wenn Du Dir nicht sicher bist, wie Du sie implementieren sollst, kannst Du Deinen Host immer fragen, ob er Dir helfen kann.

HTTP-Sicherheits-Header Scan
HTTP-Sicherheits-Header Scan

12. WordPress Security Plugins verwenden

Und natürlich müssen wir einige WordPress Security Plugins erwähnen. Es gibt viele tolle Entwickler und Unternehmen, die großartige Lösungen anbieten, um Deine WordPress-Seite besser zu schützen. Hier sind ein paar von ihnen.

Kinsta verfügt über Hardware-Firewalls, aktive und passive Sicherheit, minutenschnelle Verfügbarkeitsprüfungen und eine Vielzahl anderer fortschrittlicher Funktionen, um zu verhindern, dass Angreifer Zugriff auf Deine Daten erhalten. Wenn Deine Website trotz unserer Bemühungen kompromittiert wird, werden wir dies kostenlos beheben.

Hier sind einige typische Funktionen und Anwendungen der oben genannten Plugins:

  • Generierung und Erzwingung sicherer Passwörter bei der Erstellung von Benutzerprofilen
  • Passwörter zum Erlöschen und regelmäßigen Zurücksetzen zwingen
  • Protokollierung von Benutzeraktionen
  • Einfache Aktualisierung der WordPress-Sicherheitsschlüssel
  • Malware-Scanning
  • Zwei-Faktor-Authentifizierung
  • reCAPTCHAs
  • WordPress Sicherheits-Firewalls
  • IP-Whitelisting
  • IP-Blacklisting
  • Datei-Änderungsprotokolle
  • Überwachung von DNS-Änderungen
  • Blockieren bösartiger Netzwerke
  • WHOIS-Informationen über Besucher anzeigen

Ein sehr wichtiges Merkmal ist, dass viele Sicherheits-Plugins ein Prüfsummenprogramm enthalten. Das bedeutet, dass sie Deine WordPress-Installation überprüfen und nach Änderungen an den Core-Dateien suchen, wie sie von WordPress.org (über die API) bereitgestellt werden. Jegliche Änderungen oder Modifikationen an diesen Dateien können auf einen Hack hinweisen. Du kannst WP-CLI auch verwenden, um Deine eigene Prüfsumme auszuführen.

Lesen Sie unbedingt unseren ausführlichen Leitfaden zur Überwachung der Dateiintegrität.

Ein weiteres großartiges Plugin, das eine ehrenvolle Erwähnung verdient, ist das WP Security Audit Log Plugin. Dies ist fantastisch für diejenigen unter Euch, die an WordPress-Multisite– oder einfach Multi-Author-Sites arbeiten. Es trägt dazu bei, die Benutzerproduktivität zu gewährleisten und ermöglicht es Administratoren, alles zu sehen, was geändert wird, wie z.B. Anmeldungen, Passwortänderungen, Designänderungen, Widget-Änderungen, neue Beitragserstellungen, WordPress-Updates, etc.

Es ist eine komplette WordPress Aktivitätsprotokoll-Lösung. Zum Zeitpunkt des Schreibens dieses Artikels hat das WP Security Audit Log Plugin über 80.000 aktive Installationen mit einer Bewertung von 4,7 von 5 Sternen. Es ist eine ausgezeichnete Wahl, wenn du nach einer WordPress Multisite kompatiblen Sicherheitslösung suchst.

Security Audit Log Viewer
Security Audit Log Viewer

Es verfügt auch über zusätzliche Premium-Add-ons wie E-Mail-Benachrichtigungen, Verwaltung von Benutzersitzungen, Suche und Berichte. Hier findest du zusätzliche WordPress Sicherheits-Plugins, die Dir dabei helfen können, die bösen Jungs auszuschließen.

13. Datenbanksicherheit erhöhen

Es gibt ein paar Möglichkeiten, die Sicherheit deiner WordPress-Datenbank zu verbessern. Die erste ist die Verwendung eines cleveren Datenbanknamens. Wenn Deine Website Volleyballtricks heißt, wird Deine WordPress-Datenbank standardmäßig höchstwahrscheinlich wp_volleyballtricks genannt. Indem Du Deinen Datenbanknamen in etwas obskureres änderst, kannst Du Deine Website schützen, da es Hackern schwerer fällt, Deine Datenbankdaten zu identifizieren und darauf zuzugreifen.

Eine zweite Empfehlung ist die Verwendung eines anderen Präfixes für die Datenbanktabelle. Standardmäßig verwendet WordPress wp_. Das Ändern auf etwas wie 39xw_ kann viel sicherer sein. Wenn Du WordPress installierst, fragt es nach einem Tabellenpräfix (wie unten gezeigt). Es gibt auch Möglichkeiten, in bestehenden Installationen das WordPress-Tabellenpräfix zu ändern. Wenn Du ein Kinsta-Kunde bist, ist dies nicht erforderlich. Wir haben Seite und Datenbank abgesperrt!

WordPress Tabellenpräfix
WordPress Tabellenpräfix – Bildquelle: jatinarora

14. Immer sichere Verbindungen verwenden

Wir können nicht genug betonen, wie wichtig es ist, sichere Verbindungen zu verwenden! Achte darauf, dass Dein WordPress Host Vorkehrungen trifft, wie z.B. SFTP oder SSH anzubieten. SFTP oder Secure File Transfer Protocol (auch bekannt als SSH-Dateiübertragungsprotokoll), ist ein Netzwerkprotokoll, das für Dateiübertragungen verwendet wird. Es ist eine sicherere Methode als Standard-FTP.

Wir unterstützen nur SFTP-Verbindungen bei Kinsta, um sicherzustellen, dass Deine Daten sicher und verschlüsselt bleiben. Die meisten WordPress Hosts verwenden typischerweise auch Port 22 für SFTP. Wir gehen hier bei Kinsta noch einen Schritt weiter und jeder Standort hat einen randomisierten Port, der sich in Deinem MyKinsta Dashboard befindet.

Einzelheiten zum SFTP in MyKinsta.
Einzelheiten zum SFTP in MyKinsta.

Es ist auch wichtig, sicherzustellen, dass Dein Home-Router korrekt eingerichtet ist. Wenn jemand Dein Heimnetzwerk hackt, könnte er Zugang zu allen möglichen Informationen erhalten, darunter möglicherweise auch, wo Deine wichtigen Informationen über Deine WordPress-Seite(n) gespeichert sind. Hier sind einige einfache Tipps:

  • Aktiviere keine Fernverwaltung (VPN). Gewöhnliche Benutzer verwenden diese Funktion nie, und indem Du diese Funktion abgeschalten lässt, kannst Du verhindern, dass Dein Netzwerk der Außenwelt ausgesetzt wird.
  • Router verwenden standardmäßig IPs im Bereich von 192.168.1.1.1. Verwende einen anderen Bereich, z.B. 10.9.8.8.7.
  • Aktiviere die höchste Verschlüsselungsstufe auf deinem Wifi.
  • IP-whiteliste Dein WLAN, sodass nur Personen mit dem Passwort und einer bestimmten IP darauf zugreifen können.
  • Halte die Firmware Deines Routers auf dem neuesten Stand.

Und sei immer vorsichtig, wenn Du Dich an öffentlichen Orten in Deine WordPress-Seite einloggst. Denke daran, dass Starbucks kein sicheres Netzwerk ist! Triff Vorsichtsmaßnahmen, wie z.B. die Überprüfung der Netzwerk-SSID, bevor Du auf Verbinden klickst. Du kannst auch einen VPN-Dienst von Drittanbietern wie ExpressVPN verwenden, um Deinen Internetverkehr zu verschlüsseln und Deine IP-Adresse vor Hackern zu verstecken.

15. Datei- und Serverberechtigungen prüfen

Dateiberechtigungen sowohl auf Deiner Installation als auch auf Deinem Webserver sind entscheidend, um Deine WordPress-Sicherheit zu verbessern. Wenn die Berechtigungen zu locker sind, könnte jemand leicht Zugang zu Deiner Website erhalten und Chaos anrichten. Andererseits, wenn Deine Berechtigungen zu streng sind, könnte dies die Funktionalität Deiner Website beeinträchtigen. Daher ist es wichtig, dass die richtigen Berechtigungen auf der gesamten Palette eingestellt sind.

Dateiberechtigungen

  • Lese-Berechtigungen werden vergeben, wenn der Benutzer die Rechte zum Lesen der Datei hat.
  • Schreib-Berechtigungen werden vergeben, wenn der Benutzer die Rechte zum Schreiben oder Ändern der Datei hat.
  • Ausführungs-Berechtigungen werden vergeben, wenn der Benutzer die Berechtigung hat, die Datei auszuführen und/oder als Skript auszuführen.

Verzeichnisberechtigungen

  • Lese-Berechtigungen werden vergeben, wenn der Benutzer die Berechtigung hat, auf den Inhalt des identifizierten Ordners / Verzeichnisses zuzugreifen.
  • Schreib-Berechtigungen werden vergeben, wenn der Benutzer die Berechtigung hat, Dateien hinzuzufügen oder zu löschen, die sich im Ordner/Verzeichnis befinden.
  • Ausführungs-Berechtigungen werden vergeben, wenn der Benutzer die Berechtigung hat, auf das aktuelle Verzeichnis zuzugreifen und Funktionen und Befehle auszuführen, einschließlich der Möglichkeit, die Daten im Ordner/Verzeichnis zu löschen.

Du kannst ein kostenloses Plugin wie iThemes Security verwenden, um die Berechtigungen auf Deiner WordPress-Seite zu überprüfen.

WordPress Dateiberechtigungsprüfung
WordPress Dateiberechtigungsprüfung

Hier sind einige typische Empfehlungen für Berechtigungen, wenn es um Datei- und Ordnerrechte in WordPress geht. Lies den WordPress Codex-Artikel über das Ändern von Dateiberechtigungen für eine ausführlichere Erklärung.

  • Alle Dateien sollten 644 oder 640 sein. Ausnahme: wp-config.php sollte 440 oder 400 sein, um zu verhindern, dass andere Benutzer auf dem Server es lesen.
  • Alle Verzeichnisse sollten 755 oder 750 sein.
  • Es sollten niemals Verzeichnisse 777 angegeben werden, auch nicht Upload-Verzeichnisse.

16. Deaktivieren der Dateibearbeitung in WordPress Dashboard

Viele WordPress-Sites haben mehrere Benutzer und Administratoren, was die Sicherheit von WordPress komplizierter machen kann. Eine sehr schlechte Praxis ist es, Autoren oder Mitwirkenden Administratorzugriff zu gewähren, aber leider geschieht dies immer wieder. Es ist wichtig, den Benutzern die richtigen Rollen und Berechtigungen zu geben, damit sie nichts kaputt machen. Aus diesem Grund kann es von Vorteil sein, den „Appearance Editor“ in WordPress einfach zu deaktivieren.

Die meisten von Euch waren wahrscheinlich schon einmal an diesem oder jenem Punkt dort. Du willst schnell etwas im Appearance Editor bearbeiten und plötzlich stehst Du vor einem weißen Bildschirm des Todes. Es ist viel besser, die Datei lokal zu bearbeiten und per FTP hochzuladen. Und natürlich solltest Du solche Dinge in der Best Practice zuerst auf einer Entwicklungsseite testen.

WordPress appearance editor
WordPress appearance editor

Außerdem, wenn Deine WordPress-Seite gehackt wird, ist das allererste, was sie versuchen könnten, eine PHP-Datei oder ein Design über den Appearance Editor zu bearbeiten. Dies ist ein schneller Weg für sie, um bösartigen Code auf Deiner Website auszuführen. Wenn sie keinen Zugriff darauf über das Dashboard haben, kann dies zunächst dazu beitragen, Angriffe zu verhindern. Füge den folgenden Code in Deine wp-config.php-Datei ein, um die Möglichkeiten von ‚edit_themes‘, ‚edit_plugins‘ und ‚edit_files‘ aller Benutzer zu entfernen.

define('DISALLOW_FILE_EDIT', true);

17. Hotlinking verhindern

Das Konzept des Hotlinking ist sehr einfach. Du findest irgendwo im Internet ein Bild und verwendest die URL des Bildes direkt auf Deiner Seite. Dieses Bild wird auf Deiner Website angezeigt, aber es wird von der ursprünglichen Location aus bedient. Dies ist eigentlich Diebstahl, da es die Bandbreite der Hotlink-Site nutzt. Das mag nicht gerade nach einer großen Sache aussehen, aber es könnte eine Menge zusätzlicher Kosten verursachen.

The Oatmeal ist ein tolles Beispiel. Die Huffington Post hat einen seiner Cartoons, der aus mehreren Bildern bestand, hotlinked und daraufhin wurde eine satte Rechnung über mehr als 1000 Dollar ausgestellt.

Hotlinking-Rechnung
Hotlinking-Rechnung

Hotlinking in Apache verhindern

Um Hotlinking in Apache zu verhindern, füge einfach den folgenden Code in Deine .htaccess-Datei ein.

RewriteEngine on
RewriteCond %{HTTP_REFERER} !^$
RewriteCond %{HTTP_REFERER} !^http(s)?://(www\.)?yourdomain.com [NC]
RewriteRule \.(jpg|jpeg|png|gif)$ http://dropbox.com/hotlink-placeholder.jpg [NC,R,L]

Die zweite Zeile definiert den erlaubten Referrer – die Seite, die direkt auf das Bild verlinken darf, dies sollte Deine eigentliche Website sein. Wenn Du mehrere Seiten zulassen möchtest, kannst Du diese Zeile duplizieren und den Referrer ersetzen. Wenn Du komplexere Regeln generieren möchtest, wirf einen Blick auf diesen htaccess Hotlink-Schutzgenerator.

Hotlinking in NGINX verhindern

Um Hotlinking in NGINX zu verhindern, füge einfach den folgenden Code in Deine Konfigurationsdatei ein.

location ~ .(gif|png|jpe?g)$ {
valid_referers none blocked ~.google. ~.bing. ~.yahoo yourdomain.com *.yourdomain.com;
if ($invalid_referer) {
return 403;
}
}

Hotlinking auf CDN verhindern

Wenn Du Deine Bilder von einem CDN aus bereitstellst, kann das Setup etwas anders sein. Hier sind einige Ressourcen mit beliebten CDN-Anbietern.

18. Immer Backups machen

Backups sind die eine Sache, von der jeder weiß, dass man sie braucht, aber die nicht immer in Anspruch genommen werden. Die meisten der oben genannten Empfehlungen sind Sicherheitsmaßnahmen, die Du ergreifen kannst, um Dich besser zu schützen. Aber egal wie sicher Deine Website ist, sie wird nie 100% abgesichert sein. Also benötigst Du Backups für den Fall, dass das Schlimmste passiert.

Die meisten verwalteten WordPress Hosting-Provider bieten nun Backups an. Kinsta bietet fünf verschiedene Arten von Backups, darunter automatisierte Backups, sodass Du nachts ruhig schlafen kannst. Du kannst Deine Website sogar mit nur einem Klick wiederherstellen.

Backups in MyKinsta.
Backups in MyKinsta.

Wenn Dein Host keine Backups hat, gibt es einige beliebte WordPress-Dienste und Plugins, mit denen Du den Prozess automatisieren kannst.

WordPress Backup Services

WordPress-Seiten-Backup-Dienste haben in der Regel eine geringe monatliche Gebühr und speichern deine Backups für dich in der Cloud.

WordPress Backup Plugins

WordPress Backup-Plugins ermöglichen es Dir, Deine Backups per FTP zu erstellen oder mit einer externen Speicherquelle wie Amazon S3, Google Cloud Storage, Google Drive oder Dropbox zu integrieren. Wir empfehlen dringend, sich für eine inkrementelle Lösung zu entscheiden, da sie weniger Ressourcen verbraucht.

Hinweis: Wir erlauben aus Performancegründen keine nicht-inkrementellen Backup-Plugins auf Kinsta-Servern. Das liegt jedoch daran, dass wir all dies für Dich auf Serverebene erledigen, damit es Deine WordPress-Seite nicht verlangsamt.

19. DDoS-Schutz

DDoS ist eine Art DOS-Angriff, bei dem mehrere Systeme verwendet werden, um ein einzelnes System anzugreifen, was zu einem Denial of Service (DoS)-Angriff führt. DDoS-Angriffe sind nichts Neues – laut Britannica geht der erste dokumentierte Fall auf Anfang 2000 zurück. Im Gegensatz zu jemandem, der Deine Website hackt, schaden diese Arten von Angriffen normalerweise nicht Deiner Website, sondern nehmen Deine Website einfach für ein paar Stunden oder Tage aus dem Verkehr.

Was kannst Du tun, um Dich selbst zu schützen? Eine der besten Empfehlungen ist die Verwendung eines seriösen Sicherheitsdienstes von Drittanbietern wie Cloudflare oder Sucuri. Wenn Du ein Unternehmen führst, kann es sinnvoll sein, in deren Premium-Pläne zu investieren. Wenn du bei Kinsta hostest, musst du dich nicht selbst um die Einrichtung eines DDoS-Schutzes kümmern. Alle unsere Pakete beinhalten eine kostenlose Cloudflare-Integration mit eingebautem DDoS-Schutz.

DDoS-Schutz von Cloudflare und Sucuri
DDoS-Schutz von Cloudflare und Sucuri

Ihr fortschrittlicher DDoS-Schutz kann verwendet werden, um DDoS-Angriffe aller Art und Größe zu mildern, einschließlich solcher, die auf die Protokolle UDP und ICMP abzielen, sowie SYN/ACK, DNS-Verstärkung und Layer-7-Angriffe. Weitere Vorteile sind, dass Du hinter einen Proxy gestellt wirst, der hilft, Deine Ursprungs-IP-Adresse zu verbergen, auch wenn es nicht hundertprozentig sicher ist.

Wirf einen Blick auf unsere Fallstudie darüber, wie man einen DDoS-Angriff stoppen kann. Wir hatten einen Kunden mit einer kleinen E-Commerce-Site, die Easy Digital Downloads betreibt, die über 5 Millionen Anfragen innerhalb von 7 Tagen auf eine einzige Seite erhielt. Die Website erzeugte in der Regel täglich nur zwischen 30-40 MB an Bandbreite und ein paar hundert Besucher pro Tag. Aber aus heiterem Himmel ging die Seite sofort auf 15-19 GB Datentransfer pro Tag über! Das ist eine Steigerung von 4650%. Und Google Analytics zeigte keinen zusätzlichen Traffic. Das ist also nicht gut.

Hohe Bandbreite durch DDoS-Angrif
Hohe Bandbreite durch DDoS-Angrif

Der Kunde implementierte die Web Application Firewall von Sucuri auf seiner Website und die ganze Bandbreite und Anfragen sanken sofort auf der Website (siehe unten), und es gab seitdem kein einziges Problem mehr. Also ist dies definitiv eine gute Investition und Zeitersparnis, wenn Du auf solche Probleme stößt.

Hinzugefügte Sucuri Web Application Firewall
Hinzugefügte Sucuri Web Application Firewall

Zusammenfassung

Wie Du sehen kannst, gibt es zahlreiche Möglichkeiten, wie Du Deine WordPress-Sicherheit erhöhen kannst. Die Verwendung cleverer Passwörter, die Aktualisierung von Core und Plugins sowie die Wahl eines sicher verwalteten WordPress-Hosts sind nur einige der vielen Faktoren, die deine WordPress-Seite sicher in Betrieb halten werden. Für viele von Euch ist die eigene WordPress-Site sowohl Geschäft als auch Einkommen, weswegen es wichtig ist, sich etwas Zeit zu nehmen und einige der oben genannten Sicherheits-Best-Practices zu implementieren, und zwar lieber früher als später.

Hast Du wichtige WordPress-Sicherheitstipps, die wir verpasst haben? Wenn ja, dann lass es uns einfach unten in den Kommentaren wissen.

Brian Jackson

Brian hat eine große Leidenschaft für WordPress, verwendet es seit über einem Jahrzehnt und entwickelt sogar einige Premium-Plugins. Brian liebt Blogging, Filme und Wandern. Verbinde dich mit Brian auf Twitter.