Eine WordPress Website abzusichern ist eigentlich nicht schwer. Im Grunde ist es das ganz normale Housekeeping, das Ihre Website sicherer macht. Es gibt einige einfache, aber sehr wirkungsvolle Maßnahmen, mit denen Sie Ihre Website schützen können.
Was man selbst tun kann
1. Updates, Updates, Updates
Ganz oben auf der Liste steht, alle Plugins, Themes und auch den WordPress-Core stets aktuell zu halten. Regelmäßige Updates schließen bekannte Sicherheitslücken, die gezielt von Angreifern ausgenutzt werden. Updates bringen also nicht nur neue Funktionen, sondern vor allem wichtige Sicherheits-Patches.
2. Sinnvolle Benutzerrechte
Nicht jeder Nutzer benötigt Administratorrechte – in der Regel reicht ein einzelner Admin-Zugang völlig aus. Alle weiteren Benutzer sollten nur die Rechte erhalten, die sie tatsächlich brauchen. So lässt sich der Schaden begrenzen, falls ein Benutzerkonto kompromittiert wird. Ein gehackter Redakteurs-Account ist deutlich weniger kritisch als ein Admin-Zugang.
3. Nicht aktive Plugins löschen
Achten Sie darauf, nur Plugins und Themes zu verwenden, die aktiv gepflegt werden. Manchmal verliert der Autor das Interesse oder eine Erweiterung wird aus anderen Gründen nicht mehr aktualisiert. Nicht mehr aktualisierte Themes und Erweiterungen stellen ein großes Sicherheitsrisiko dar und sollten konsequent entfernt werden.
Ähnliches gilt für Plugins und Themes, die nicht aktiv genutzt werden sind. Man probiert ein Plugin oder ein Theme aus und deaktiviert es dann wieder. Auch diese Liste sollte man im Auge behalten. Was nicht gebraucht wird, sollte man löschen.
4. Vertrauenswürdige Quellen nutzen
Beziehen Sie Themes und Plugins ausschließlich aus offiziellen und vertrauenswürdigen Quellen. Vermeintliche Schnäppchen, bei denen kostenpflichtige Erweiterungen kostenlos oder sehr günstig angeboten werden, enthalten in der Regel Schadcode. Der gefährdet Ihre gesamte Website.
5. Sichere Zugänge
Sie sollten immer mit starken Zugangsdaten arbeiten, das bedeutet vor allem gute Passwörter (siehe Kasten). Verwenden Sie Passwörter auf keinen Fall mehrfach, auch wenn das leichter zu merken ist. Vermeiden Sie den Standard-Benutzernamen „admin“, da dieser bei Brute-Force-Angriffen immer zuerst ausprobiert wird. Jeder Benutzer sollte ein eigenes Konto mit einem sicheren, einzigartigen Passwort haben und nur die notwendigen Rechte erhalten.
Für besonders sensible Zugänge – damit sind vor allem Administrator-Accounts gemeint – ist es sinnvoll, eine Zwei-Faktor-Authentifizierung (2FA) einzurichten.
Auf Webseiten mit vielen Nutzer:innen hat man keinen direkten Einfluss mehr auf die Stärke des Passworts. Hier lohnt es sich, ein Plugin zu installieren, das starke Passwörter erzwingt. Denn schwache Zugangsdaten sind das größte Sicherheitsrisiko für jede Website.
Ein gutes Passwort sollte…
- mindestens 12 Zeichen lang sein
- Groß- und Kleinbuchstaben enthalten
- Zahlen und Sonderzeichen verwenden
- keine realen Wörter enthalten
- nicht mehrfach verwendet werden
6. Nicht am Hosting sparen
Ein guter Hoster schützt seine Server mit einer modernen, abgesicherten Infrastruktur, erstellt regelmäßige Backups und steht bei Problemen mit kompetentem Support zur Seite. Das ist eine wichtige Basis für die Sicherheit Ihrer Website.
Login verstecken?
Diesen Rat liest man recht häufig: Man soll die Login-Seite verstecken. Das ist nicht schwer umzusetzen, der WP-Login bekommt einfach eine andere URL zugewiesen. Ich halte von dieser Maßnahme nicht so viel, denn Angreifer finden auch versteckte Login-Seiten. Legen Sie den Fokus lieber auf starke Benutzernamen und sichere Passwörter.
Und was ist mit Sicherheits-Plugins?
Unter dem Stichwort “Sicherheit” oder “Security” gibt es viele Angebote im Plugin-Verzeichnis. Diese Plugins versprechen schnellen Rundum-Schutz für alle Lebenslagen. Es gibt sie in kostenlosen Versionen über WordPress.org oder in Premium-Versionen gegen eine Jahreslizenz. Sie bieten üblicherweise Funktionen aus den folgenden Bereichen:
- Firewall, d.h. es werden Anmeldeversuche registriert und ggf. die IPs gesperrt, von denen die Versuche kommen.
- Der Malware Scanner prüft die Installation auf potenziellen Schadcode und gleicht die Plugins ab mit Listen von bekannten Sicherheitslücken
- Möglichkeiten, Benutzerkonten und Anmeldung abzusichern, indem z. B. starke Passwörter eingefordert werden
Viele der Funktionen kann auch ein gutes Hosting übernehmen. Je nachdem, welche Sicherheitsstandards Ihr Hosting hat, kann es sogar sein, dass Sie dort gar keine Sicherheitsplugins installieren dürfen. Das ist dann kein Nachteil, sondern ein Zeichen dafür, dass das Hostingunternehmen das Thema ernst nimmt und sich darum kümmert. Häufig können Sie einzelne Aspekte in Ihrem Kundenmenü konfigurieren.
Der Charme eines Sicherheitsplugins ist, dass es Benutzer:innen an die Hand nimmt und alle oben genannten Sicherheitsaspekte einmal durchgeht. Die Funktionen werden in einem Dashboard zusammengeführt, wo alles übersichtlich dargestellt und (idealerweise) gut erklärt wird. Wenn man allerdings mehr als nur die Basis-Funktionen nutzen möchte, braucht man in der Regel die bezahlte Version. Für alle, die einen eher günstigen Hosting-Tarif haben, kann ein Sicherheits-plugin die Sicherheit der Website erhöhen.
Anstatt eine große Erweiterung mit vielen Funktionen zu installieren, kann man viele Aspekte aber auch einzeln regeln. Man kann z.B. ein Plugin installieren, das starke Passwörter erzwingt und am besten gleich 2-Faktor-Authentifizierung für bestimmte Benutzergruppen einfordert. Oder eines, das nur eine gewisse Anzahl an Anmeldeversuchen erlaubt.
Auch einen Sicherheitsscan kann ich anders bekommen, es gibt Plugins und Dienste, die diese Dienstleistung anbieten, kostenlos oder bezahlt. Häufig kommt so etwas auch zusammen mit der Backup-Funktion: Ein Plugin, das regelmäßig Backups erstellt und die möglichst zu einem anderen Server schickt, kann in der Regel auch einen Sicherheitsscan initiieren.
Fazit Sicherheitsplugins
Sicherheitsplugins können helfen, das komplexe Thema Sicherheit besser erfassbar zu machen. Manches mag auf den zweiten Blick nicht unbedingt notwendig sein – ich denke da beispielsweise an das Verstecken des WordPress Logins. Aber, richtig eingesetzt, können diese Plugins sinnvoll sein.
Dabei muss man berücksichtigen, dass man gerade bei Sicherheitsplugins penibel darauf achten muss, Updates zu machen. Denn diese Tools haben weitreichende Rechte im System und greifen tief in eine Website ein. Wenn hier eine Sicherheitslücke offen bleibt, wird das Sicherheitsplugin selbst zum Sicherheitsrisiko.
Wie sinnvoll ein Sicherheitsplugin ist, kommt nicht zuletzt auf das Hosting an. Wenn Ihre Website bei einem Anbieter gehostet wird, der bereits ausgeklügelte Firewalls und Malware-Schutz anbietet, bringt das Installieren einer zusätzlichen Erweiterung keinen großen Mehrwert. Sicherheitsplugins können außerdem zu einem trügerischen Sicherheitsgefühl führen: Wenn schwache Passwörter unterwegs sind oder es viele unbeobachtete Admin-Accounts gibt, steht die Hintertür weit offen. Das kann auch das Sicherheitsplugin nicht verhindern.