WordPress sicher machen – Wir zeigen Dir wie es geht!

Wer in Deinem Webshop einkauft, vertraut darauf, dass Du seine Kreditkartennummer oder die Verbindung zu seinem PayPal-Login für sich behalten. Diese Daten musst Du lückenlos absichern.

Namen, Adressen, Telefonnummern, Email Adressen, Bestellhistorien, schriftliche Korrespondenz und eine lange Reihe weiterer persönlicher Informationen schlummert in so manchem WP-Setup. Deine Kunden und die Datenschutzverordnung (DSGVO) verlangen wasserdichte Sicherheitsvorkehrungen für den Umgang und die Speicherung dieser Informationen.

Du machst Dir ständig Gedanken, teilst Wissen, visualisierst Fertigkeiten und hast das Urheberrecht des Contents, den WordPress veröffentlicht. Diese Texte, Bilder, Grafiken und Videos sind Dein Eigentum und Du allein solltest entscheiden, wie es verwendet werden soll.

Die Geschichte Deines Unternehmens, Deine Werte und Mission, die Visual Identity, die ein einheitliches Bild von Deinem Unternehmen zeigt – das alles wird in besonderem Maße in WordPress gespeichert und gezeigt. Vermutlich hast Du dem CMS eigens für Dein Geschäft designte Logos und aufgenommene Fotos als Datei zur Veröffentlichung verfügbar gemacht. Diese Inhalte gehören Dir und Du entscheidest, wo sie wie gezeigt und genutzt werden.

Du hast alles richtig gemacht. Deine Seite hat eine riesige Reichweite und überaus zufrieden stellenden Website Traffic. Google rankt Dich ganz oben, Interessenten und potenzielle Kunden finden Dich. Diese hervorragende Exponierung finden auch Hacker interessant. Denn die große Reichweite wollen manche Angreifer im Web als Plattform für eigene Werbung nutzen. Gern knacken Bots Deinen Nutzernamen und Dein Passwort und fügen entsprechendes php-Script ein. Ohne es zu ahnen, veröffentlichst Du plötzlich Online Banner oder auch Newsletter an die Benutzer Deiner Seite.

Lässt sich solch ein Eingriff denn nicht zum Verursacher zurückverfolgen? Unter welchem Nutzernamen das Script auf Deiner WP-Site hinterlassen wurde, weiß Deine wp-config-Datei. Welchem Shop oder welchem Brand die illegal gepflanzte Werbung nutzt, ist offensichtlich. Dies lässt jedoch keine Rückschlüsse auf den Bösewicht zu. Ein Hacker kann im Prinzip jede Internetadresse unter Deiner verlinken, ohne dass der Besitzer der Seite ihn darum gebeten oder die Erlaubnis dazu gegeben hat. Häufig führen falsche “Werbebanner” auch zu Seiten, die entweder Malware auf dem Gerät des Nutzers installieren oder ihn zu Zahlungen verlocken wollen.

Viele Betreiber von Homepages vertrauen deinem CMS eine Menge Informationen an. Das CMS verlangt ja auch danach: Newsletter können nur mit entsprechenden Email Adressen und den dazugehörigen Namen verschickt werden. Zum Segmentieren werden auch Alter, Wohnort, Familienstand und vieles mehr benötigt. Dein Webshop bietet einen besonders guten Service, wenn auch die früher getätigten Bestellungen hier gespeichert werden. Und damit der Kunde nicht bei jedem neuen Kauf wieder alles von vorne eingeben muss, speichert WordPress für ihn Lieferadressen und –Präferenzen.
All das sind nützliche Daten für Cybercriminals. Sie lassen sich auf dem schwarzen Markt zu Geld umwandeln. Hacker werden Deine Personendatenschutzverordnung entspannt ignorieren und die Daten Deiner Kunden verkaufen. Zugriff auf zahlungskräftige Kunden ist auf dem weltweiten Markt sehr wertvoll. Was an Daten in Deinem Content-Management-System gespeichert ist, kann für Hacker ein begehrtes Ziel sein. Damit setzt Du nicht nur Deine eigene WordPress-Website der Angriffsgefahr aus, sondern auch Deiner Kunden, Lieferanten und Geschäftspartner – alle die, deren Daten Du im CMS verwendest.

Verfügt Deine WP-Seite über ein Zahlungsmodul? Viele Nutzer verwenden Webshop Plugins für simple Bestellvorgänge. Nicht selten ist das CMS aber auch mit komplexeren, dann mit ERP oder internen Bestellsystemen integrierten Webshops ausgestattet. Damit lässt sich Online Handel einfach ausführen. WordPress stellt Features zur Verfügung, mit der Du auf einer Plattform einfach die Veröffentlichung von Blogartikeln, die Präsentation Deines Unternehmens und den Verkauf von Waren oder Dienstleistungen verbinden können. Das ist ein gewaltiger Vorteil. Es bedeutet aber auch, dass WordPress nun ein wichtiger Teil des Zahlungsprozesses Deiner Kunden wird. Denn hier werden Kreditkartennummern, Bankverbindungen und Anmeldeinformationen zu Bezahl-Services eingegeben. Das macht besonders das Bezahl-Modul zu einem Ziel für Angriffe. Sicherheitslücken an dieser Stelle sind fatal.
Aus diesem Grund sind auch die Sicherheitsvorkehrungen hier besonders hoch. Doch 100-prozentig sicher ist auch dieser Teil der WP-Welt nicht. Sollten Zahlungsdaten Deiner Kunden auf diesem Wege in die falschen Hände gelangen, musst Du höchstwahrscheinlich für Deine Sicherheitslücke geradestehen, auch wenn Cybercriminals die Übeltäter waren.

Ein Bot hat Phishing-Mails an Deine Nutzer versendet. Abgesehen davon, dass einige Deiner Kunden möglicherweise in eine böse Falle getappt sind, lässt das Kunden auch an Deiner Glaubwürdigkeit zweifeln. Wenn Hacker in der Lage sind, in Deinem Namen falsche Emails zu verschicken, welche Sicherheitslücken gibt es dann noch?

Andere Angriffe hinterlassen Malware in Deinem WP Back End. Vielleicht musst Du Deine Website offline stellen und kannst bis zur Lösung des Problems weder verkaufen noch Deinen Kunden und Geschäftspartnern zur Verfügung stehen. Dein Unternehmen kann auf diese Weise das Vertrauen etlicher Kunden verlieren. Auch Google hat ein Wörtchen mitzureden: Sollte die Suchmaschine Deiner WordPress-Seite als zu unsicher einstufen, verlierst Du Rankingpositionen. Du kannst noch so grandiose SEO Arbeit geleistet haben – Sicherheitslücken kosten Dich in kurzer Zeit mehr Punkte als hervorragender Content und OnPage Optimierung. Deinen Ruf wieder aufzubauen, das Sicherheitsrisiko zu beheben sowie neuen vorzubeugen, bringen hohe Kosten mit sich.

Dieser erste Tipp zum Absichern beim Login ist Dir sicher nicht neu, aber er ist genauso effektiv wie in allen anderen Zusammenhängen: Erstelle sichere Passwörter. Hacker probieren Passwörter nicht manuell eines nach dem anderen aus. Sie gehen maschinell ganze Wörterbücher in Sekundenschnelle durch. Je kürzer und unkomplizierter Dein Passwort ist, umso höher ist die Wahrscheinlichkeit, dass diese geknackt werden. Die Bedingungen für ein sicheres Passwort sind:

Wie Du Dir Dein sicheres Passwort nicht merken kannst? Bau Dir eine Eselsbrücke! Kombiniere das Geburtsjahr mit dem zweiten Vornamen und den Konsonanten aus dem Lieblingsgericht Deiner Oma – herrlich gespickt mit Fragezeichen, Semikola und Währungssymbolen. Oder spiele mit der Postleitzahl Deines Lieblingsurlaubsortes – rückwärts natürlich – und dem mit Sonderzeichen verzierten Namen Deines Stammlokals.

Du hast mit einem php-Plugin wie Force Strong Passwords sogar die Möglichkeit, alle oder einige Deiner Nutzer zu starken Passwörtern zu zwingen, die die oben genannten Voraussetzungen erfüllen. Dieses Plugin lässt nur Passwörter zu, die den Sicherheitsbedingungen entsprechen und damit Dein WordPress bestmöglich schützen. Damit schließt Du eine der normalerweise größten Sicherheitslücken im CMS.

Und Du kannst sogar noch einen draufsetzen und Deinen Login mit CAPTCHA absichern. Die Abkürzung steht für „Completely Automated Public Turing Test to Tell Computers and Humans Apart “. Du bist diesem Roboter-Test sicher schon oft über den Weg gelaufen. Er dient Deiner und der Sicherheit Deiner Nutzer. Der Gedanke hinter CATCHA ist: Nur Menschen können die angezeigte, verformte Zeichenfolge entziffern. Auf diese Weise kannst Du absichern, dass der Login-Versuch von einem Menschen stammt. Entsprechende WP Plugins sind unter anderem Really Simple Captcha und Google Captcha.

Zum Wohle der Benutzerfreundlichkeit ist es sinnvoll, von Menschen lesbare Benutzernamen zu erstellen. Max Müller sollte seine Person in seinem Benutzernamen wiedererkennen können. Das gelingt mit MaxMueller ebenso wie MM1 oder MueMax. Das wichtigste bei der Wahl der Benutzer ist es, generische Namen wie „admin1“, „marketing“ oder „kontakt“ zu vermeiden. Diese sind nämlich für Eindringlinge leicht zu ermitteln. Das Gleiche gilt für Nutzernamen, die der Email Adresse entsprechen. Denn Mail-Adressen wie Max.Mueller@firma.de sind in der Regel einheitlich aufgebaut und häufig auf der Seite veröffentlicht. Denke auch an die Nutzernamen Deiner externen Mitarbeiter. Dass sich Deine drei Freiberufler das Login „freelancer“ teilen, ist ein absolutes No-Go.

Überlege Dir in diesem Zusammenhang auch, wer unbedingt einen Zugang zum CMS braucht. Natürlich ist es sinnvoll, dass alle relevanten Kollegen am CMS mitarbeiten können. Aber ein nur selten auf das CMS zugreifender Textlieferanten braucht nicht unbedingt ein Login. Der Sicherheit wäre besser damit gedient, dessen Texte von einem Stammmitarbeiter einpflegen zu lassen. Als Faustregel gilt: Je weniger Nutzer eingerichtet sind und je individueller deren Nutzernamen, umso besser schützt Du den WP-Zugang.

Die automatische Einstellung von WordPress für die URL des Admin-Bereiches ist „wp-admin“ oder „wp-login.php“. Das lässt sich auch von Externen leicht herausfinden. Zum Glück sieht WordPress vor, dass Du diese URL ändern kannst. Du kannst dazu das iThemes Security Plugin (https://wordpress.org/plugins/better-wp-security/) oder das Plugin mit dem Namen Rename WP-Login (https://wordpress.org/plugins/rename-wp-login/) nutzen. Es erlaubt Dir, Dein Login mit kleinen oder größeren Änderungen anzupassen. Wähle statt der Standard-Version einen Ausdruck wie „my_login.php“ oder „green-wp-login.php“. Damit kannst Du zuverlässig verhindern, dass Brute-Force-Angriffe die Login-Domain schnell erraten.

Wenn Du mehreren Autoren Zugriff auf Deinem Login-Bereich geben, ist das Risiko, Opfer eines Hacker-Angriffes zu werden, größer als wenn nur ein Nutzer zugreifen kann. Aus diesem Grund solltest Du den URL Aufbau Deines Login-Bereiches nur an vertrauenswürdige Empfänger senden und sicher sein, dass diese nicht weitergegeben oder gar veröffentlicht wird.

Wenn Du immer von bestimmten Arbeitsplätzen in das CMS einloggen, dann kannst Du die Beschränkung des Zugriffs auf bestimmte IP-Adressen eine große Hilfe sein. Mithilfe einer .htaccess-Datei kannst Du genau festlegen, welche Adressen welcher Endgeräte auf den Admin-Bereich Deines WordPress zugreifen dürfen. Du kannst dazu einen der diversen Htaccess-Editoren auf https://wordpress.org verwenden.

Du kannst hier mehrere unterschiedliche Adressen eingeben und diese natürlich auch ändern. Das heißt, Du kannst für jeden Mitarbeiter sowohl die IP-Adresse für den Büroarbeitsplatz, das Home Office und das Mobilgerät einstellen. Das grenzt den Zugriff von außen maßgeblich ein. Wenn Du sehr flexible Zugriffe von ständig wechselnden Geräten oder Mitarbeitern hast, kann diese Methode jedoch umständlich zu handhaben sein.

Die Standardeinstellung des CMS erlaubt eine unbeschränkte Anzahl von Login-Versuchen. Dies zu limiteren, ermöglicht Dir, das systematische Raten von Benutzernamen und Passwörtern weitgehend zu unterbinden. Mit dem Limit Login Attempts Plugin (https://wordpress.org/plugins/limit-login-attempts/) kannst Du festlegen, wie viele Login-Versuche in einem angegebenen Zeitraum erlaubt sind. Damit kannst Du die Möglichkeiten für Brute-Force-Angriffe stark verringern.

Überschreitet eine IP Adresse oder ein Benutzername die von Deiner vorgegebene Anzahl der Login-Versuche in einem bestimmten Zeitraum, dann wird Dir das CMS automatisch benachrichtigen. Du kannst dabei wählen, ob Du den Vorfall nur im Aussperrungsprotokoll angezeigt bekommen, eine E-Mail nach einer gewissen Anzahl Aussperrungen erhalten wollen oder beides. Diese Optionen kannst Du selbst im Limit Login Attempts Plugin einstellen.

Dein WP-Admin Verzeichnis (oder Directory) enthält alle Dateien, mit denen Du als Admin die Kernfunktionen im CMS ausführen kannst. Deshalb ist es sinnvoll, diesen Bereich noch einmal separat mit einem Passwort zu schützen. Erstelle hierfür unbedingt ein sicheres Passwort. Das heißt, dass ein bereits im Admin-Bereich eingeloggter Nutzer sich noch einmal anmelden muss, um in das WP-Admin Directory zu gelangen. Das lässt sich mit einem Plugin wie AskApache Password Protect (https://wordpress.org/plugins/askapache-password-protect/) relativ einfach bewerkstelligen. Als fortgeschrittener Nutzer kannst Du auch die htpasswd-Datei in Deiner WordPress-Anwendung selbst editieren.

Dieser Passwortschutz stellt einen zusätzlichen Sicherheitsschritt dar. Solch eine Vorgehensweise erhöht die Sicherheit für Deine wichtigsten Features markant. Im Admin-Bereich befinden sich natürlich auch Funktionen, auf die ein Admin häufig zugreifen muss. Diese sollten freigegeben sein, um den Arbeitsfluss nicht ständig unterbrechen zu müssen, während der besonders sicherheitskritische Bereich geschützt ist.

Für alle Homepages – und besonders für WordPress – ist ein Update auf HTTPS zu empfehlen. Der sichere Nachfolger von HTTP sorgt für einen undurchdringlichen Link zwischen Browser und Webserver. Das bedeutet, dass Daten bei Deinem Austausch nicht von einem sogenannten Lauscher abgefangen werden können – eine bedeutende Sicherheitslücke im Internet. Dabei bedarf es keines speziellen WP Plugins. Du erreichst die Umstellung auf HTTPS mit einem SSL Zertifikat. Erwirb die gewünschte Zertifikats Datei für Deine Domain und verknüpfen sie im Browser mit ihr.

HTTPS verbessert nicht nur die Sicherheit Deiner Seite, sondern auch Dein Google Ranking. Die Suchmaschine stuft Webseiten als sicherer ein, die HTTPS nutzen und damit auch die Benutzer schützen. Darüber hinaus fällt auch die Warnung weg, die verschiedene Browser Deiner Nutzern geben, wenn sie auf eine unsichere HTTP-Seite zugreifen wollen. Aus diesem Grund dürfte sich der Traffic auf Deiner HTTPS-Seite nach dem Update deutlich erhöhen.

Sollte ein Hacker dennoch eine Sicherheitslücke finden, dann musst Du dies so schnell wie möglich erfahren. Dabei helfen Dir Plugins wie Acunetix WP Security (https://wordpress.org/plugins/wp-security-scan/) oder Wordfence Security (https://wordpress.org/plugins/wordfence/). Wordfence überwacht als eines der bedeutendsten WP Sicherheits Plugins live Deine Dateien, scannt die gesamte Umgebung nach Angriffen und verfügt über sofortige Abwehrmechanismen. Das Plugin meldet Dir Änderungen sofort, damit Du reagieren und den Schaden begrenzen kannst.

Die genannten Sicherheitsmaßnahmen reduzieren die Wahrscheinlichkeit für einen Angriff deutlich. Solltest Du trotzdem Opfer einer Attacke werden, dann gilt es schnellstmöglich wieder betriebsbereit zu sein. Die erste Reaktion auf einen erkannten Angriff ist normalerweise, Deine WordPress Website vorübergehend vom Netz zu nehmen. Das begrenzt den Schaden für Dein Unternehmen und Deine Benutzer. Es kann jedoch Deinen Ruf und Dein Geschäft beeinträchtigen, tage- oder wochenlang offline zu sein. Deshalb solltest Du natürlich umgehend daran arbeiten, die Schäden zu beseitigen und weitere Hacks zu vermeiden.

Du brauchst aber auch ein aktuelles Backup Deiner Einstellungen und Deines Contents, damit Du schnell wieder online gehen kannst. Ein WordPress Backup enthält die Inhalte vor dem Eingriff und damit sichere Contents. Damit musst Du nicht wieder von vorne beginnen, sondern können auf die letzte sichere und funktionsfähige Version aus Deinem Backup zurückgreifen. Auch hier können verschiedene WordPress Plugins nützlich sein. Beispiele für gute Backup-Plugins sind: Vaultpress (https://wordpress.org/plugins/vaultpress/), Updraft Plus (https://wordpress.org/plugins/updraftplus/) oder blogVault (https://wordpress.org/plugins/blogvault-real-time-backup/).

Automatisiere am besten den Backup-Prozess für Deine Seite, damit er nicht an manuellen Tätigkeiten scheitert. Die genannten Plugins helfen Dir beim Backup und auch bei der eventuellen Wiederherstellung Deine Seite nach einem Angriff.

Nimm Updates Deiner WordPress-Installation und den Plugins immer ernst. Veraltete WordPress-Installationen oder Plugins lassen leichter Angreifer durch als die jeweils aktuelle. Das CMS und viele seiner Plugins helfen dabei, indem automatische, regelmäßige Updates schon voreingestellt sind. Stelle sicher, dass Du die aktuellste Version nutzt und Deine Produkte alle über das letzte Update verfügen. Auf der offiziellen WP-Seite kannst Du dich darüber informieren. Im Juni 2019 wurde die derzeit neue Version 5.2.2 der WordPress-Installation freigegeben.

Es gibt einige Security Plugins für WordPress. Damit Du den Überblick nicht verlierst, stellen wir Dir die aus unserer Perspektive wichtigsten fünf vor, um Dich vor Hackern zu schützen:

Dass WordPress ein so gut bedienbares und populäres CMS ist, macht es leider zeitgleich zu einem häufigen Angriffsziel von Hackern. Die größten Schwachstellen finden sich dort, wo potenzielle Angreifer meistens erfolgreich ansetzen können:

Wenn Deine Website einem Hacker zum Opfer gefallen ist, musst Du schnell handeln Denn je eher Du den Hack und dessen Nachwirkungen bereinigst, desto weniger schwerwiegendes Chaos wird angerichtet. Diese Anzeichen sollten Dich alarmieren: