Zum Hauptinhalt springen

Wie Sie Ihre Wordpress-Webseite sichern

·5 min·
Guide Wordpress Security
Autor
Andreas
Ich bin Andreas - die Person hinter XenoElectronics. Ich bin nicht hier, um Ihnen Buzzwords zu verkaufen. Ich bin ein praktischer Linux- und Infrastruktur-Admin, der Systeme baut und dokumentiert, die tatsächlich funktionieren. Ob Docker, Ansible, Bash oder die Fehlersuche bei einem defekten NFS-Mount - wenn es in meinen Unterlagen steht, habe ich es selbst ausprobiert. Ich baue, teste, scheitere, repariere und schreibe es auf - damit andere keine Zeit verschwenden müssen. Brauchen Sie Hilfe? Fragen Sie. Wenn ich es schon einmal gelöst habe, bekommen Sie eine klare Antwort.
Inhaltsverzeichnis

Was ist Wordpress?
#

Wie immer möchte ich damit beginnen, was das Produkt ist.

Wordpress ist der beliebteste Website-Builder auf dem Markt, leicht die Hälfte aller Websites werden mit Wordpress erstellt. Es ist vergleichbar mit Wix oder Squarespace, die ebenfalls sehr beliebt, aber proprietär sind, Wordpress hingegen ist eine Open-Source-Lösung.

Dadurch ist Wordpress sehr modular aufgebaut und verfügt über zahlreiche Plugins, mit denen die Funktionalität erweitert werden kann. Alles in allem also kein schlechtes Produkt.

Das einzige Problem ist, dass manche Leute nicht wissen, wie man eine Website sichert. Die meisten richten sie ein und vergessen dabei absolut grundlegende Sicherheitsmaßnahmen.

Sicherheitsmaßnahmen
#

Aktualisierungen
#

Dies ist wirklich sehr basic, aber aktualisieren Sie Ihre Wordpress-Instanz und auch Ihre Plugins. Updates sind nicht immer nur Änderungen an einem Programm, sondern auch Sicherheitspatches. Diese sind besonders wichtig, um Sicherheitslücken auf der Webseite zu schließen.

Allerdings sollten Sie vor jedem Update ein Backup erstellen. Es kann immer sein, dass ein Update fehlerhaft ist oder ein Plugin nach einem Update nicht mehr funktioniert.

Sichere Zugangsdaten für das Admin-Panel
#

Name
#

Wenn Sie einen Wordpress-Benutzer erstellen. Bitte nennen Sie Ihren Admin-Benutzer nicht Admin, Administrator, root oder so ähnlich, es ist egal, wie Sie ihn nennen. Solange es nichts Offensichtliches ist.

Hacker wissen, dass der Standard-Administrator oft Admin heißt und versuchen dann, diesen Namen mit Bots zu bruteforcen. Auf diese Weise können Sie Bots umgehen, sind aber trotzdem nicht vor gezielten Angriffen sicher.

Meine Empfehlung wäre, die Namen der Administratoren kryptisch zu gestalten. Verwenden Sie also nicht einmal die Namen der Admins im Unternehmen, da diese über die Website herausgefunden werden können, wenn Sie die Namen und Positionen veröffentlichen.

Nachdem Sie Ihren Benutzer erstellt haben. Sollten sie den Standard-Admin-Benutzer aus Wordpress entfernen.

Passwort
#

Das Passwort sollte so sicher wie möglich sein. Dies sollte jedoch nicht von einem Menschen, sondern von einem Computer bewertet werden.

Die Sicherheit eines Passwortes wird in Entropie gemessen. Diese sollte idealerweise so hoch wie möglich sein.

Wenn Sie etwas über Passwörter lernen wollen, hier ist ein Artikel von Kicksecure.

https://www.kicksecure.com/wiki/Passwords

Ein sicheres Passwort sollte einen Entropiewert von mindestens 250 Bit haben, um sicherzustellen, dass es Post-Quantum-Resistenz besitzt. Für die Erstellung eines Passworts gibt es auch einen Artikel von CISA.

https://www.cisa.gov/secure-our-world/use-strong-passwords

Kurz gesagt, Ihr Passwort sollte so zufällig wie möglich sein. Dies kann mit Passwörtern oder Passphrasen erreicht werden. Diese werden über einen Passwortmanager erstellt.

Ich empfehle KeepassXC oder Bitwarden. Bitwarden sollte aus Sicherheitsgründen selbst gehostet werden. Verwenden Sie niemals einen Cloud-basierten Passwort-Manager. Lastpass ist das beste Beispiel dafür.

https://duckduckgo.com/?t=ffab&q=Lastpass+skandal&ia=web

Wordpress-Themes
#

Es sollte offensichtlich sein, aber Themes können Malware enthalten. Da jeder Themes hochladen kann, sollten Sie genau prüfen, ob der Ersteller seriös ist oder nicht.

WAF (Web Application Firewall)
#

Verwenden Sie eine WAF (Web Application Firewall), die sicherstellt, dass der Datenverkehr von Schicht 1 bis 7 und nicht nur bis Schicht 3 geprüft und gefiltert wird.

Wenn Sie einen Hosting-Anbieter wie Hostinger nutzen, ist eine solche Firewall bereits installiert. Alternativ dazu können Sie auch Cloudflare verwenden, wenn Sie den Webserver lokal eingerichtet haben.

Oder Sie verwenden ZenArmor in Kombination mit OpenSence. Wenn Sie eine lokale WAF bevorzugen. Allerdings sind Sie damit nicht vor DDOS-Angriffen geschützt.

Letztendlich entscheiden Sie, was Sie verwenden.

Verwenden Sie ein SSL- oder TLS-Zertifikat
#

HTTPS ist nicht einfach so verschlüsselt. Es benötigt ein SSL- oder TLS-Zertifikat, damit die Verschlüsselung funktioniert. Dieses kann mit LetsEncrypt ausgestellt oder von Ihrem Domain-Provider erworben werden.

Weitere Schutzmaßnahmen
#

Wir haben jetzt eine grundlegende Sicherheit, aber ich habe noch Tipps, damit ein Hacker fast keine Chance hat, Zugang zu erhalten.

2FA MFA (Multifaktor-Authentifizierung)
#

Heutzutage ist es normal, Multifaktor-Authentifizierung zu verwenden. Auch wenn viele Menschen sie noch nicht nutzen.

Die einfachste Form ist das sogenannte TOTP (Time-based one-time password)

Dieses wird von Mobile Authenticator-Software verwendet. Beliebte Lösungen sind Google Authenticator oder Microsoft Authenticator. Ich halte von beiden nicht viel, da diese Software nichts Besonderes leistet. Ich empfehle Aegis Authenticator, da es sich um eine Open-Source-Lösung handelt und nicht an ein Konto gebunden ist.

https://getaegis.app/

Ein MFA-Plugin, das ich für Wordpress empfehle, ist Wordfence.

https://wordpress.org/plugins/wordfence-login-security/

Login-Versuche begrenzen
#

Sie sollten einrichten, dass Personen nach mehreren fehlgeschlagenen Authentifizierungsversuchen automatisch gesperrt werden. Ein gutes Plugin ist dieses.

https://wordpress.org/plugins/limit-login-attempts-reloaded/

Ändern Sie die URL der WordPress-Anmeldeseite
#

Die Standard-Anmeldeseite für die Verwaltungskonsole lautet /wp-admin. Sie ist Hackern bekannt, und Bots versuchen automatisch, diese Seiten zu hacken. Wenn dies geändert wird, können Bots die Seite nicht mehr finden und sie nicht mehr Bruteforcen. Die Anmeldeseite kann natürlich immer noch gefunden werden, indem automatisiert nach der Admin-Seite gesucht wird. Aber nur sehr wenige Leute tun dies und es hält Skript-Kids fern, die nicht wissen, wie man das macht.

Dies ist ein gutes Plugin, um die Admin-Panel-Seite schnell zu ändern.

https://wordpress.org/plugins/wps-hide-login/

Inaktive Benutzer automatisch abmelden
#

Benutzer, die inaktiv sind, sollten automatisch abgemeldet werden. Sie befinden sich gerade nicht auf dem PC und stellen daher ein Sicherheitsproblem dar. Hier ist ein weiteres Plugin, um dies zu verwalten.

https://wordpress.org/plugins/inactive-logout/

Zusammenfassung
#

Ich könnte ewig so weitermachen. Aber dies sind die grundlegenden Dinge, die ich tun würde, um meine Website zu schützen. Sicherheit ist kein Produkt, sondern ein endloser Kampf, bei dem man sich immer wieder vor neuen Dingen schützen muss.

Sie müssen also ständig lernen, wie Sie Ihre IT-Infrastruktur schützen können.

Dienste von XenoElectronics
#

Wenn Sie Hilfe bei Ihren Projekten oder mit Open-Source-Software benötigen. Schauen Sie auf unsere Kontaktseite und teilen Sie uns Ihr Anliegen mit. Wir helfen Ihnen dabei, Ihre Projekte zu realisieren.

https://xenoelectronics.com/de/contact/

Unterstützen Sie uns
#

Ich hoffe, dieser Guide hat Ihnen sehr geholfen. Wir würden uns sehr freuen, wenn Sie unseren Patreon beitreten oder mit Paypal oder Stripe spenden würden. Wir sind für jede Unterstützung dankbar.

Vielen Dank fürs Lesen und für Ihre Zeit.

Unterstütze uns on Patreon.
Spende via Paypal.
Spende via Stripe.

Wenn Sie diesen Artikel teilen möchten, klicken Sie auf die Symbole unten.

Verwandte Artikel

Konsolen Emulations Starter Guide
·4 min
Guide Emulation Gamming
Was sind Emulatoren und welche sollten Sie verwenden? Dies und mehr erfahren Sie hier.
Der ultimative Portainer Starter Guide
·5 min
Guide Portainer
Von der Installation von Portainer bis zu denn Konfigurationen.
Der beste Budget Gamming PC 2025
·5 min
Blog Gamming Hardware
Sie wollen die beste Spieleleistung für so wenig Geld wie möglich? Dann ist dies der richtige PC für Sie.