WordPress ist das am weitesten verbreitete Content Management System und damit ein beliebtes Angriffsziel. Du musst nicht alle Tipps aus diesem Artikel umsetzen – mache ich auch nicht. Selbst wenn Du sie anwendest, kann ich dir nicht versprechen, dass deine Nischenseite zu 100% sicher ist. Backups sind deshalb noch viel wichtiger, als tiefgreifende Sicherheitsmaßnahmen. Auf die einfachen Sicherheitsmaßnahmen solltest Du dennoch nicht verzichten .
Einfache Sicherheitsmaßnahmen
Du kannst davon ausgehen, dass Hacker den geringsten Widerstand suchen. Sie wollen ja schließlich möglichst viele Seiten mit wenig Aufwand hacken. Die nun folgenden Tipps sind sehr einfach umzusetzen und sollten bei jeder Nischenseite angewendet werden.
Ach, noch was… oft liest man auf irgendwelchen Blogs, WordPress wäre total unsicher und das man ständig gehackt wird. Lass dich von solchen Panik-Mache-Artikeln nicht verunsichern. Beachte einige Regeln, dann läuft das! Und sollte es doch mal ein Problem geben und Euer WordPress wurde gehackt, dann wendet Euch an Experten wie z. B. Leuchter.org
WordPress, Themes und Plugins aktualisieren
WordPress wird ständig weiterentwickelt. Nicht nur, um neue Features zu integrieren, sondern auch um Lücken im System zu stopfen. Die Community ist groß und agiert weltweit. Halte deine Nischenseite immer auf dem aktuellsten Stand. Sicherheitslücken können so hoffentlich rechtzeitig geschlossen werden.
Themes und Plugins nur von sicheren Quellen
Verwende ausschließlich Themes und Plugins aus seriösen Quellen. Böse Entwickler bauen gerne eine Hintertür, Malware oder sonstigen Schadcode in vermeintlich kostenlose Themes und Plugins ein. Wenn Du die Quelle nicht kennst, mach zumindest eine Recherche über den Entwickler bei Google. Eine verlässliche Quelle ist das offizielle WordPress Theme-Verzeichnis und Plugin-Verzeichnis. Bei den namhaften Premium Theme Anbietern fühle ich mich noch am sichersten. Premium Plugins gibt es bei Codecanyon*.
Sichere Passwörter für WordPress & FTP Zugang
Verwende unter keinen Umständen kurze, einfache oder die gleichen Passwörter. Klassiker wie »Passwort« oder »123456« sind Todsünden. Ich nutze ausschließlich sehr lange kryptische Passwörter mit Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen. Merken kann ich die mir nicht mehr, aber wozu gibt es Dienste wie LastPass. Wenn Du Angst hast deine Passwörter online zu verwalten, schütze den Dienst zusätzlich über eine 2-Faktor-Autorisierung ab.
2-Faktor-Authentifizierung für WordPress
Du kannst deinen WordPress Login mit einer 2-Faktor-Authentifizierung absichern. Um dich einzuloggen, musst Du zusätzlich zu deinem Passwort einen Code eingeben, der für wenige Sekunden oder Minuten gültig ist. Diesen kannst Du über eine App auch mit deinem Smartphone erzeugen. Ich nutze dieses Plugin. Ein Angreifer müsste zusätzlich noch dein Smartphone anzapfen. Das ist unwahrscheinlich und dank dieses Umstands sehr sicher. Wenn Du mehr zu dem Thema erfahren willst, schau dir diese Slideshare Präsentation an.
WordPress Benutzer & Rechte Verwaltung
WordPress Standard Benutzername ändern: Potenzielle Angreifer werden mit Brute Force Attacken als erstes die Standard Benutzernamen probieren. Dazu zählen »admin« oder »wp_admin« etc. Du solltest einen anderen Benutzernamen wählen. Erstelle dazu unter Benutzer > Neu hinzufügen einen Benutzer mit Adminrechten. Jetzt loggst Du dich mit dem neuen Benutzer in WordPress ein. Wenn Du jetzt auf Alle Benutzer klickst, solltest Du den alten Admin löschen können. Eine Schritt für Schritt Anleitung findest Du HIER.
WordPress Benutzer Rechte Verwaltung: Für administrative Tätigkeiten nutze den Admin Benutzer. Lege einen extra Benutzer mit Redaktions oder Autorenrechten an. Diesen verwendest Du ausschließlich für das Veröffentlichen von neuen Inhalten. Nutze diesen Benutzer auch für unterwegs in fremden und womöglich unsicheren WLAN-Netzen. So können Login Diebe keinen größeren Schaden anrichten. Eine Übersicht was die einzelnen Benutzerrollen dürfen, findest Du HIER.
WordPress Anmeldeversuche absichern
Mit dem kostenlosen Plugin Limit Login Attempts schützt Du deinen WordPress Login vor nicht erlaubten Anmeldeversuchen. Im Screenshot wird ein Angreifer nach vier falschen Anmeldungen für 20 Minuten gesperrt. Nach 4 Sperrungen wird die Sperrzeit auf 24 Stunden erhöht. Die IP der Angreifer wird protokolliert und Du wirst per Mail über den Angriff informiert. Dieses Plugin schützt dich effektiv vor Brute Force Attacken.
Das Plugin wurde bedauerlicherweise seit mehreren Jahren nicht mehr aktualisiert. Strenggenommen ist sowas nicht gut, es funktioniert aber ohne Probleme zu machen. Kennt jemand ein Plugin, dass die gleiche Funktion mitbringt, schlank und aktuell ist?
Alternativen zu Limit Login Attempts
- WP Limit Login Attempts
- Jetpack – Protect
- Login Ninja*
WordPress Malware Scanner
Das Plugin Antivirus prüft manuell oder täglich automatisch dein Theme auf eine Malware Infizierung. Das Plugin schaut zusätzlich in der Google Safe Browsing Datenbank nach, ob deine Seite als unsicher eingestuft wurde. Im Verdachtsfall wirst Du per E-Mail darüber benachrichtigt.
Google Search Console nutzen
Wenn Du deine Nischenseite mit der Google Search Console (früher Google Webmaster Tools) verknüpfst, wirst Du automatisch benachrichtigt, wenn Sicherheitsprobleme auf deiner Seite festgestellt wurden.
Kommentar Spam verhindern
Wenn Du auf deiner Nischenseite Kommentare erlaubst, ist ein Plugin gegen Spam Pflicht. Sobald deine Seite an Sichtbarkeit gewinnt, versuchen irgendwelche Spammer deine Kommentarbereiche automatisiert zu fluten. Ich verwende auf allen meinen Seiten das kostenlose Plugin Antispam Bee. Die Einstellungen sind leicht verständlich erklärt. Das Plugin schützt mich locker zu 99,9 % vor Spam. Es kommt nur ganz selten vor, dass ein Kommentar überhaupt zur Freischaltung bei mir im Dashboard auftaucht.
Alternative zu Antispam Bee
- Anti-spam Pro*
Noch prominenter ist das Plugin Akismet. Macht im Prinzip das gleiche wie Antispam Bee. Ist aber meines Wissens nach nicht konform mit dem strengen deutschen Datenschutz. Verzichte bitte komplett auf Captchas in den Kommentaren, an denen Roboter und Menschen scheitern. Diese Hürde senkt die Zahl der Kommentatoren deutlich. Und wir wollen ja schließlich einen Austausch mit unserer Zielgruppe.
Referrer Spam aus Google Analytics entfernen
Referrer Spam ist zwar nicht schädlich für deine Nischenseite, allerdings verfälschen die Referrer deine Statistik in Google Analytics. Falls Du noch nie von dieser Spam-Methode gehört hast, kannst Du HIER lesen, was das ist. Ich habe bereits mehrere Möglichkeiten getestet um diesen Spam zu entfernen. Am wirksamsten ist es in Google Analytics mit Filtern den Spam auszublenden. HIER findest Du meine Schritt für Schritt Anleitung. Ich aktualisiere einmal pro Woche die Filter, wenn ich auf neue Spam Quellen stoße.
Erstelle regelmäßig BackUps
Dieser Punkt ist noch unerlässlicher als alle anderen Sicherheitsmaßnahmen. Erstelle von jeder Nischenseite lückenlos in gleichmäßigen Abständen ein Backup von deiner WordPress Installation und deiner Datenbank. Wenn Du einem Angriff zum Opfer gefallen bist oder Du selbst dein System abgeschossen hast, rettet dir so ein Backup den A****. Wie oft Du eine Sicherung erstellst, hängt davon ab, wie oft Du neue Artikel veröffentlichst. Wenn Du auf deiner fertigen Nischenseite nur ein mal im Monat etwas veröffentlichst, brauchst Du nicht täglich ein Backup zu erstellen. Ich würde dir aber empfehlen einmal in der Woche alles zu sichern. Ich nutze seit Jahren das Plugin BackWPup. In der kostenlosen Version kannst Du dein Backup direkt in die Dropbox speichern oder auf deine Festplatte speichern. In der Pro Version* sind weitere Funktionen und Cloudspeicher verfügbar.
Alternativen zu BackWPup
- UpdraftPlus & UpdraftPlus Premium*
- WordPress Backup & Clone Master*
- BlogVault*
- BackUpWordPress
Fortgeschrittene Sicherheitsmaßnahmen
Mit den folgenden Tipps machst Du es potenziellen wahrhaft schwer. Jede Maßnahme wird deine Sicherheit deutlich steigern. Die Anpassungen sind nicht für jeden Einsteiger geeignet. Du solltest wissen, was Du machst. Sonst kann es sein, dass deine Nischenseite nicht korrekt funktioniert oder gar nicht mehr erreichbar ist.
Mit der .htaccess Datei schützen
Wenn dein Hoster htaccess Dateien unterstützt, kannst Du deine Nischenseite über mehrere Wege schützen. In Verbindung mit der Datei .htpasswd, legst Du einen zusätzlichen Login Bereich über den WordPress Login. Hacker müssen erst an dieser Hürde vorbeikommen. Vorher haben sie keine Möglichkeit sich an deinem WordPress Login zu versuchen. Du verdoppelst deine Sicherheit. Die Anpassung ist nicht schwer und in Minuten erledigt. HIER findest Du eine leicht verständliche Anleitung.
Wenn Du die WordPress Login URL ändern willst, schau HIER vorbei. Die Standard URL deiner WordPress Seite ist www.deine-nischenseite.de/wp-admin/. Wenn Du die URL änderst, laufen automatische Angriffe ins Nichts.
Zusätzlich können über die .htaccess Datei weitere Sicherheitsmaßnahmen aktiviert werden.
- Zugriff auf wichtige Ordner und Dateien von außen verbieten.
- Bild Hotlinking verbieten.
- XML-RPC Schnittstelle vor DDOS Angriffen schützen.
- PHP Fehlermeldungen unterdrücken, um dem Angreifer keine Infos anzuzeigen.
Die einzelnen Code Blöcke für die .htaccess Datei findest Du HIER.
Hosting: Schreib- und Leserechte richtig setzten
Im besten Fall sollten so wenig Dateien wie möglich keine Schreibrechte besitzen. Versehe all kritischen Dateien mit den Rechten »644«. Um die Funktionalität von WordPress zu wahren, gibt es ein paar Ausnahmen. Um Medien hochzuladen, benötigt /wp-content/uploads/ Schreibrechte. Gleiches gilt für /wp-content/cache/ solltest Du ein Caching-Plugin verwenden. Ansonsten sei bitte sparsam mit der Vergabe von Schreibrechten. Wenn ein Plugin oder ein Theme zu viele Rechte einfordert, um zu funktionieren, solltest Du nach einer alternative Suchen. Eine leicht verständliche und teilweise bebilderte Anleitung findest Du HIER.
Datenbankzugriffe beschränken
Ich nutze für die Funkklingel Nischenseite den Hoster All Inkl* für meine Nischenseiten. Im KAS gibt es dort die Möglichkeit den Zugriff zur Datenbank nur für den Localhost zu genehmigen. Alle anderen Zugriffe von außen werden geblockt.
Datenbank-Präfix nachträglich ändern
Bei vielen WordPress Datenbanken ist das Standard Datenbank-Präfix nach der Installation wp_. Wie bei anderen Sicherheitsmaßnahmen erhöhst Du die Sicherheit deiner Nischenseite, wenn Du vom Standard abweichst. Die Änderung kann entweder über die phpMyAdmin Oberfläche oder über das Plugin Change Database Prefix vorgenommen werden. Eine Anleitung für die Änderung über phpMyAdmin gibt es HIER. Ich nutze das Plugin. Um die Anpassung vorzunehmen, muss die wp-config.php kurz mit Schreibrechten ausgestattet werden. Nach der Änderung müssen diese wieder zurückgenommen werden. Das Plugin kannst Du im Anschluss daran deinstallieren.
Hallo Johannes! Ich hab die Nischenpresse.de gerade erst entdeckt (den Namen mag ich, das Logo auch) und bin dann gleich an diesem umfangreichen Artikel hängen geblieben. Ich bin ziemlich begeistert. Das ist eine hervorragend recherchierte Übersicht und gleichzeitig so praxistauglich, dass ich am liebsten direkt an die Umsetzung der diversen Tipps gehen würde. Danke dafür – und außerdem einen guten Rutsch. Nächstes Jahr schaue ich auf jeden Fall wieder bei dir rein.
Hallo Cornelia, danke für deinen Kommentar. Das motiviert hier weiter zu schreiben. Dir auch einen guten Rutsch und viel Erfolg.
Danke für die Tipps! Haben sehr gut geholfen. Viel Neues gelernt.