WordPress absichern: 7 Tipps
WordPress erfreut sich zunehmend mehr Beliebtheit und ist bereits jetzt das am meisten verwendete Content-Management-System. Der Grund hierfür ist einfach: Es ist leicht einzurichten, einfach zu bedienen und verfügt über eine Fülle von komfortabel zu installierenden Plugins.
Für Enterprise-Anwendungen ist dieses System aus unserer Sicht nur bedingt geeignet. Jedoch kann es sinnvoll sein, ein solches CMS mit individueller erstellter Anwendungssoftware zu verknüpfen und somit ein gesteigertes Benutzererlebnis zu erschaffen.
Die Beliebtheit und Einfachheit von WordPress ist aber auch sein großes Manko. Häufig eingesetzte Software stellt stets ein beliebtes Angriffsziel dar. Somit sollte immer auf ein hohes Maß an Sicherheit geachtet werden.
In diesem Artikel geben wir sieben Tipps, wie Sie Ihr WordPress-System mit geringem Aufwand absichern und somit die Verwundbarkeit Ihres Webauftritts deutlich reduzieren.
Zuerst: Weshalb sollte ich meine WordPress-Installation absichern und wogegen?
Hacker haben es auf Schwachstellen in Ihrem System abgesehen. Gelingt es einem Angreifer, in Ihr System einzubrechen, kann er nicht nur an persönliche Daten gelangen, er kann auch das System nutzen, um damit gezielte Angriffe auf andere Systeme durchzuführen.
Tipp #1: Software aktuell halten
Eigentlich ist dieser Hinweis so selbstverständlich, dass er keiner Erwähnung bedürfen sollte. Jedoch zeigt sich immer wieder, dass auch Unternehmen ihre WordPress-Installation manchmal über Jahre hinweg nicht aktualisieren. Das erste Einfallstor ist veraltete Software.
Halten Sie Ihre WordPress-Installation und die verwendeten Plugins immer auf dem neuesten Stand.
Tipp #2: Installieren Sie nur vertrauenswürdige Plugins
Plugins erlauben das schnelle und unkomplizierte Hinzufügen neuer Funktionen. Bedenken Sie aber: Je mehr Plugins Sie verwenden, desto mehr Spielraum geben Sie Angreifern, möglicherweise unentdeckte Schwachstellen zu nutzen.
Lassen Sie eigene WordPress-Plugin-Entwicklungen nur von erfahrenen und professionellen WordPress Entwicklern durchführen. Halten Sie die Anzahl installierter Plugins gering und installieren Sie solche nur von vertrauenswürdigen Entwicklern.
Tipp #3: Nutzen Sie eine Web-Application-Firewall
Sofern Sie Ihren eigenen Server administrieren, stellen Sie sicher, dass eine Web-Application-Firewall auf dem Server eingesetzt wird. Damit können Sie das Risiko für bestimmte Angriffstypen wie Brute-Force-Attacken reduzieren. Sie können diese Aufgabe auch durch ein Plugin wie Wordfence erledigen lassen: https://de.wordpress.org/plugins/wordfence/
Tipp #4: Starke Kennwörter und 2-Faktor-Authentifizierung
Orientieren Sie sich an den Empfehlungen des BSI für die Erzeugung starker Kennwörter:
Sichere Passwörter sollten mindestens 10 Zeichen lang sein, aus Groß- und Kleinbuchstaben und Sonderzeichen bestehen und in keinem Wörterbuch oder Lexikon zu finden sein oder mit Ihnen in Verbindung stehen.
Verwenden Sie jedes Kennwort nur einmal.
Empfehlenswert ist auch die Nutzung der 2-Faktor-Authentifizierung für den Login. Die Anmeldung erfordert dann die Nutzung eines weiteren Gerätes.
Tipp #5: Absichern des wp-admin Verzeichnisses
Sie können das größte Einfallstor für Angriffe serverseitig absperren. Mit einer sogenannten .htaccess-Passwortsperre ermöglichen Sie den Zugriff auf Ihre Admin-Oberfläche nur mit einem gesonderten Passwort. Somit laufen unzählige automatisierte Angriffsversuche komplett ins Leere. Einen einfachen Passwortgenerator finden Sie hier: https://www.redim.de/blog/passwortschutz-mit-htaccess-einrichten
Die Dateien .htaccess und .htpasswd laden Sie in Ihr „wp-admin“ Verzeichnis.
Tipp #6: Sperren Sie das Durchsuchen von Verzeichnissen
Einige Webhoster erlauben das sogenannte DirectoryListing. Dies erlaubt es einem Besucher, im Browser beispielsweise über die URL https://www.foor.bar/wp-content/uploads/ Einblick in den gesamten Inhalt dieser Verzeichnisse zu nehmen. Damit geben Sie nicht nur Inhalte preis, die Sie gar nicht publizieren wollten, Sie ermöglichen vielleicht auch den Zugriff auf sensible Skripte.
Wenden Sie sich in diesem Fall an Ihren Serveradministrator. Sollten Sie keine Möglichkeit zur Serververwaltung haben, können Sie durch den Eintrag „Options -Indexes“ in der .htaccess Datei das Directory Listing direkt deaktivieren.
Tipp #7: Deaktivieren der XML-RPC Schnittstelle
Diese Schnittstelle ist bei neueren WordPress-Installationen standardmäßig aktiv und dient dem Austausch mit anderen Systemen. Wird diese Schnittstelle nicht benötigt, kann diese mit einem Plugin wie beispielsweise „Disable XML-RPC“ leicht abgeschaltet werden: https://wordpress.org/plugins/disable-xml-rpc/
Vergessen Sie nicht, regelmäßig Sicherungen Ihrer kompletten WordPress-Installation durchzuführen. Wurde Ihr System einmal gehackt, ist dies oft der einzige Weg, Ihr System ohne komplette Neuinstallation wiederherzustellen.
Ist Ihre WordPress-Installation jetzt sicher?
Es gibt keine absolute Sicherheit. Es gibt eine Vielzahl weiterer Maßnahmen, um den Sicherheitsgrad zu erhöhen. Jedoch haben Sie mit der Umsetzung oben genannter Tipps einen großen Schritt in Richtung Systemabsicherung getan. Besonders Unternehmen, die WordPress einsetzen und es möglicherweise auch noch mit komplexer Software im Enterprise-Modell nutzen, sollten sich weiter mit diesem Thema beschäftigen. Gerne unterstützen wir Sie dabei und erarbeiten mit Ihnen ein Sicherheitskonzept, das auch den Ansprüchen einer immer größer werdenden Bedrohungslage gerecht wird.
