WordPress-Sicherheit
Die Popularität von WordPress bringt mit sich, dass Word-Press-Webseiten häufig Ziele von (automatisierten) Hacker-Angriffen sind. Die Webseiten können so manipuliert oder sogar gelöscht werden.
Es gibt einige Maßnahmen, Ihre WordPress-Installation sicherer zu machen. Falls Sie Unterstützung bei der Umsetzung der dieser Maßnahmen brauchen, mache ich Ihnen gerne ein entsprechendes Angebot.
1. Regelmäßige Backups
Backups der Webseite ermöglichen es, dass im Fall eines erfolgten Hacker-Angriffs eine intakte Version der Website wiederhergestellt werden kann. Die Backups sollten – abhängig von der Häufigkeit der Aktualisierungen – regelmäßig gespeichert werden, z. B. monatlich. Es gibt dafür Plugins, wie UpdraftPlus. Ein anderer weg ist die Sicherung der WordPress-Dateien mit einem FTP-Programm und der Datenbank über die Provider-Administration. Viele Provider bieten als Standardleistung oder Upgrade das Anlegen von Backups und deren Restore an.
2. Regelmäßige Updates
WordPress lässt sich mit wenigen Mouseclicks in der Administration updaten. Ein Major-Update des CMS (ca. zweimal jährlich) sollte zeitnah nach der Veröffentlichung eingespielt werden. Auf dem Admin-Dashboard weist WordPress auf Updates hin und zeigt die verwendete Version an. Wichtig: Plugins und das Theme sollten auch regelmäßig geupdated werden, da sie häufig das Einfalltor von Hacker-Angriffen sind.
3. PHP-Version aktuell halten
Die WordPress ist in der Programmiersprache PHP geschrieben, die regelmäßig aktualisiert wird. Beim Provider kann die aktuelle Version aktiviert werden. Das trägt zur WordPress-Sicherheit bei. Achtung: Provider schalten regelmäßig veraltete PHP-Versionen ab. Ein jahrelang nicht geupdatetes WordPress läuft dann unter Umständen nicht mehr.
4. SSL
Die WordPress-Webseite sollte über eine sichere Verbindung SSL laufen. Bei der Erneuerung der Zertifikate sollen keine zeitlichen Lücken entstehen.
5. CMS-Benutzer und Passwörter
Ein Benutzeraccount soll nicht von unterschiedlichen Personen genutzt und über längere Zeit nicht genutzte Benutzeraccounts gelöscht werden. Standard-Benutzernamen wie “admin” sind Tabu. Für Passwörter gilt:
- Sie erfüllen hohe Sicherheitsstandards.
- Sie werden regelmäßig (jährlich) geändert.
- Sie werden nicht mehrmals verwendet (identisches Passwort für mehrere Accounts).
6. Plugins
Löschen Sie Plugins, die installiert, aber nicht aktiviert sind. Sollte über einen längeren Zeitraum (ein Jahr) kein Update für ein Plugin vorliegen, sollte die Verwendung einer Alternative geprüft werden.
7. Dateiberechtigungen
Dateiberechtigungen werden so niedrig wie möglich gesetzt.
8. Security-Plugins
Zum weitergehenden Schutz der Webseiten können Security-Plugins eingesetzt werden, z. B. iThemes Security. Sie schützen vor Brute-Force-Attacken und anderen Angriffen.
9. Weitere Maßnahmen
Zu weiteren Maßnahmen zählen:
- Schutz vor SQL-Injection-Attacken
- Schutz vor automatischen Einträgen in Formulare
- Deaktivieren des Theme-Editors
- Verschieben des Administrationsbereiches
- Schutz des Uploadverzeichnisses
WordPress-Datenschutz
WordPress-Optimierungen