Fachlich kompetent
Äußerst flexibel
Absolut zuverlÀssig
WordPress

Ultimativer Leitfaden fĂŒr ein sicheres WordPress-System

Stefan ThalerWordPress Experte | Seokratie Österreich

Du möchtest verhindern, dass Deine WordPress-Website gehackt wird? Wie Du das beliebteste Content-Management-System der Welt schĂŒtzt und wie Du Deine Website sicher fĂŒr Dich und Deine Besucher machst, verrate ich Dir in diesem Beitrag.

sicheres WordPress - ultimativer Leitfaden

Sichere das meist genutzte Content-Management-System der Welt und schĂŒtze dadurch Deine Website

Ist WordPress ein sicheres System?

GrundsĂ€tzlich ist WordPress ein sicheres Content-Management-System. Trotzdem werden jĂ€hrlich tausende WordPress-Websites gehackt. Doch warum ist das so? Durch das breite Anwendungsspektrum von WordPress ist es mit ĂŒber 65% Marktanteil das meistgenutzte Content-Management-System der Welt (Quelle: w3techs / Stand: 02/2022). Gerade daher ist es fĂŒr Hacker ein „begehrtes“ Angriffsziel. Die hĂ€ufigste Ursache fĂŒr erfolgreiche Angriffe auf WordPress-Websites sind veraltete Systeme bzw. veraltete Erweiterungen (Plugins), sowie eine sogenannte SQL-Injection (Angriff auf Deine Datenbank).

Statistik: Verwendung der 2022 verwendeten CMS-Systeme weltweit

Verwendung der 2022 verwendeten CMS-Systeme weltweit

Darum solltest Du Deine WordPress-Website sichern

Ganz einfach: Ein Hack Deiner Website verursacht einen sehr hohen Zeitaufwand (Offline-Stellen der Seite, Rechner und Server ĂŒberprĂŒfen, Neuinstallation usw.) und Umsatzverlust (Besucher-/Traffic-Strom ist unterbrochen, es kommen keine Anfragen/Leads herein). Im schlimmsten Fall bĂŒĂŸt Du sogar aufgebautes Vertrauen bei Deinen Kunden und schĂ€digst den Ruf Deiner Marke.

Quick-Fact: Ein im Jahr 2020 von IBM veröffentlichter Bericht ergab, dass es durchschnittlich 280 Tage dauert, bis einem Website-Betreiber ein Hack ĂŒberhaupt auffĂ€llt. Man kann sich in etwa vorstellen, welcher Schaden in 280 Tagen angerichtet werden kann. Sorge daher vor!

Allgemeine Sicherheits-Tipps

Verwende ein gĂŒltiges SSL-Zertifikat

„SSL“ steht fĂŒr Secure Sockets Layer – das bedeutet, dass Deine Website-Daten verschlĂŒsselt ĂŒbertragen werden. Doch wozu benötigst Du ein SSL-Zertifikat fĂŒr Deine WordPress-Website?

  1. Sicherheit & Vertrauen: Ein SSL-Zertifikat verschlĂŒsselt bei der Übermittlung alle Daten (z.B. eingegebene Formulardaten oder persönliche Daten bei BestellabschlĂŒssen). Web-Browser zeigen Besuchern Deine Website als vertrauenswĂŒrdig an – somit steigerst Du zusĂ€tzlich zur Sicherheit auch das Vertrauen Deiner User.
  2. Ranking: Bereits 2014 gab Google bekannt, dass deren Algorithmen berĂŒcksichtigen ob sichere und verschlĂŒsselte Verbindungen verwendet werden.

Die meisten Hoster bieten kostenlos eine SSL-Absicherung mittels „Let’s encrypt Zertifikat“ an.

Quick Fact: Ein Let’s encrypt Zertifikat ist im Gegensatz zu kostenpflichtigen SSL-Zertifikaten nur 90 Tage gĂŒltig, es wird aber in der Regel vom Hoster automatisch nach Ablaufzeit verlĂ€ngert.

Um die Umleitung von http auf https zu garantieren, solltest Du auf jeden Fall in die .htaccess-Datei Deines Servers folgenden Code hinterlegen:

<IfModule mod_rewrite.c>
RewriteEngine On
RewriteCond %{HTTPS} !=on
RewriteRule ^ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]
</IfModule>

Sichere Installation von WordPress

WÀhle einen individuellen Datenbank-TabellenprÀfix

Bei der Installation von WordPress wirst Du nach einer gewĂŒnschten Datenbank-TabellenprĂ€fix gefragt. WordPress ist ein datenbankbasiertes System und deshalb ist die Datenbank fĂŒr Hacker ein beliebtes Ziel. Als Standard ist bei der Installation das PrĂ€fix „wp_“ hinterlegt. Warum solltest Du dieses StandardprĂ€fix nicht verwenden? Mit dem WordPress-StandardprĂ€fix machst Du es dem Hacker leicht, da nicht lange nach Deiner TabellenprĂ€fix gesucht werden muss.

Solltest Du bereits die Installation mit dem StandardprĂ€fix durchgefĂŒhrt haben, kann ich Dir folgendes WordPress-Plugin zur nachtrĂ€glichen Änderung empfehlen: Brozzme DB Prefix & Tools Addons.

Einfache Änderung der Datenbank-TabellenprĂ€fix mittels Plugin

Einfache Änderung der Datenbank-TabellenprĂ€fix mittels Plugin

RĂ€ume das Root-Verzeichnis nach der Installation auf

Normalerweise sollten folgende Dateien aus dem Root-Verzeichnis automatisch gelöscht werden: installation.php und update.php. Am besten prĂŒfst Du das trotzdem nochmal nach. Viele Hoster bieten automatisierte Installationsverfahren an und ich habe schon oft erlebt, dass je nach Hoster diese Dateien nach der Installation noch vorhanden sind. Lösche am besten auch die readme.html Datei und (wenn vorhanden) auch die liesmich.html. Über diese Dateien können Hacker die WordPress-Version Deiner Seite herausfinden und sind somit schon wieder einen Schritt weiter. Du siehst bereits, dass es auch kleine Maßnahmen Hackern schwerer machen Deine Website zu knacken.

Halte WordPress und Dein System immer Up-to-date

Arbeite mit der aktueller WordPress Version

Bei jeder Aktualisierung des WordPress-Core werden auch bekannte SicherheitslĂŒcken geschlossen. Laut aktuellen Statistiken von wordpress.org verwenden jedoch nur rund 40% aller WordPress-User die aktuelle Version (Stand: 03/2022).

Über 40% der WordPress-Benutzer verwenden eine veraltete Version

Über 40% der WordPress-Benutzer verwenden eine veraltete Version

Verwende also möglichst immer die aktuelle WordPress-Version. NatĂŒrlich musst Du dabei auf die KompatibilitĂ€t Deiner verwendeten Plugins achten. Im Zweifelsfall empfehle ich aber immer eine aktuelle WordPress-Version einem nicht kompatiblen Plugin vorzuziehen.

Aktualisiere Deine PHP-Version

Das Aktualisieren von Deiner PHP-Version hat mehrere Vorteile: NatĂŒrlich steht an erster Stelle die Sicherheit, jedoch sind neue PHP-Versionen oft auch schneller, benötigen weniger Speicher und enthalten auch neue Funktionen und Verbesserungen. Laut wordpress.org verwenden nur knapp 4% aller WordPress-User eine der aktuellen 8.x PHP-Versionen. WordPress empfiehlt zwar die Verwendung einer PHP-Version ab 7.4, jedoch wird in nĂ€chster Zeit auch WordPress den Sprung auf die Version 8.x wagen (mĂŒssen).

Verwendete PHP-Versionen bei WordPress weltweit

Verwendete PHP-Versionen bei WordPress weltweit

Bevor Du Deine PHP-Version updatest, erstelle unbedingt ein Backup Deiner Website, um im Zweifelsfall wieder downgraden zu können. Im Anschluss aktualisierst Du den WordPress-Core, Dein Theme und Deine Plugins. Erst dann solltest Du Deine PHP-Version updaten. Solltest Du Deine PHP-Version nicht selbst updaten können, frag einfach Deinen Hoster. Dieser ist Dir dabei sicher behilflich.

Verwende aktuelle Themes und Plugins

Wie bei der Aktualisierung vom WordPress-Core, werden auch bei neuen Versionen von Plugins und Themes bekannte SicherheitslĂŒcken geschlossen. Auch hier gilt: vor jedem Update unbedingt ein Backup erstellen. Ich empfehle ebenso, die automatische Aktualisierung von Plugins zu deaktivieren, um unerwĂŒnschte Aktualisierungen zu vermeiden. Lieber einmal pro Woche auf Aktualisierungen prĂŒfen und im Anschluss die Seite checken, als auf das System zu vertrauen und plötzlich eine nicht funktionierende Website zu haben.

So sicherst Du Dein WordPress-Backend

Verwende sichere Benutzernamen und Passwörter

Der meistgenutzte Word-Press-Benutzername ist „admin“. FrĂŒher wurde dieser Benutzer automatisch von WordPress bei der Installation angelegt. Aber auch heute gibt es noch unzĂ€hlige WordPress-Websites mit diesem Benutzer. Benutze einen individuellen Benutzernamen aus einer beliebigen Buchstabenkombination – klopf einfach mal auf Deine Tastatur. 😉 Dein Spitzname sowie Dein öffentlicher Name sollten auf keinen Fall im Benutzernamen enthalten sein, denn dies erscheinen in den Autorenarchiven:

Im Backend soll sich Dein Benutzername vom Spitznamen und vom öffentlichen Namen unterscheiden

Im Backend soll sich Dein Benutzername vom Spitznamen und vom öffentlichen Namen unterscheiden

Dein öffentlicher Name ist im Frontend in der URL sichtbar:

Der öffentliche Name ist im Frontend in der URL sichtbar

Auch bei den Passwörtern solltest Du unbedingt auf sichere Passwörter setzen. Laut einer Übersicht von nordpass ist das hĂ€ufigste verwendete Passwort immer noch 123456. Nicht gerade schwer zu erraten, oder? 😉

Meist verwendete Passwörter 2020 laut nordpass

Meist verwendete Passwörter 2020 laut nordpass

Die gesamte Liste der Top 200 hÀufigsten genutzten Passwörter findest Du hier: nordpass.com

Aber was ist ein sicheres Passwort?

  • Mindestens 12 Zeichen
  • Groß- und Kleinbuchstaben
  • Zahlen
  • Sonderzeichen wie z. B.: ?!_

Mein Tipp fĂŒr Dich: Benutze einfach einen Passwortgenerator, wie z. B. https://www.passwort-generator.at/

Oder noch einfacher, bau Dir EselsbrĂŒcken aus Akronymen. Das ist immer der erste Buchstabe in einem Wort: „Im Sommer 2020 hatte es jeden Tag mehr als 40 Grad im Schatten!“ wird zum Passwort: IS2020hejTma40GiS!

Nutze die 2-Faktor-Authentifizierung

Durch die 2-Faktor-Authentifizierung bei Anmeldung im WordPress-Backend kannst Du einen weiteren Schritt setzen, um Deine Seite sicherer zu gestalten. Nachdem Du Dich eingeloggt hast, musst Du zusĂ€tzlich einen Code eingeben, den Du per E-Mail oder direkt in einer Authentifizierungsapp erhĂ€ltst. Tipp: Nutze dazu das Plugin Two-Factor – hier kostenlos erhĂ€ltlich. ZusĂ€tzlich empfehle ich Dir die Authenticator App von Google – erhĂ€ltlich fĂŒr Android und iOS. Damit hast Du die zeitlich begrenzten Codes immer mit dabei.

SchrÀnke die Login-Versuche ein

ZusĂ€tzlich zu den oben genannten Maßnahmen, solltest Du die Login-Versuche Deiner Benutzer einschrĂ€nken. So wird eine IP-Adresse fĂŒr Deine Website gesperrt, wenn jemand versucht sich mehrmals mit falschem Benutzernamen oder Passwort einzuloggen. Dazu benutze ich das Plugin Limit Login Attempts Reloaded. Du kannst Dich auch per E-Mail benachrichtigen lassen, falls jemand gesperrt wurde. Ebenso kannst Du IP-Adressen manuell sperren oder freigeben.

Einfache Einstellungen, um Login-Versuche zu limitieren

Einfache Einstellungen, um Login-Versuche zu limitieren

Beobachte die Logins

Um alle Logins im Blick zu behalten, empfehle ich Dir folgendes Plugin: Users Login Monitor. Dieses Plugin ist gut und einfach gecoded und gibt Dir direkt im Dashboard einen Überblick ĂŒber eingeloggte User.

Überblick der eingeloggten User

Überblick der eingeloggten User

Sichere Deine Login-Seite mit .htaccess

Oft bieten Hoster diesen Service schon direkt an. Frag einfach Deinen Hoster, ob er das fĂŒr Dich ĂŒbernehmen kann. Besonders bei nginx-Servern ist dieser Schritt etwas komplizierter und Du solltest genau wissen was Du machst. Solltest Du einen apache-Server verwenden und FTP-Zugriff auf Deine Daten haben, kannst Du das aber auch ganz einfach selbst erledigen:

  1. Lege auf deinem Server im Root-Verzeichnis jeweils eine Datei mit dem Namen .htpasswd und eine Datei mit dem Namen .htaccess an.
  2. Erstelle mit einem .htpasswd-Generator (z. B. https://htpasswdgenerator.de/) den Inhalt der .htpasswd Datei mit selbstgewÀhltem Benutzer und Passwort (sicheres Passwort mit Sonderzeichen und Zahlen).
    Der generierte Code sieht dann in etwa so aus:

    Benutzername: $apr1$78nz1roc$DjjXdT1S2SskJhrNdjgph1
  3. Kopiere Deinen generierten Code in die .htpasswd-Datei und sichere diese.
  4. FĂŒge in die zuvor erstellte .htaccess folgenden Code ein:
    AuthName "GeschĂŒtzer Bereich"
    AuthType Basic
    AuthUserFile /WP-Rootverzeichnis/.htpasswd
    require valid-user
    
    Order allow,deny
    Allow from all
    Satisfy any
  5. Und schon ist der Backend Bereich Deiner WordPress-Website um eine Stufe mehr geschĂŒtzt.

Verwende Plugins und Themes nur aus sicheren Quellen

Achte darauf, dass Du Plugins und Themes nur aus sicheren Quellen installierst. Auch sollten diese immer vor kurzem aktualisiert worden sein und mit der aktuellen WordPress-Version kompatibel sein. VertrauenswĂŒrdige Quellen sind unter anderem:

Lösche Standard-Themes

Solltest Du ein Standard-Theme von WordPress benutzen – wirf es raus. Du benötigst es ohnehin nicht und fĂŒr Hacker sind Standard-Inhalte sowie Standard-Konfigurationen immer ein einfaches Ziel.

Erstelle regelmĂ€ĂŸige ein Backup

Es gibt nichts Schlimmeres, als nach einer Hacker-Attacke mit leeren HĂ€nden dazustehen. Sichere deshalb Deine Seite regelmĂ€ĂŸig, damit Du nach Cyber-Attacken Deine Website schnell wiederherstellen kannst. Ein Backup ist auch sinnvoll, wenn Aktualisierungen fehlschlagen und Du schnell wieder eine funktionierende Website haben willst.

RegelmĂ€ĂŸige, automatisierte Backups sparen Zeit und Nerven

RegelmĂ€ĂŸige, automatisierte Backups sparen Zeit und Nerven

Ich empfehle Dir das Plugin UpdraftPlus WordPress Backup Plugin. Bereits in der kostenlosen Version kannst Du die Sicherungen auf verschiedenen Orten (wie z. B. Google Drive, Dropbox, etc.) speichern lassen. Je nach vorhandenen SpeicherkapazitĂ€ten, kannst Du beliebig oft Sicherungen erstellen und aufbewahren. Unbedingt solltest Du darauf achten, Datenbank und Dateien zu sichern, um wirklich auf alle EventualitĂ€ten vorbereitet zu sein. Ich persönliche sichere aufgrund des geringen Speicherbedarfs die Datenbank 2x tĂ€glich und Dateien 1x tĂ€glich und bewahre alle Backups fĂŒr mindestens eine Woche auf. Tipp: Sichere Deine Backups nicht auf dem gleichen Server wie Deine Website – so bist Du sicher, auch wenn der Hacker Zugriff auf Deine Serverdaten hat.

SchĂŒtze Deine Formulare

In meinem Beispiel zeige ich Dir, wie Du im Plugin „Contact Form 7“ ganz einfach Deine Kontaktformulare mittels Google reCAPTCHA schĂŒtzen kannst. Auch bei anderen Formular-Plugins funktioniert die Einbindung auf Ă€hnliche Weise.

Bei Contact Form 7 funktioniert das ganz einfach: Unter dem MenĂŒpunkt Formulare >> Integration kann das reCAPTCHA v3 von Google direkt eingebunden werden. Der große Vorteil der v3 Version ist, dass keine klassischen Captcha Checkboxen zur BestĂ€tigung verwendet werden mĂŒssen.

reCAPTCHA bei Contact Form 7 einbinden

reCAPTCHA bei Contact Form 7 einbinden

Als Erstes musst Du unter https://www.google.com/recaptcha/admin/create ein reCAPTCHA anlegen. Dazu benötigst Du ein Google Konto. Gib unter „Label“ einen Namen ein, um Dein reCAPTCHA auch spĂ€ter wiederzuerkennen (z. B. v3 fĂŒr deinewebsite.at), dann wĂ€hlst Du unter reCAPTCHA-Typ die Version 3 aus. Bei „Domains“ gibst Du Deine Website-Domain ein (z. B. deinewebsite.at) und bestĂ€tigst mit Enter. Nun kannst Du bei Inhaber noch weitere Website-Inhaber,  wie z. B. Deinen Webentwickler hinzufĂŒgen. Du musst noch die Nutzungsbedingungen akzeptieren und kannst Dir optional Benachrichtigungen senden lassen, falls Probleme mit dem reCAPTCHA auftauchen.

Beispiel fĂŒr reCAPTCHA Integration

Beispiel fĂŒr reCAPTCHA Integration

Mit Klick auf „Senden“ werden der WebsiteschlĂŒssel und der geheime SchlĂŒssel erstellt. Diese SchlĂŒssel musst Du nur im Plugin hinterlegen und schon sind Deine Formulare geschĂŒtzt.

Verwende Safety Plugins

Der WordPress-Markt ist ĂŒberschwemmt mit kostenlosen und kostenpflichtigen Plugins fĂŒr die Sicherung Deiner Website. Empfehlenswert und ein absoluter Alleskönner ist hierbei Wordfence Security – Firewall & Malware Scan. Das Plugin hat eine integrierte Firewall und scannt Deine Seite regelmĂ€ĂŸig nach Malware. Auch eine Zwei-Faktoren-Authentifizierung fĂŒr Deinen Login ist bereits integriert.

Aus eigener Erfahrung kann ich das Plugin BBQ Firewall nicht empfehlen. Auf einigen Websites, bei denen ich das Plugin in Verwendung hatte, hat es den Google Bot sowie den Bot einiger Tools, wie
z. B. ahrefs blockiert.

Sperre die Kommentarfunktion

Solltest Du WordPress nicht als Blog verwenden, sondern einfach nur als Website, solltest Du die Kommentarfunktion sperren. Das geht ganz einfach in den WordPress-Einstellungen. Unter dem MenĂŒpunkt Einstellungen >> Diskussion – deaktivierst Du einfach den Punkt „Erlaube Besuchern, neue BeitrĂ€ge zu kommentieren“.

Sperre die Kommentarfunktion bei Seiten ohne Blogfunktion

Sperre die Kommentarfunktion bei Seiten ohne Blogfunktion

Profi-Tipps

Solltest Du einige (wenige) Programmierkenntnisse besitzen und Zugang zu den benötigten Dateien haben, habe ich noch ein paar ganz spezielle Tipps. Wichtig sind hier vor allem die functions.php Deines Child-Themes und die .htaccess-Datei Deines Servers. Solltest Du Dir nicht sicher sein, lass von diesen Dateien besser die Finger. 😊

Verstecke Deine WordPress-Version

Um Deine WordPress-Version zu verstecken, reicht ein kleiner Codesnippet. Kopiere folgenden Code in die functions.php Deines Child-Themes und schon kann niemand mehr Deine WordPress-Version sehen:

remove_action('wp_head', 'wp_generator');

Verwende HTTP-Security-Header

Wenn ein User Deine Website besucht, sendet Dein Server – einfach gesagt – eine HTTP-Header-Antwort zurĂŒck. In dieser Antwort informiert Dein Server den Browser Deines Besuchers ĂŒber Fehlercodes (wie z. B. 404-Fehlerseite oder 500-Serverfehler), Cache-Informationen und andere Status. HTTP-Security-Header sind ein Teil dieser Antwort und werden verwendet, um Websites vor Bedrohungen zu schĂŒtzen. Welche HTTP-Security-Header es gibt und wie diese im Einzelnen funktionieren, werde ich hier nicht nĂ€her erklĂ€ren – das wĂŒrde deutlich den Rahmen dieses Posts sprengen. 😉

Es gibt viele Plugins, mit welchen Du diesen HTTP-Security-Header in WordPress einbauen kannst
(z. B. HTTP-Headers). Am einfachsten funktioniert das jedoch direkt ĂŒber die .htaccess-Datei. FĂŒge einfach folgenden Code ein und Du bist auf der sicheren Seite:

<ifModule mod_headers.c>
Header set Strict-Transport-Security "max-age=31536000" env=HTTPS
Header set X-XSS-Protection "1; mode=block"
Header set X-Content-Type-Options nosniff
Header set X-Frame-Options DENY
Header set Referrer-Policy: no-referrer-when-downgrade
Header always set Content-Security-Policy "upgrade-insecure-requests"
Header set Strict-Transport-Security "max-age=31536000; includeSubDomains; preload"
Header set Permissions-Policy "accelerometer=Origin(), autoplay=(), camera=(), gyroscope=(), magnetometer=(), microphone=(), payment=(), publickey-credentials-get=(), usb=()"
</ifModule>

Damit werden die wichtigsten HTTP-Security-Header gesetzt.

Unter https://securityheaders.com/ kannst Du Deine Website scannen und checken ob der HTTP-Security-Header bei Dir richtig implementiert ist.

Verhindere SQL-Injection

Eine SQL-Injection ist eine Attacke auf Deine Datenbank. Dadurch kann es sein, dass Hacker an sensible Daten Deiner Benutzer kommen oder Deine Website manipulieren können. Im Groben funktioniert eine SQL-Injection so: Theoretisch kann jeder Besucher in Deiner Datenbank EintrĂ€ge erstellen, sei es ĂŒber die Kommentarfunktion oder ĂŒber ein Kontaktformular. Die eingegebenen Daten werden von WordPress direkt in die Datenbanktabellen ĂŒbertragen. Hacker machen sich diese Eigenschaft gern zu nutzen und versuchen, indem sie Codes und Funktionen in die Datenbank ĂŒbermitteln, so Zugriff auf Deine Datenbank zu erhalten. Klingt erschreckend einfach, nicht wahr?

Mit einer SQL-Injection können EintrÀge in Deiner Datenbank gehackt werden

Mit einer SQL-Injection können EintrÀge in Deiner Datenbank gehackt werden

Eine SQL-Injection kann man leider nie vollstĂ€ndig umgehen, jedoch schĂŒtzt Dich folgender Code in 99% der FĂ€lle. Mit dem nĂ€chsten Schritt (7G Absicherung) kann eine solche SQL-Injection verhindert werden.

Verwende 7G Absicherung

Die sogenannte 7G Absicherung ist ein leistungsstarker .htaccess-Schutz, welcher im Hintergrund eine Reihe von Server Befehlen prĂŒft und jede HTTP-Anforderung an Deine Website scannt. Viele Hoster stellen die 7G Absicherung bereits standardmĂ€ĂŸig zur VerfĂŒgung und meist ist sie schon in der .htaccess-Datei integriert.

Einige Vorteile von 7G:

  • Einfach zu implementieren (Plug & Play)
  • SQL Injection wird verhindert
  • Keine Konfiguration erforderlich
  • Umfangreicher Firewall-Schutz
  • Geringe Datenmenge (ca. 12KB)
  • Reduziert zusĂ€tzlich die Serverlast
  • 100% WordPress-kompatibel
  • Völlig kostenlos
  • Eingebautes Logging zum NachrĂŒsten

Es gibt aber auch einen Nachteil der 7G Firewall: Um sie selbst einzubauen musst Du wissen, welche Serverart verwendet wird (apache oder Nginx), da es zwei unterschiedliche Firewalls fĂŒr die jeweiligen Serverarten gibt. FĂŒr apache Server ist der Code einfach in der .htaccess zu hinterlegen. FĂŒr Nginx-Server ist zurzeit nur eine Beta-Version erhĂ€ltlich. Wenn Du einen Nginx-Server hast, solltest Du der Anleitung von Jeff Star folgen und auch ĂŒber ausgezeichnete Programmierkenntnisse verfĂŒgen.

Solltest Du das WordPress-Plugin „Jetpack“ benutzen gibt es noch einen weiteren Nachteil der 7G Firewall: Auf Grund der vielen Serveranfragen von Jetpack an Deine Website, werden die Anfragen nach einer gewissen Zeit ausgesperrt und Jetpack benachrichtigt Dich, dass Deine Website offline ist (obwohl sie das natĂŒrlich nicht ist).

13.000 Abonnenten können sich nicht irren

Du willst keine unserer BeitrÀge mehr verpassen und auf dem Laufenden bleiben? Abonniere jetzt unseren Newsletter und erhalte jeden neuen Seokratie-Beitrag per E-Mail direkt in Dein Postfach!

Hier geht es zum Anmeldeformular.

Jeff Star ist ein amerikanischer Webentwickler, der sich auf Websicherheit spezialisiert hat und ein absoluter Profi hinsichtlich WordPress ist. Er hat folgenden Code entwickelt und zur freien Verwendung auf apache Servern freigegeben (Den gesamten Code findest du hier als Download oder in unserer Beispiel .htaccess-Datei).

Sperre Deine wp-config.php und xmlrpc.php

Die Dateien wp-config.php und xmlrpc.php stellen fĂŒr Deine WordPress-Website ein erhöhtes Risiko dar. Da Hacker mit diesen Dateien direkten Zugriff auf Dein WordPress-System bekommen, sind sie natĂŒrlich ein beliebtes Ziel. Am besten ist es, diese Dateien in der .htaccess fĂŒr externen Zugriff zu sperren:

<Files wp-config.php>
order allow,deny
deny from all
</Files>

<Files xmlrpc.php>
order allow,deny
deny from all
</Files>

Fazit

Ein sicheres WordPress-System ist absolut kein Hexenwerk. FĂŒr eventuelle Hackerangriffe vorbereitet zu sein ist heutzutage ein absolutes Muss. Hier nochmal die wichtigsten Punkte fĂŒr ein sicheres WordPress-System zur Übersicht:

  • Sichere den Zugang zu Deinem Admin-Bereich
  • Erstelle regelmĂ€ĂŸig Backups, um im Fall einer Attacke eine alte Version einspielen zu können
  • Halte Dein WordPress-System und alle Erweiterung stets aktuell
  • Sperre gewisse Dateien gegen unerwĂŒnschten Zugriff

Noch ein Punkt zum Schluss: Den so oft gehörten Tipp, den Login-Pfad /wp-admin zu verschieben, halte ich persönlich fĂŒr wenig sinnvoll. FĂŒr Hacker ist es ein Leichtes, den neuen Pfad herauszufinden und Deine Seite zu attackieren.

Download .htaccess

Hier haben wir fĂŒr Dich eine Beispiel-.htaccess erstellt, die Du herunterladen kannst und auf Deinem Server gegen Deine Standard-Konfiguration austauschen kannst. Bitte beachte, dass die angebotenen .htaccess-Datei nur auf apache-Servern lĂ€uft und wir keine Garantie ĂŒbernehmen können. Bei unseren Tests hat diese Datei jedoch einwandfrei funktioniert. Sichere in jedem Fall vor dem Einspielen Deine alte .htaccess-Datei. Falls etwas nicht funktionieren sollte, kannst Du somit jederzeit zu Deiner alten Konfiguration zurĂŒckkehren.

» .htaccess-Datei jetzt downloaden

Bildnachweise: Titelbild: Chris Ryan/KOTO – Adobe Stock; Bild 1: Grafik von Seokratie.at, Bild 2: Screenshot seokratie.at, Bild 3: Screenshot Brozzme DB Prefix & Tools Addons, Bild 4 & 5: wordpress.org, Bild 6 & 7: Screenshot WordPress Seokratie.at, Bild 8: nordpass.com, Bild 9: Screenshot Limit Login Attempts Reloaded, Bild 10: Screenshot Users Login Monitor, Bild 11: Contact Form 7 Screenshot, Bild 12 & 13: Google reCaptcha, Bild 14: seokratie.at WordPress, Bild 15: SQL Injection by seokratie.at, Backups erstellen: leszekglasner – Adobe Stock

Brauchst Du Hilfe? Suchst Du eine kompetente, flexbile und zuverlÀssige Online-Marketing-Agentur? Wir freuen uns auf Deine unverbindliche Anfrage.
089 | 219 09 84 11 kontakt@seokratie.de Oder kontaktiere uns ĂŒber das Formular: Jetzt kontaktieren

Kommentiere diesen Beitrag

Deine E-Mail Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

6 Kommentare
  1. Lina 15. MĂ€rz 2022

    Wenn man die Empfehlungen hier befolgt, ist die Seite zwar sicherer, verstĂ¶ĂŸt aber inzig Punkten gegen die DSGVO 😀
    Man muss also abwĂ€gen, ob man sich eher vor Hackern oder vor AbmahnanwĂ€lten fĂŒrchtet ..

  2. Oliver 15. MĂ€rz 2022

    Danke fĂŒr den schönen Überblick
    Zu „Sichere Deine Login-Seite mit .htaccess“:
    Das wird so nicht funktionieren, da die wp-login.php als Login-Seite im Root-Verzeichnis von WordPress liegt. Und eigene Dateien unter /wp-adminW wĂŒrden beim nĂ€chsten Update von WordPress wegfallen.
    besser htaccess und htpasswd im Root-Verzeichnis von WordPress nutzen/erstellen

    AuthName „Admin Login“
    AuthType Basic
    AuthUserFile /Serverpfadzu/wordpress/.htpasswd
    require valid-user

    Und WordPress verwendet die Datei admin-ajax.php aus dem wp-admin-Ordner fĂŒr Ajax-Aufrufe. Ist der Zugriff auf diese Datei nicht zugelassen, können einige Plugins oder Funktionen nicht funktionieren.
    daher wĂŒrde ich noch ergĂ€nzen

    Order allow,deny
    Allow from all
    Satisfy any

  3. Stefan Thaler 31. MĂ€rz 2022

    Hallo Lina und danke fĂŒr Deinen Kommentar. TatsĂ€chlich sehe ich nur den Punkt „Beobachte die Logins“ problematisch: Dieser sollte aus DatenschutzgrĂŒnden nur auf Seiten implementiert werden, wo keine Userdaten von Besuchern getrackt werden. Also nur auf Websites integrieren wo sich entweder nur Du selbst oder Deine Mitarbeiter einloggen können. Dann sehe ich das absolut DSGVO-konform. Das Logging durch die 7G-Firewall ist auch nur optional implementierbar – deshalb empfehle ich es im Beitrag auch nicht explizit.

  4. Stefan Thaler 31. MĂ€rz 2022

    Hallo Oliver und danke fĂŒr deinen Kommentar. Ich habe meine Variante auf unseren lokalen Testservern getestet und kann die FunktionalitĂ€t des Codes bestĂ€tigen. Deine Version ist aber die schönere bzw. updatesichere Version, deshalb habe ich Sie im Beitrag umgeschrieben 😉 Danke auch fĂŒr den Tipp bzgl. Ajax – das ist richtig so und ich habe es ergĂ€nzt. Viele GrĂŒĂŸe

  5. Mary 25. April 2022

    Toller Leitfaden! Danke fĂŒr diese UnterstĂŒtzung

  6. Stefan Thaler 26. April 2022

    vielen Dank Mary 🙂

Werde fit in SEO!
Werde fit in SEO!
Unser kostenloser SEO-Kurs bringt Dir 5 Tage lang tĂ€glich SEO-Wissen in Dein E-Mail-Postfach und unseren Newsletter. Über 15.000 Abonnenten vertrauen uns bereits.
Abonnieren
Du kannst Dich jederzeit wieder abmelden.
close-link