WordPress absichern: 5 Goldene Regeln

Dieser Artikel ist ursprünglich am 14. 07. 2015 erschienen.
Das ist eine ganze Weile her. Der Inhalt ist womöglich nicht mehr ganz aktuell.

Hacker nehmen gerne WordPress-Installationen unter Beschuss. Das liegt aber nicht daran, dass WordPress besonders unsicher ist. der Grund ist, dass WordPress so weit verbreitet ist. WordPress-Installationen sind also rein von der Masse her ein lohnendes Ziel.

Ein weiterer Grund ist, dass WordPress häufig von Leuten installiert wird, die sich nicht so gut auskennen. Sie sind sich nicht klar darüber, dass ein Redaktionssystem nichts ist, dass man einmal installiert und dann vergessen kann. Das System braucht Aufmerksamkeit, man muss es pflegen. Und man sollte bei Installieren ein paar Regeln beachten.

5 goldenen Regeln für mehr Sicherheit

  • Backups machen (und sie nicht auf dem Server aufbewahren)
  • Kein Administrator-Account namens „admin“
  • Nur einen Admin-Account, alle anderen (die Autoren) haben keine Admin-Rechte
  • Sichere Passwörter = lange Passwörter (12 Stellen)
  • Updates, Updates, Updates

Leute, macht Backups. Wenn Ihr ein Backup habt, ist es nicht so schlimm, wenn mal was schiefgeht. Es gibt eine Reihe von guten PlugIns, die das automatisch für Euch erledigen. Automatisch ist wichtig, denn wer nur dann ein Backup macht, wenn es ihm grade einfällt, hat mit Sicherheit genau dann keines, wenn er es am Dringendsten bräuchte.
Einmal eingerichtet, macht das PlugIn einmal pro Woche ganz selbsttätig eine Sicherungskopie von Eurer Seite und Ihr seid auf der sicheren Seite.

Es ist sinnvoll, die Backups nicht auf dem Server in der WordPress-Installation selbst zu speichern. Im Falle einer Malware-Infektion könnte auch die Backup-Dateien betroffen sein. Bewahrt das Backup auf Eurem Rechner auf, auf einer Festplatte oder irgendwo in der Cloud (z.B. Dropbox).

Noch etwas ist wichtig: Ein Backup, das man nicht wieder herstellen kann, ist nicht viel Wert. Bevor Ihr Euch auf ein Plugin verlasst, probiert vorher unbedingt aus, ob Ihr Eure Seite auch wirklich aus dem Backup wieder herstellen könnt.

Zu viele Häuptlinge und zu wenige Indianer

Es sollte möglichst nur ein Administrator-Konto per Installation geben. Autoren, die im Blog namentlich erscheinen, sollten keine Admin-Rechte besitzen. Hier reichen die Redakteurs-Rechte vollkommen aus.

Es sollte keinen Account auf Eurer Installation geben, die unter dem Usernamen „admin“ läuft.

Checkliste WordPress Sicherheit

  • Alles, was Ihr nicht braucht, löschen (PlugIns und Themes)
  • Keine ungepflegten Installationen auf demselben Server liegen lassen (Testversionen etc.)
  • Den eigenen Rechner regelmäßig auf Schadsoftware scannen
  • SFTP nutzen (Daten können nicht von extern ausgelesen werden)
  • Verschiedene Passwörter für WP Admin, Datenbank und FTP benutzen
  • Regelmäßige Updates des Systems (WordPress-Versionen) machen
  • Regelmäßige Updates der PlugIns machen
  • Themes updaten, falls der Entwickler das Theme pflegt
  • Backups machen (und sie nicht auf dem Server aufbewahren)
  • Kein Administrator-Account namens „admin“

Kommentare, die nichts mit dem jeweiligen Artikel zu tun haben, oder die weitgehend inhaltslos sind und keinen Mehrwert für andere Leserinnen und Leser bieten, veröffentlichen wir nicht.

4 Kommentare zu “WordPress absichern: 5 Goldene Regeln

  • Ein sehr guter und informativer Artikel! Wie man sieht, kann man auch mit (verhältnismäßig) wenig Aufwand seinen WordPress Blog um ein vielfaches Sicherer machen.

  • Ein gelungener Artikel. Inhaltlich möchte ich noch zwei kleine Anmerkung zum Thema Passwort machen. Ein 12-Stelliges Passwort alleine macht keinen Sinn. Wichtig ist das es keinen Bezug zu einem hat und Alphanumerisch aufgebaut ist – ideal mit Sonderzeichen. Auch „leetspeek“ oder dergleichen ist KEINE Hilfe.

    Schlecht: Gartenarbeit (vor allem wenn es ein GartenBlog wäre. Stichwort Social Engineering
    Schlecht: G@rt3n@rb31t (Moderne Systeme wie johncracker testen derartiges mit)
    Ok: eL_1XGSfT#n4t

    Am besten ein Passwortgenerator verwenden. Einige Suchmaschinen wie DuckDuckGo.com bieten sowas auch an.

Die Kommentare sind geschlossen.

Hinweise zum Datenschutz
Wenn du einen Kommentar schreibst, wird dieser inklusive Metadaten zeitlich unbegrenzt gespeichert. Auf diese Art können wir Folgekommentare automatisch erkennen und freigeben, anstelle sie in einer Moderations-Warteschlange festzuhalten.
Wenn Besucher Kommentare auf der Website schreiben, sammeln wir die Daten, die im Kommentar-Formular angezeigt werden, außerdem die IP-Adresse des Besuchers und den User-Agent-String (damit wird der Browser identifiziert), um die Erkennung von Spam zu unterstützen. Aus deiner E-Mail-Adresse kann eine anonymisierte Zeichenfolge erstellt (auch Hash genannt) und dem Gravatar-Dienst übergeben werden, um zu prüfen, ob du diesen benutzt.
Die Datenschutzerklärung des Gravatar-Dienstes findest du hier.
Nachdem dein Kommentar freigegeben wurde, ist dein Profilbild öffentlich im Kontext deines Kommentars sichtbar.