x
kurs mediasystems: Ihre Software und Design Agentur

Wordpress Seite absichern: So geht's!

Mit diesen Tipps und zuzsätzlichen Plugins sichern Sie Ihre WordPress Webseite gegen Angriffe ab. Dies sind meist automatisierte Versuche, um Zugang zu dem WordPress Admin Bereich zu erhalten. Alternativ testen Angreifer, ob sie über Sicherheitslücken in WordPress oder Plugins Zugriff auf den Server bekommen.

Wenn Sie sich an unsere Tipps halten und zusätzliche Plugins wie eine Firewall installieren, machen Sie es Angreifern deutlich schwerer, Ihre Webseite zu hacken oder zu sabotieren. Und wenn Ihr WordPress trotzdem nicht mehr funktioniert, helfen wir bei Problemen und Virus-Befall gerne weiter.

Wordpress absichern und schützen

Wichtige Einstellungen zum Schutz der WordPress Webseite

  1. Vermeiden Sie leicht zu erratende Benutzernamen
    Der eigene Name, die Email-Adresse, "Admin" oder "Webmaster" sollte nicht als Benutzername verwendet werden. Ein schwierig zu erratender Benutzername macht es für den Angreifer schwerer, da er neben dem Passwort auch den Benutzer herausfinden muss.
  2. Nutzen Sie lange, sichere Passwörter
    Je länger das Passwort, umso schwieriger ist es per "Brute Force" Angriff zu ermitteln. Neben der reinen Länge sollten Sie auch eine Kombination aus Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen verwenden.
  3. Aktivieren Sie 2FA
    Die "Zwei-Faktor-Authorisierung" verlangt neben dem Benutzernamen und Passwort noch eine zweite Authentifizierung: Das kann zum Beispiel ein Link per Email sein, der erst angeklickt werden muss. Der Angreifer muss so zunächst die Zugangsdaten herausbekommen und darüberhinaus Zugriff auf Ihre E-mails haben: Dies macht den 2FA Schutz zu einer praktischen, zusätzlichen Schutzfunktion.
  4. Verbieten von Brute-Force-Angriffen
    Begrenzen Sie die Zahl der maximal möglichen, falschen Anmeldeversuche: Plugins wie die WordFence Firewall können begrenzen, wie oft hintereinander ein Benutzer bei der Anmeldung ein falsches Passwort angeben kann, und wie lange er danach ausgesperrt wird. Dies hilft, um Angreifer und automatisierte Bots auszusperren, die eine große Anzahl an Benutzernamen und Passwörter ausprobieren.
  5. Löschen ungenutzter Themes und Plugins
    Unter WordPress gibt es für fast jede Funktion ein Plugin. Das hilft beim Erstellen der Seiten, jedes schlecht gepflegte Plugin stellt aber ein Sicherheitsrisiko da - genau wie automatisch installierte Themes. Löschen Sie alle nicht wirklich wichtigen Plugins und ungenutzten Themes. Um Probleme mit dem aktuellen Theme auszuschließen, kann man das letzte offizielle WordPress Theme installiert lassen - sollte es aber auch regelmäßig aktualisieren.
  6. Erstellen von regelmäßigen Backups
    Sichern Sie die WordPress Dateien in dem WordPress Ordner inkl. den Unterordnern und die Inhalte der Datenback regelmäßig. So lässt sich bei Problemen oder nach hartnäckigem Virus-Befall eine ältere, saubere Version der Webseite wiederherstellen und aktivieren.
  7. Plugins, Themes und Core aktualisieren
    Die installierten Plugins, der WordPress Core und auch die Themes erhalten regelmäßige Updates, die oft vorher vorhandene Sicherheitslücken schließen. Hier hilft entweder eine regelmäßige Kontrolle inklusive dem manuellen Prüfen und Installieren der Updates oder die automatische Update-Funktion. Allerdings können fehlerhafte Updates WordPress auch unbenutzbar machen, darum helfen die regelmäßigen Backups.

Wir helfen beim Absichern Ihrer Webseite!

Wichtige Plugins für Wordpress

  • WordFence Firewall
    Die WordFence FireWall scannt WordPress auf schädliche oder ungewöhnliche Dateien, kann den Schutz bei der Anmeldung verstärken und warnt regelmäßig vor veralteten Plugins und Dateien.
  • All-In-One Security (AIOS)
    Die AIOS FireWall ist eine Alternative zu WordFence und schützt ebenfalls die User-Anmeldung vor Brute-Force Angriffen. Außerdem kann man die Datenbank und Dateien gesondert sichern und sowohl die WP-REST-API als auch einzelne IP-Adressen oder User-Agents sperren.
  • WPS Hide Login
    WPS Hide Login Ein praktisches kleines Tool, um die Anmeldeseite von WordPress auf eine andere URL um zulegen. Das verhindert das automatische Scannen einer Webseite nach dem Formular mit der Benutzer-Abfrage und bietet einen kleinen Schutz gegen einfache Angriffe.

Sicherheits-Scan

Die WordFence Firewall bietet nach erfolgreicher Installation die Möglichkeit, alle Dateien und alle Verzeichnisse auf verdächtigen Programm-Code zu analysieren. Das Plugin warnt dabei auch, wenn eine Datei von den Standard-WordPress Dateien unterscheidet und ist so ein praktischer Helfer gegen Viren und Schadsoftware.

WordPress Schutz: WordFence Scan
WordPress Backup Plugin

Backup Plugin für Wordpress

Duplicator
Das Duplicator Plugin erlaubt das erstellen einfacher Backups sowohl von der Datenbank, von den Dateien oder mit Filterregeln nur von bestimmten Dateien. Das Backup lässt sich mit Duplicator leicht auf einem anderen Server oder einer anderen Domain wieder neu installieren. Die gesicherten Backups lassen sich aus dem Menü per Knopfdruck herunterladen oder einfach wiederherstellen, um zurück zu einer funktionierenden Version der Webseite zu gelangen.

Wordpress Plugins für Fortgeschrittene

WP-Dateimanager
Der WP-Dateimanager bietet einen einfachen Zugriff auf das Dateisystem des Webservers und listet die vorhandenen Dateien und Ordner auf. Die Dateien und Ordner lassen sich hoch- und herunterladen, kopieren, per Copy & Paste verschieben, umbenennen oder löschen. Außerdem lassen sich mit dem Dateimanager ZIP-Archive packen und entpacken. Löschen Sie dieses Plugin nach Gebrauch wieder: Durch seine mächtigen Funktionen kann es bei falscher Nutzung ein Sicherheitsrisiko sein!

WP phpMyAdmin
Das WP phpMyAdmin Plugin erlaubt den Zugriff auf die WordPress Datenbank mit phpMyAdmin, einem gängigen Tool zur Verwaltung von SQL Datenbanken. Mit dem Plugin lassen sich Inhalte innerhalb der Datenbank schnell und einfach verwalten, ändern und löschen. Auch dieses Plugin sollten Sie nach Gebrauch wieder deinstallieren, falls jemand Zugriff auf den Admin-Bereich bekommt.

Wir helfen beim Absichern Ihrer Webseite!

DDoS Schutz und WAF von Cloudflare

Cloudflare bietet auch im kostenlosen "Free Plan" bereits einen Schutz vor DDoS Angriffen (Distributed Denial of Service), bei denen Angreifer mit sehr vielen gleichzeitigen Anfragen - zum Beispiel über ein Bot-Netz - versuchen, einen Webserver außer Gefecht zu setzen. Außerdem enthalten ist eine Web Application Firewall (WAF), die einen zusätzlichen Basisschutz bietet und auch vor der Ausnutzung bekannter WordPress Exploits schützt. Da die Cloudflare Firewall im Netzwerk, vor dem eigentlichen Server, sitzt kann sie gefährliche Anfragen schon erkennen und abwehren, bevor diese Ihren WordPress-Server erreichen. Cloudflare kann außerdem einzelne IPs, ganze IP-Bereiche und auch Länder bei einem Angriff aussperren, indem sie schon vor dem eigenen WordPress Server blockiert werden.

Cloudflare Firewall

Wordpress absichern: Experten-Funktionen

Für die nachfolgenden Schritte benötigen Sie IT-Erfahrung und Zugriff auf den Server. Außerdem sollten Sie Grundkenntnisse des Linux-Betriebssystems haben, mit dem die meisten Webserver laufen. Dafür können Sie mit den folgenden Tipps einen starken, zusätzlichen Schutz einbauen, der Angreifer gar nicht erst zu den WordPress Dateien durchkommen lässt. Auf Wunsch unterstützen wir bei der Einrichtung aller hier genannten Schutzfunktionen!

Tabellenpräfix ändern
In der WordPress Datenbank beginnen standarmäßig alle Tabellen mit dem DB-Präfix "wp_": Zum Beispiel "wp_users" oder "wp_posts". Bei der Neu-Installation lässt sich dieser Wert frei wählen und das Abändern der Tabellennamen kann einen besseren Schutz vor SQL Injection Angriffen bieten. Mit Zugriff auf die Datenbank lässt sich der Name der WordPress-Tabellen aber auch noch nachträglich ändern.

REST API abschalten
Mit der REST API bietet WordPress eine Schnittstelle, um Inhalte auszulesen oder zu ändern. Ein Großteil der Webseiten benötigt diese aber nicht: Dann kann sie eine unnötige Sicherheitslücke darstellen. In der Datei functions.php lässt sich die REST API deaktivieren – einfacher geht es mit unserem Plugin, dass diese Schnittstelle deaktiviert.

Admin-Zugriff auf bestimmte IP-Adressen beschränken
Mit diesem Code, der in die Datei functions.php gehört, lässt sich der Zugriff auf den Admin-Bereich auf bestimmte IP-Adressen beschränken: Das hilft dann, wenn man eine Leitung mit fester oder statischer IP Adresse nutzt, die sich nicht ändert.

function admin_access_ipblock() {
   $allowed_ips = array('192.168.1.1', '192.168.1.2');
   if (!in_array($_SERVER['REMOTE_ADDR'], $allowed_ips) && is_admin()) {
      wp_die('Zugriff verweigert.');
   }
}
add_action('init', 'admin_access_ipblock');

Ihre Partner für ein sicheres Wordpress

Wir haben über 24 Jahren Erfahrung im Webdesign und 20 Jahre Erfahrung mit Wordpress Webseiten gesammelt – In dieser Zeit konnten wir über ein Dutzend Wordpress Webseiten erstellen, warten und absichern. Wir unterstützen Sie bei Problemen mit WordPress, Fehlern und Angriffen und finden und eliminieren Viren oder retten Ihre Daten. Sprechen Sie uns an, wenn wir Sie bei der Absicherung oder Rettung Ihrer WordPress Webseite unterstützen können!


Wordpress absichern und schützen
kurs mediasystems Gmbh: Ihre SEO und Web-Agentur in Aachen

k.u.r.s. mediasystems GmbH
Schlottfelder Str. 6a
DE 52074 Aachen

Impressum

Wir sind Ihr Partner für:

Ihr Partner für Wordpress in Aachen
Ihr Partner für Shopify in Aachen
Ihr Partner für Unbounce in Aachen