Wer eine Wordpress Website betreibt, sollte sich auch Gedanken um die Sicherheit seiner Wordpress Installation machen. Das Argument, dass Wordpress zu unsicher sei lasse ich nicht gelten. Sofern man ein paar kleine Tricks und Kniffe beherzigt, kann man seine Wordpress Installation vor Hackern und anderen Angriffen schützen. Mach dein Wordpress sicher – ich zeige dir in diesem Artikel wie’s geht.
Ist Wordpress sicher?
Über die Vorteile von Wordpress habe ich bereits geschrieben. Da Wordpress das (mit Abstand) meist genutzte Content Management System ist erfreut es sich natürlich auch bei Hackern großer Beliebtheit. Ist Wordpress deshalb unsicherer als beispielsweise das CMS Typo3? Mitnichten! Allerdings gibt es einige Dinge, die man bei der eigenen Wordpress Installation konfigurieren sollte, um die Wordpress Sicherheit zu erhöhen und das System gegen Angriffe zu härten.
Bevor ich dir jedoch die Wordpress Plugins für mehr Sicherheit zeige, möchte ich gern noch ein paar Worte zur allgemeinen Sicherheit von Wordpress bzw. generellen Websiten verlieren. Im Internet ist eine 100%ige Sicherheit nur theoretisch möglich. Wenn ein Profi Hacker beschließt, genau deine Website zu hacken, dann kannst du dagegen nur sehr wenig tun. Aber darum geht es im Prinzip auch gar nicht, da dieser Fall sehr unwahrscheinlich ist. Zudem muss der entsprechende Hacker auch noch die Mittel, Werkzeuge und Ressourcen besitzen, um deine Website zu hacken. Diese zielgerichteten Hackerattacken machen jedoch nur einen winzigen Prozentanteil aus.
Die meisten Hackerattacken kommen eher diffus daher und werden von sogenannten Skript-Kiddies durchgeführt. Hier gibt es Tools, die kinderleicht zu bedienen sind und wahllos und automatisiert Schwachstellen in Websiten (unter anderem auch Wordpress) suchen. Und gegen genau diese Script-Kiddies kannst du dich mit ein paar einfachen Wordpress Security Plugins schützen.
Warum soll ich meine Wordpress-Website vor Hackern schützen?
Vielleicht denkst du dir jetzt: “Warum sollte gerade meine Website gehackt werden? Bei mir gibt’s doch nichts zu holen!” Dabei werden solche Angriffe meist nicht gestartet, um dem eigentlichen Websitebetreiber zu schaden. Oft geht es um folgendes:
- Versenden von Spam Mails
Oft wird eine gehackte Wordpress Installation zum Versenden von Spam Mails benutzt – der Betreiber merkt davon meist nichts, da das Versenden der Spam Mails im Hintergrund passiert. - Viren und Spyware für die Besucher
Auf den ersten Blick kann so manche gehackte Website ganz normal aussehen – im Hintergrund werden jedoch Malware und Viren an die Besucher ausgeliefert. Google und andere Suchmaschinen merken dies natürlich und als Folge wird deine Website aus dem Google Index verbannt. - Datendiebstahl
Du betreibst einen Online-Shop oder hast einen Newsletter oder andere sensititve Daten in deiner Datenbank? Dann solltest du deine Daten adäquat absichern – sodass Hacker keinen Zugriff auf die Daten deiner Kunden haben.
Checkliste für deine Wordpress Sicherheit
- Sicheres Passwort und Benutzername für Wordpress Backend, Datenbank und FTP-Server
- Am besten gleich ein SFTP Webserver verwenden
- Wordpress immer auf dem aktuellen Stand halten (aktuellste Wordpressversion und Wordpress Updates)
- Wordpress Plugins sparsam und bewusst einsetzen
Plugins um Wordpress sicherer zu machen
Diese Wordpress Security Plugins helfen dir Wordpress sicherer zu machen. Mit nur wenigen Klicks kannst du so die Sicherheit deiner Wordpress Installation erhöhen. Sicherheitsplugins wie z.B. iTheme Security bieten zudem eine einfache Installation und sind bereits so voreingestellt, dass die meisten Bedrohungen relativ leicht abgewehrt werden können. Hier nun die kleine aber feine Liste der Wordpress Plugins um deine Wordpress Website sicherer zu machen.
Hide my WP – deine Wordpress Site für Hacker unsichtbar machen!
Das Hide my WP Plugin ist eines der meist verkauftesten Sicherheitsplugins für Wordpress auf CodeCanyon. Kein Wunder – dieses Wordpress Sicherheitsplugin ist genial! Dabei liefert es nicht nur die Standard Firewall Funktionalitäten, die ein Wordpress Sicherheitsplugin bieten sollte. Hide my WP versteckt deine Wordpress Installation als solche. Damit kann der Angreifer nicht sehen, dass du überhaupt Wordpress benutzt. Weiterhin werden natürlich auch deine eingesetzten Plugins vor Angreifern verschleiert. Somit scheint deine Wordpress Website nach aussen gar nicht als Wordpress CMS. Damit kann man automatisierten Angriffen entgehen und macht es Hackern extrem schwer, bekannte Sicherheitslücken in veralteten Plugins oder deiner WP Installation zu entdecken.
Zudem zeigt dir das Sicherheitsplugin Hide my WP Sicherheitslücken in anderen Plugins an – und das sehr aktuell. Zugegeben: Das Plugin ist nicht kostenlos, dennoch lohnen sich die $20. Wenn dein Shop/Website mehrere Tage (oder Wochen) aufgrund von Hackerangriffen down ist, wirst du merken warum. Wordpress sicher machen – mit Hide my WP ein Kinderspiel.
Wenn du noch mehr über Hide my WP erfahren möchtest, findest du weitere Information (in Englisch) hier!
Das Fazit zu Hide my WP: Perfektes Plugin, um deine Wordpress Installation präventiv vor Angriffen zu schützen. Mach es Hackern besonders schwer und verstecke deine wichtigen Wordpress Ordner vor ungebetenen Gästen.
iThemes Security
Das Plugin iThemes Security (früher Better WP Security) sichert deinen Blog gegen Hackerangriffe aller Art. Dabei ist iThemes Security sehr umfassend – für den einen oder anderen wahrscheinlich schon zu umfassend. Aber keine Angst, das Flaggschiff der Security Plugins lässt sich durch die guten Erklärungen in kleinen Schritten einrichten und liefert zu jeder Einstellung Erklärungen und Hintergrundinfos und eignet sich so besonders für Security Einsteiger.
Dennoch bietet iTheme Security alles, was man für eine sichere Wordpress Installation braucht. Welche Einstellungen du vornehmen musst, zeigt dir das folgende Tutorial zu dem Plugin iTheme Security:
https://www.youtube.com/watch?v=Rrr03PxnchU
Das Fazit für iThemes Security: Dieses Security Plugin richtet sich besonders an Einsteiger und Wordpress Neulinge – die meisten Optionen können auch von Wordpress Profis händisch vorgenommen werden – dafür brauchst du allerdings etwas Know-How. Dabei sollten Wörter wie Htaccess, Chmod und FTP keine Fremdwörter für dich sein.
iThemes Security herunterladen
Wordpress Antivirus Plugin
Eine weitere Möglichkeit für Hacker deine Wordpress Installation zu kapern, sind kompromittierte Theme oder Plugin Dateien. Was bedeutet das? Einige Themes werden teilweise mit Sicherheitslücken (die teilweise bewusst eingebaut sind) ausgeliefert. Aber keine Angst: Große Premium Wordpress Themes enthalten meist keine Schadsoftware – zumindest, wenn sie von den offiziellen Quellen (beispielsweise Themeforest) heruntergeladen werden. Bei sogenannten Nulled Themes oder auch Nulled Plugins sollte man jedoch Vorsicht walten lassen. Nulled Themes sind quasi kostenlos (und illegale) Premium Themes und Plugins, die Hacker zur Verfügung stellen. Dabei haben sie in dem offiziellen Theme oder Plugin kleine Sicherheitslücken oder Scripte eingebaut, die deine Website für bestimmte Angriffe offen lassen. Deshalb immer nur Plugins von offiziellen und vertrauenswürdigen Seiten installieren.
Du bist dir nicht sicher, ob alle deine Theme- und Plugindateien sauber sind? Dann kannst du dir das Wordpress Antivirus Plugin herunterladen und prüfen ob deine Wordpress Installation keine Schadsoftware oder gefährliche Scripte enthält. Danach kannst du das Plugin auch deinstallieren (sofern du nicht vor hast in nächster Zeit weitere Plugins oder Themes zu installieren).
Dabei ist nicht jede Fehlermeldung eine Sicherheitslücke. Was genau die einzelnen Meldungen bedeuten, kannst du beispielsweise im deutschen Wordpress Forum nachschlagen.
Fazit für Wordpress Antivirus Plugin: Wer dauerhafte und ständig neue Plugins oder Themes installiert, sollte das Antivirus Plugin dauerhaft installieren. Wer nur den aktuellen Status Quo überprüfen will (und nicht in naher Zukunft weitere Plugins installieren will), der kann das Antivirus Plugin temporär installieren und danach wieder deinstallieren und gegebenenfalls auch löschen.
Antivirus Plugin herunterladen
Wordpress Security Plugins Fazit
Diese kleine Auswahl an Wordpress Sicherheitsplugins sollten reichen, um deine Wordpress Installation zu härten und vor den größten Attacken zu schützen. Weitere Sicherheitsmaßnahmen können durch manuelle Maßnahmen erreicht werden. Diese manuellen Sicherheitsmaßnahmen für Wordpress werde ich in einem anderen Blogartikel vorstellen.
Die absolute Empfehlung erhält das Hide my WP Plugin. Aber auch das iTheme Security Plugin, welches kostenlos ist, kann deinen Blog schützen. Im Speedtest schlägt das iTheme Security Plugin zumindest in meinen Test nicht die Geschwindigkeit der Wordpress Website. Generell natürlich immer: Schwierige Passwörter benutzen und diese auch dementsprechend schützen – sonst nützt das beste Wordpress Security Plugin nichts.