Wie schütze ich mein WordPress?

Je häufiger eine Anwendung genutzt wird, desto beliebter wird diese auch für Angreifer und Hacker. Glücklicherweise macht es WordPress einem durch seine komfortable Aktualisierung leicht, die Anwendung mit allen Komponenten auf einem aktuellen Stand zu halten. So werden auch permanent Sicherheitslücken geschlossen.

Den Core selbst aktualisiert WordPress sogar automatisch innerhalb einer Version – sofern dies nicht vom Benutzer deaktiviert wurde. Damit ist zumindest der Kern von WordPress im Standardfall immer auf einem aktuellen Stand.

Je mehr Plugins verwendet werden, desto größer ist das Risiko möglicher Sicherheitslücken. Zudem geht jedes installierte Plugin zu Lasten der Performance. Ihr solltet auch daran denken, dass Plugins und Themes nicht automatisch aktualisiert werden. Also seid ihr als Seitenbetreiber gefordert, euer WordPress regelmäßig auf verfügbare Updates zu prüfen und diese durchzuführen. 

Mit der steigenden Zahl an Plugins steigt auch das Fehlerrisiko nach einer Aktualisierung. Da kann es in Einzelfällen vorkommen, dass zwei Plugins sich nicht mehr „vertragen“ oder das Theme Probleme macht. Daher solltet ihr vor jedem Update eine Sicherung erstellen, um im Falle eines Falles den vorherigen Zustand wiederherstellen zu können. Auch hierfür gibt es Plugin-Lösungen. Allerdings können diese im Ernstfall zum Problem werden, beispielsweise weil die Sicherung ohne Login im Backend nicht mehr hergestellt werden kann. Daher sollten Sicherungen immer außerhalb von WordPress erfolgen. Dann kann die Anwendung wiederhergestellt werden, auch wenn kein Backend-Zugang mehr möglich ist.

Die Entwickler von WordPress reagieren auf bekannte Sicherheitslücken in der Regel sehr schnell. Bei Plugins und Themes ist dies sehr unterschiedlich und von dem jeweiligen Entwickler abhängig. Es ist keine Seltenheit, dass an einem Tag gleich mehrere Aktualisierungen zur Verfügung stehen. Idealerweise solltet ihr daher täglich euer Backend auf verfügbare Updates prüfen. Sind welche vorhanden, erstellt eine externe Sicherung und installiert am besten umgehend die Updates.

Die simple Lösung ist die oben beschriebene Vorgehensweise: Sicherung erstellen, updaten und im Fehlerfall Sicherung einspielen.

Bei einer beliebten Seite mit viel Traffic oder wirtschaftlichem Interesse, kann aber schon eine Downtime von wenigen Minuten hohen Schaden anrichten. In solchen Fällen sollten Updates immer erst in einer Entwicklungsumgebung getestet werden.

Dies ist zwar ein deutlich höherer Aufwand und keine 100%ige Garantie, aber der sicherste Weg, wenn es keine Störungen geben soll! Nach meinen Erfahrungen laufen Updates zu 99 % fehlerfrei. Dennoch würde ich niemals ein Update ohne vorherige Sicherung durchführen!

Eine zeitnahe und permanente Aktualisierung von WordPress, Themes und Plugins ist sicherlich der wichtigste Faktor. Allerdings solltet ihr die folgenden Punkte für ein sicheres WordPress umsetzen.

Klassische Benutzernamen wie „admin“ oder „administrator“ solltet ihr vermeiden. Dadurch haben Angreifer bereits 50 % der Zugangsdaten und es fehlt nur noch das Passwort. Verwendet idealerweise mindestens zwei Benutzer. Einen Benutzer mit administrativen Rechten, der ausschließlich für Installationen und Updates verwendet wird. Und einen zweiten als Redakteur, der ausschließlich für die Erstellung und Veröffentlichung der Inhalte zuständig ist.

WordPress generiert bereits ein sicheres Passwort für einen neuen Benutzer. Dieses oder ein vergleichbar starkes Passwort solltet ihr auch verwenden. Einfache Passwörter wie „qwer1234“ können viel zu schnell erraten werden und bieten keinen ausreichenden Schutz. Ein Passwort sollte mindestens aus 8 Zeichen bestehen, Groß- und Kleinbuchstaben sowie Ziffern und Sonderzeichen enthalten. Um sich das Passwörter merken zu können, ist es hilfreich, einen Satz zu Bilden. Von diesem nutzt ihr jeweils den ersten Buchstaben sowie mindestens eine Ziffer und ein Sonderzeichen z.B. „IlWP@2003!“ → „Ich liebe WordPress seit 2003!“.

Das Backend von WordPress erreicht ihr im Standard mit „/wp-admin“ oder „/wp-login.php“. Ändert ihr dies, schützt ihr euch. Denn viele Angreifer sehen es nicht auf eine einzelne Seite ab, sondern auf die Masse. Ist der Login verändert, geben sie meist schon auf. Für eine Änderung der Adresse könnt ihr ein Plugin nutzen, beispielsweise diese:

https://de.wordpress.org/plugins/wps-hide-login/

Im Standard beginnt jede Datenbanktabelle bei WordPress mit „wp_“. Das könnt ihr teilweise bei der manuellen Installation schon ändern – mit entsprechenden Kenntnissen auch im Nachhinein. Dies hilft jedoch nur bei einem sogenannten Databaseinject. Hierbei wird von außen versucht, direkt auf Tabellen zuzugreifen. In den meisten Fällen erfolgen Angriffe jedoch auf Verzeichnisebene und somit kann in der Konfigurationsdatei der Prefix auch ausgelesen werden.

Bei der xmlrpc.php handelt es sich um eine Schnittstelle von WordPress, um Daten mit anderen Seiten auszutauschen. Erfahrungsgemäß kommt dies nur relativ selten zum Einsatz, wird von Angreifern aber bevorzugt genutzt. Daher solltet ihr zumindest den Aufruf dieser Datei über die .htaccess sperren.

Die bislang meisten Angriffe erfolgten aufgrund von Sicherheitslücken auf der Verzeichnisebene. Hier wurden zum Beispiel Dateiinhalte in der index.php oder einer anderen Datei verändert. Entzieht man den Dateien und Verzeichnissen das Schreibrecht, kann selbst bei einer Sicherheitslücke keine Manipulation der Dateien erfolgen. Hierbei ist jedoch Vorsicht geboten, sodass ihr weiterhin Bilddateien hochladen und Cachingverzeichnisse nutzen könnt. Dennoch bietet dies nach meinen Erfahrungen in Kombination mit der zeitnahen Aktualisierung den besten Schutz.

• Achtet immer auf ein aktuelles WordPress mit aktuellen Plugins und Themes.
• Haltet auch eure PHP-Version, die für den Betrieb von WordPress erforderlich ist, immer aktuell.
• Verwendet einen sicheren Benutzernamen und ein sicheres Passwort und ändert den Login.
• Sperrt die Schnittstellenfunktion (xmlrpc.php) und entzieht den Verzeichnissen und Dateien die Schreibrechte.

Es gibt noch wesentlich mehr Sicherheitskriterien wie zum Beispiel Regeln für den Header Security oder Sicherheitsplugins mit Firewall und weitere. Dies würde jedoch den Rahmen sprengen und bedarf in der Regel einer guten Projektplanung für eure individuelle Seite.

Solltet ihr Fragen haben, schreibt sie gerne in einem Kommentar. Wir helfen euch gerne weiter!