WordPress ist das weltweit am häufigsten benutzte CMS. Derzeitig basieren ca. 25% aller Webseiten auf WordPress. Allerdings ist es auf Grund seiner Popularität auch sehr beliebt bei Hackern. Deshalb empfehlen wir Ihnen, die Sicherheit Ihrer WordPress Webseite zu verbessern, um das Risiko, gehackt zu werden, zu minimieren.
- Immer aktualisieren
- Entfernen Sie nicht verwendete Plugins und Themes
- Schützen Sie Ihren wp-admin Ordner mit einem Passwort
- Erstellen Sie einen benutzerdefinierten Admin-Benutzernamen
- Deaktivieren Sie das Ausführen von PHP-Code in Ihrem Uploadverzeichnis
Immer aktualisieren
Ein Teil der Updates für WordPress sind Sicherheitslösungen, die ansonsten von Hackern ausgenutzt werden könnten. Es ist also sehr wichtig, es so schnell wie möglich zu aktualisieren. Sie können es direkt in Ihrer WordPress Administration aktualisieren. Falls Sie darauf keinen Zugriff haben, können Sie es auch manuell aktualisieren.
Außerdem ist es wichtig, dass Sie nach Updates für all Ihre installierten Plugins und Themes suchen. Entfernen Sie alle Plugins und Themes, die Sie nicht nutzen, Sie können diese später wieder installieren.
Tipp: Falls Ihnen der Aufwand zu groß ist, alles manuell zu aktualisieren, können das sog. Easy Updates Manager Plugin installieren, welches all Ihre WordPress Updates für Sie verwaltet.
Entfernen Sie nicht verwendete Plugins und Themes
Jedes Plugin und Theme, das Sie verwenden, kann ein potenzielles Sicherheitsrisiko darstellen. Je weniger Sie also davon haben, desto besser.
Wir raten Ihnen, alle nicht verwendeten Themes, mit Ausnahme der Standard-Themes (2017, 2018, etc.) zu löschen. Das gleiche gilt für nicht benötigte Plugins.
Stellen Sie sicher, dass Sie alle alten WordPress Installationen, die Sie eventuell auf Ihrem Webspace haben, vielleicht zum Testen oder als Backup, entfernen. Diese sind anfällig für Hacks.
Tipp: Installieren Sie Plugins und Themes nur von vertrauenswürdigen Quellen. Wenn Sie eine kostenlose Version eines Themes finden, für das Sie normalerweise zahlen müssen, kommt dieses häufig auch mit „kostenloser“ Malware.
Schützen Sie Ihren wp-admin Ordner mit einem Passwort
Eine weitere Alternative, um Hacker abzuwehren, ist Ihren wp-admin Ordner mit einem Passwort zu schützen. So fügen Sie Ihrer WordPress Administration eine weitere Sicherheitsstufe hinzu.
Schauen Sie gerne in unserer Anleitung, wie Sie Ihre Webseite mit einer .htaccess Datei schützen. Stellen Sie dabei aber sicher, dass Sie nur den wp-admin Ordner schützen und nicht Ihre gesamte Seite, da sonst Ihre Webseite nicht erreichbar ist.
Hinweis: Falls Sie schon eine .htaccess Datei in Ihrem wp-admin Ordner haben sollten, fügen Sie den erstellten Code einfach in die existierende Datei ein. Ersetzen Sie diese aber bitte nicht.
Erstellen Sie einen benutzerdefinierten Admin-Benutzernamen
Hacker versuchen oft durch sog. Brute-Force-Angriffe Zugriff auf Ihre WordPress-Administration zu bekommen. Roboter versuchen dabei, sich mit Millionen von verschiedenen Benutzernamen- und Passwort-Kombinationen einzuloggen. Um es so schwer wie möglich zu machen, Ihre Logindaten zu erraten, empfehlen wir Ihnen, einen einzigartigen Benutzernamen zu erstellen.
Sie können Ihren Admin-Benutzernamen in phpMyAdmin, in der wp_users Tabelle, ändern. Schauen Sie dafür gerne in unserer Anleitung, wie man auf die Datenbank zugreift.
Sobald Sie eingeloggt sind:
- Finden Sie die Tabelle mit dem Namen wp_users (diese kann auch 0_users heißen)
- Finden Sie den Admin-Benutzernamen und klicken Sie auf Edit.
- Unter user-login geben Sie einen neuen Benutzernamen in dem Feld unter Value ein.
- Klicken Sie Go um dies zu speichern.
Tipp: Es gibt auch einige Plugins, die Ihnen dabei helfen, Ihre Sicherheit zu erhöhen. Wir empfehlen Ihnen Wordfence Security oder iThemes Security.
Deaktivieren Sie das Ausführen von PHP-Code in Ihrem Uploadverzeichnis
Wenn Sie WordPress manuell installiert haben, empfehlen wir Ihnen, das Ausführen von PHP-Code in Ihrem Uploadverzeichnis zu deaktivieren. Wenn Sie unseren 1-Click-Installer verwendet haben, ist dies standardmäßig deaktiviert.
PHP-Hintertüren sind meist im Uploadverzeichnis zu finden. Von dort aus wird die Malware auf andere Bereiche Ihrer Seite verbreitet. Sie können nicht verhindern, dass diese Backdoor auf Ihren Webspace hochgeladen wird, allerdings verhindern Sie durch das Deaktivieren der Ausführung von PHP-Code, dass die Malware auf Ihrer Seite verbreitet wird.
# Block executables<FilesMatch ".(php|phtml|php3|php4|php5|pl|py|jsp|asp|html|htm|shtml|sh|cgi|suspected)$">deny from all</FilesMatch># Block javascript except for visualcomposer (VC) pluginRewriteEngine OnRewriteCond %{REQUEST_URI} !^.*wp-content/uploads/visualcomposer-assets/.*.js$RewriteRule ^(.*.js)$ - [F,L]
Hinweis: Wenn Sie bereits eine .htaccess Datei auf Ihrem Webspace haben, müssen Sie keine neue erstellen. Stattdessen können Sie die bestehende Datei bearbeiten.
Verwandte Artikel: