Kommentare 30

Tipps zur Sicherheit von WordPress

WordPress bietet jede Menge Einsatzmöglichkeiten und kann z.B. als Blog, Firmen-Webseite, Portfolio oder für einen Onlineshop genutzt werden. Um die eigenen Webseiten-Inhalte vor Hackerangriffen und Malware zu schützen ist es wichtig, einige Tipps zu beachten. Mit der Hilfe von zusätzlichen WordPress-Plugins zum Sicherheits-Check und für den regelmäßigen Backup der eigenen Daten kannst du außerdem sicherstellen, dass du und deine WordPress-Webseite vor bösen Überraschungen verschont bleiben.

1. Keine Standard-Benutzernamen

Ein wichtiger Tipp ganz zu Anfang ist, dass du dir einen individuellen Benutzernamen für deinen WordPress-Login auswählst. “Admin” war lange Zeit bei früheren WordPress-Versionen als Standard-Benutzername ausgewählt, daher solltest du dir auf jeden Fall einen eigenen, individuelleren Benutzernamen einrichten.

2. Ein sicheres Passwort wählen und regelmäßig ändern

Ganz wichtig ist natürlich auch ein sicheres, individuelles Passwort auszuwählen und dies in regelmäßigen Abständen zu ändern. Eine Kombination aus Buchstaben, Zahlen und Zeichen ist am sinnvollsten. Auf Spitznamen oder Geburtsdaten in deinem Passwort solltest du auf jeden Fall verzichten (Tipps für eine sichere Passwort-Wahl).

3. Login-Versuche limitieren

Neben der Wahl eines sicheren Passworts kannst du zusätzlich die Login-Versuche für WordPress mit dem Limit Lockin Attempts Plugin einschränken. Standardmäßig sind bei WordPress nämlich unendlich viele Login-Versuche möglich.

WordPress Sicherheits-Tipps

Einstellungs-Optionen des Limited Logins WordPress-Plugins.

4. Die aktuelle WordPress-Version nutzen

Bei WordPress-Updates werden auch immer wieder Sicherheitslücken behoben, daher ist es wichtig immer die neueste Version von WordPress zu nutzen. Über zur Verfügung stehende Updates wirst du direkt im Adminbereich informiert und seit es den automatischen Update-Button direkt im Admin gibt, ist das Update in nur wenigen Sekunden erledigt. Wichtig ist aber, dass du immer erst ein Backup deiner Daten und der Datenbank erstellst (siehe Backup-Lösungen weiter unten im Artikel), bevor du das Update durchführst. So hast du immer eine Sicherheitskopie, falls mit dem Update etwas schief laufen sollte.

5. Theme-Checks vor der Installation eines neuen Themes

Bevor du ein neues WordPress-Theme nutzt, kannst du die Theme-Dateien mit Hilfe von Plugins auf eventuell bösartigen Code (z.B. Malware) prüfen. Am besten machst du dies auf einer lokalen WordPress-Testinstallation, bevor du das Theme live installierst.

Hilfreiche Plugins zum Theme-Check sind TAC (zeigt Links im Theme-Code an), Theme-Check (bietet einen umfangreichen Test über einen einzigen schnellen Check-Button) und Antivirus (das Plugin prüft den Theme auf eventuellen Spam- oder Malware-Code, mit deutschsprachiger Dokumentation). Wichtig ist auch noch zu sagen, dass du dein Theme auf keinen Fall von anonymen Download-Plattformen herunterladen solltest, sondern z.B. über das Theme-Directory von WordPress.org (hier werden die Themes vor der Veröffentlichung gecheckt) oder von einem vertrauensvollen Theme-Anbieter.

6. Antispam-Plugins für Kommentare

Wenn du Kommentare auf deiner WordPress-Seite zulässt, ist es wichtig ein Antispam-Plugin installiert zu haben, da schädlicher Code oder Links gerne über Kommentare übertragen wird. Standardmäßig ist auf allen WordPress-Installationen Akismet installiert. Alternativ kannst du auch Antispam Bee nutzen (mit deutschsprachiger Dokumentation), dieses Plugin speichert keine Daten bei Drittanbietern und eigenes sich daher besonders gut für die deutsche Rechstlage.

7. Security Plugins

Für eine optimierte Sicherheit gibt es auch noch einige praktische All-Round Plugins, die verschiedene Möglichkeiten zur Verbesserung der Sicherheit bieten. Über die Plugins kannst du z.B. die Angabe zur WordPress-Version im Code verbergen, das standardmäßig genutzte wp- Prefix in den Datenbank-Tabellen ändern, die Passwort und Benutzernamen sicherer machen, den Login-Zugang beschränken und vieles mehr.

Ein sehr beliebtes WordPress Security-Plugin ist beispielsweise Better WP Security. Mit Hilfe des Plugins werden Sicherheitslücken in deiner WordPress-Installation geprüft und ausgewertet. In der Auswertung hast du dann die Option, die Empfehlungen zur besseren Sicherheit einzeln umzusetzen.

WordPress Security Tipps

Die Auswertungen des Better WP Security Plugins mit Vorschlägen zur optimierten Sicherheit.

Ein weiteres Allround Sicherheits-Plugin für WordPress ist Bulletproof Security. Über das Plugin kann z.B. die .htaccess direkt im WordPress-Adminbereich angepasst werden, um Sicherheitseinstellungen zu verbessern. Auch hier kann die WordPress-Version verborgen werden und es gibt einen extra abgesicherten Maintenance-Mode für die Bearbeitung der eigenen Seite.

Das Ultimate Security Checker-Plugin in ein etwas leichteres Plugin, das deine deine WordPress-Installation auf Sicherheitslücken testet und eine umfangreiche Auswertung mit Tipps zur Sicherheits-Optimierung ausgibt.

8. Regelmäßige Backups

Regelmäßige, am besten automatische Backups für deine WordPress-Seite einzurichten, ist neben dem Schutz vor Hackern eine der wichtigsten Punkte. Denn so ist man auch im Falle eines Hacker-Angriffes abgesichert und kann auf eine gebackupte Version seiner WordPress-Seite zugreifen, auch wenn einmal etwas schief gehen sollte.
Wieder gibt es praktische Plugins, die einem bei der Einrichtung von regelmäßigen, automatischen Backups der eigenen WordPress-Dateien und der Datenbank helfen. So muss man sich nicht manuell um Updates kümmern. Das ist vor allem praktisch, wenn man oft Inhalte aktualisiert und wenig Zeit für Backups aufbringen möchte.

Als kostenlose Backup-Plugins gibt es z.B. das umfangreiche BackWPup-Plugin. Mit dem Plugin kannst du all deine Daten und die Datenbank in verschiedenen Formaten u.a. direkt via Email (dies ist eher bei kleinen Datenmengen zu empfehlen), lokal auf deinen Computer, oder über dein Dropbox- oder Google Cloud Storage-Konto sichern.

WordPress Security

Die Einstellungen des BackWPup Plugins für einen WordPress-Backup.

Möchtest du dein Dropbox-Konto für deine WordPress-Backups nutzen, kannst du auch das WordPress Backup to Dropbox Plugin verwenden. Du kannst auch hier auswählen, welche Daten dein Backup beinhalten soll und wann und wie oft das Backup upgedatet werden soll. (Das Plugin hat eine eigene Webseite für weitere Infos und Support).

Wenn du nur die Datenbank deiner WordPress-Webseite sichern möchtest, kannst du das Plugin WP-DBManager einsetzen.

Für Profi-Blogs gibt es außerdem noch die kostenpflichtige Premium-Backup Lösung VaultPress von Automattic (der Firma des WordPress-Gründers Matt Mullenweg).

Für das Backup aller Daten in Echtzeit via VaultPress zahlt man 15 US-Dollar im Monat (für ein Basis-Konto). Das ist zwar nicht ganz so günstig, aber wenn man dafür eine Sorge weniger hat, kann man meiner Ansicht nach über diese Investion nachdenken. Und wenn man bedenkt, dass viele WordPress nicht nur privat, sondern für ihr Geschäfts-Webseite (z.B. mit einem Onlineshop) nutzen lohnt es sich denke ich besonders, in eine professionelle Backup-Lösung zu investieren.

Deine Tipps und Vorschläge

Kennst du noch weitere wichtige Tipps zur Sicherung von WordPress-Webseiten? Welche der Plugins hast du selbst im Einsatz und welches sind deine Lieblings-Tipps und -Plugins für die WordPress-Sicherheit? Über deine weiteren Tipps und dein Feedback freue ich mich sehr!

30 Kommentare

  1. Ellen, danke für die Empfehlung meiner Antispam Bee und der Tipps.

    Mein Motto für mehr Sicherheit: So wenige (fremde) Plugins wie möglich. Jedes Plugin ist ein Risiko.
    Zudem lasse ich den kompletten Admin-Bereich via .htaccess sperren, so verzichtet man wieder auf ein paar Security-Plugins. Dazu hatte ich mal eine Initiative gestartet.

    • Jörg Helfmann

      Richtig. Der Tipp mit der .htaccess für das Adminverzeichnis ist sehr leicht umzusetzen und sollte das erste sein, was man nach der Installation in punkto Sicherheit tun sollte.

      • Solange man alleine an einer WordPress Installation arbeitet ist das auch weniger das Problem, jedoch um so mehr leute zusammen arbeiten um so blöder ist es. Vorallem weil man schnell genervt ist wenn man nicht nur 5 sondern gleich 10 oder 20 passwörter braucht um seine Ziele zu erreichen….

    • Ich schließe mich da den Empfehlungen von Sergej an und schütze meine Admin Verzeichnisse via .htaccess und .htpasswd so scheitern die Login Versuche bereits eine Ebene über der eigentlichen WordPress Installation.

      Trotzdem sollte man die Zugriffsrechte der Verzeichnisse sorgfältig überprüfen. Einen einfachen und schnellen Überblick liefert mir da der WebsiteDefender aus dem WordPress Plugin Verzeichnis zu finden mit “WP Security Scan”. Dieses Plugin überfordert mich zumindest nicht was das technische Verständniss betrifft.

      viele Grüße
      Helmut

  2. Hallo Ellen,

    danke für diesen Artikel, der mir auf Facebook empfohlen wurden ist. Habe nun einige optimierungen vorgenommen und andere muss ich noch umsetzten.

    Jetzt mal eine andere Frage…
    Was für ein Plugin nutzt du um unter deinem Artikel die ‘Veröffentlicht von Ellen’-Box zu haben?

    Beste Grüße,
    Dennis

  3. Ein prima Tool zur Sicherung von besonders großen MySQL Datenbanken ist auch MySQL Dummper (http://www.mysqldumper.de/) Das ist zwar kein WordPress-Plugin, eignet sich aber speziell für große, umfangreich Datenbanken. Ich setze es auch ein um meine produktive Datenbank lokal für die Entwicklung einzuspielen. das Tool ist auf jeden Fall einen Blick wert.

  4. Danke für die interessante Zusammenstellung!

    Ich war schon mehrfach froh um mein Backup… So froh, dass ich mir jetzt tatsächlich VaultPress leiste.

    Besonders vorsichtig bin ich neuerdings beim Update von Plugins: Kürzlich war der ganze Blog offline, weil sich ein Plugin beim Update verhakt hat. Auch aus Performancegründen empfiehlt es sich, generell möglichst wenig Plugins einzusetzen.

  5. Super Tipps. Allerdings find ich das “Limit Lockin Attempts Plugin” nicht empfehlenswert. Beispielsweise kann man so auch Nutzer für eine Zeit sperren (beispielsweise “x” mal das passwort falsch eingeben und schon muss der nutzer warten bis er wieder “freigeschaltet” wird)

    Grüße, Vincent

  6. Hallo Ellen,

    danke für deinen tollen Artikel! Das Plugin “Better WP Security” kannte ich noch gar nicht, muß ich mir mal ansehen.

    Die beiden Plugins von Sergej (Antivirus und Antispam Bee) haben nicht nur eine deutsch Dokumentation, sie sind auch in deutsch! Ich verwende beide schon länger und seit kurzem auch “Limit Login Attempts”, welches wirklich gut ist. da es bei mir den Admin natürlich auch nicht gibt, sind dadurch schon einige “Admins” in’s Leere gelaufen! ;-)

    Gegen den Spam hab ich übrigens zusätzlich das Plugin “Spammer Blocker” installiert, kann ich wirklich empfehlen!

    Grüße aus TmoWizard’s Castle zu Augsburg

    Mike, TmoWizard

  7. Pingback: Wordpress absichern | Relativ Gern

  8. Better WP Security hatte ich auch eingesetzt und war auch sehr zufrieden damit, bis zum ersten Update. Das hat leider den Blog komplett lahmgelegt und es war sehr mühsam, alles wieder ans Laufen zu bringen. Ich hatte Better WP Security löschen müssen und werde mich auch nicht wieder daran machen. Leider tut das Plugin aber weiter seine Wirkung, ich komme, seitdem es vom Better WP Security versteckt wurde, nicht mehr im Backend an den Code des Themes heran. Alles sehr ärgerlich.
    Ansonsten ist der Bericht eine schöne Zusammenstellung. Ich werde mich hier mal nach einem anderen Sicherheitsplugin umtun. Ich habe jetzt Secure WordPress, Antispam Bee, WP Malwatch und AntiVirus installiert und fühle mich damit einigermaßen sicher.

    • Ich habe dieselbe Erfahrung gemacht wie Susanne. Habe am Samstag Better WP Security installiert, dieses und jenes ausprobiert – und plötzlich war Mattscheibe. Ich musste das Plugin via FTP entfernen, dann gings wieder. Uff!

  9. Moin,
    eine Maßnahme, deren Wichtigkeit man gar nicht genug betonen kann ist und die bisher nicht richtig zur Sprache kam ist: Installiert euch nicht einfach irgendwelche Plugins, die euch nur von einer Quelle empfohlen werden. Immer unbedingt gegenchecken, d.h. zweite, dritte Meinung einholen.
    Eines der größten Sicherheitsprobleme von WP sind imho schlecht programmierte Plugins, die einem Angreifer Tür und Tor öffnen!

    Deshalb:
    1.) Plugins nur vom offiziellen Plugin-Directory von WP herunterladen. Schaut dort auch wie oft das schon heruntergeladen wurde, wie die Bewertungen sind und guckt rechts eher unten bei Compatibility was da steht.
    Plugins die erst relativ wenige Male heruntergeladen wurden haben nicht unbedingt mein Vertrauen.
    2.) Schaut was bekannte WP-Größen wie Frank Bültge, Sergej Müller, Perun, Toscho, Monika oder Heiko vom Code Styling Project so schreiben und empfehlen
    3.) Nur so wenig Plugins wie unbedingt nötig installieren und nicht aktive Plugins löschen.
    4.) Wenn sich etwas mit Bordmitteln regeln läßt macht es und verzichtet auf ein Plugin.

    Solche Plugins wie Better WP Security würde ich mir niemals installieren!
    Schon die geposteten Erfahrungen von Susanne und Dominik ließen das durch den Rost fallen. ;)

    • Sehr schöne zusammenfassung. Leider ist das mit option 3 nicht immer möglich. Vieles könnte man sicherlich selbst umsetzen und ich bringe mir das zum beispiel derzeit bei, es kostet jedoch eine menge Zeit sich die einzelnen zusatzfunktionen zusammen zu basteln und das wissen darüber an zu eignen. Ein gutes Beispiel ist das erstellen von douple-opt-in verfahren und co. Und schon mit den wichtigsten Plugins die man benötigt hat man eine gute hand voll installiert.

      Vielen Dank Ellen für deine zusammenfassung.

  10. Hallo Ellen! Schöner Beitrag, gute Zusammenfassung. Eine kleine Anmerkung: Du erwähnst im Zusammenhang mit Anti-Spam Akismet. da gibt es so viel ich weiß noch immer ein rechtliches Problem mit beim Einsatz auf deutschen WordPress-Sites. Weitere Infos hier: Abmahnung beim Einsatz von Akismet.
    Als exzellente Alternative hat sich für mich tatsächlich Sergejs Antispam Bee erwiesen – sehr zu empfehlen.

  11. Pingback: Link-Tipp: Tipps zur Sicherheit von WordPress › BlogStorm

  12. Pingback: Die besten meiner geteilten Links auf Twitter im Juni 2012 - pixelstrol.ch

  13. Hallo,
    die Artikel sind zwar nicht mehr ganz frisch und ihr Thema trifft auch nicht so 100%ig das Thema hier, aber ich verlinke sie trotzdem mal, weil ich das doch sehr interessant fand.

    Wenn man WordPress komplett privat machen möchte, also zum Beispiel als Fotogalerie für Freunde oder so, kann man sich mal diese beiden Herangehensweisen anschauen:
    - Private WordPress-Website mit Registrierung von Matthias Papst
    - WordPress als privates Fotoalbum von Vladimir Simovic, perun.net

    Als Disclaimer muss ich angeben, dass ich die Plugins noch nicht ausgetestet habe! Vielleicht hilft es aber trotzdem jemandem. :-)

  14. Sascha

    Plugins von der offiziellen WordPress-Seite herunterzuladen ist sicherlich ein gesunder Ansatz bösartigen Code aus der eigenen Installation fernzuhalten. Allerdings stellt sich mir die Frage, ob tatsächlich jedes Plugin einem Security-Check unterzogen wird oder wurde.
    Die Vielzahl verfügbarer Plugins lässt mich zweifeln, das tatsächlich jedes Plugin auf sicherheitsrelevante Aspekte geprüft werden kann. Allein die Vorstellung, das ein fremdes Plugin auf meine “WP”-Datenbank zugreifen kann, bereitet mir Kopfschmerzen.
    Ich selbst betreibe und betreue mehrere Webseiten mit WordPress, halte mich jedoch bei der Installation fremder Plugins zurück und nehme den Aufwand in Kauf zusätzliche Funktionalitäten selbst zu entwickeln.

    Ohne Frage, WP ist ein tolles Tool, bringt jedoch durch seine Offenheit jede Menge Gefahren mit sich. Die einfache Installation fremder Plugins führt dazu, dass quasi jeder eine Webseite aufsetzen kann und diese ohne weiteres mit mehr oder weniger sinnvollen Zusatzfunktionen ausstatten kann.
    Das sich der Anwender dabei u.U. Schadsoftware auf den eigenen Server installiert, wird dabei oftmals völlig ausgeblendet. Dies liegt zum einen am blinden Vertrauen auf die Entwickler externer Komponenten und zum anderen an fehlenden Programmierkenntnissen von vielen WP-Webmastern.
    Der Sicherheit von Internetpräsenzen immer noch viel zu wenig Aufmerksamkeit geschenkt. Der Schaden der entstehen kann wird aus Kostengründen oftmals nicht bedacht. Frei nach dem Motto: “Was wollen Sie für die Entwicklung haben? Lassen Sie mal die Kirche im Dorf! Da gibt es doch kostenlose Plugins!”

  15. Wow – super Tipps. Die wusste ich gar nicht alle und werde sie natürlich gleich versuchen umzusetzen.
    Mein Tipp: Man sollte sich 1-2 weitere zusätzliche Benutzer im WordPress System anlegen, da wenn es doch mal zu einem Hacking angriff kommt, und das Passwort geändert wird, kann man sich immer noch mit seinem Zweitaccount einloggen, und ist nicht vor seinem “eigenen Haus” ausgesperrt – also sozusagen eine Art “Ersatzschlüssel”! (-:

  16. Danke für die vielen und vorallem guten Tipps! Ich hab bisher mit Better WP Security sehr gute Erfahrungen gemacht, aber ab und zu musste ich das Plugin deaktivieren oder die erstellen .htaccess Dateien löschen, damit ich bestimmte Änderungen am System machen kann. Außerdem verträgt es sich nicht so gut mit BackWPUp, zumindest werden bei mir gelegentlich Fehler angezeigt..

  17. Pingback: Wordpress Information im Web | Gedankensalat

  18. Pingback: Wordpress Plugins - Sicherheit & Backup

Schreibe eine Antwort