Content Management Systeme wie WordPress, Joomla, Drupal oder Typo 3 bieten ein Framework, das es ermöglicht in kürzester Zeit komplexe Internetseiten zu erstellen.
Entsprechend oft werden diese Systeme verwendet – sowohl für die kleine private Internetseite, als auch für kommerzielle Seiten. Was früher noch von Profis in mühevoller Kleinarbeit gecodet werden musste, geht heute meist per Drag & Drop.
Was ein Vorteil für den Nutzer ist, ist allerdings auch ein Vorteil für den Hacker: Statt 5000 einzelne Webseiten hacken zu müssen, reicht eine weit verbreitete Sicherheitslücke, um zigtausende WordPress-Installationen zu hacken.
Dementsprechend sind auch die Angriffe der Hacker aufgebaut. Häufig laufen diese nach dem Motto „Trial & Error“.
Ist die WordPress-Installation erst einmal gehackt, ist der Kummer groß. Gerade bei kommerziellen Projekten kann dies auch enorme finanzielle Folgen haben.
Einige grundlegende Tipps, wie Du verhinderst, dass auch Dein WordPress gehackt wird, möchte ich im heutigen Artikel vorstellen.
So verhinderst Du, dass Dein WordPress gehackt wird
1. Bei der Installation von WordPress beachten
Die Sicherheit Deiner WordPress Software kannst Du schon bei der Installation erhöhen, in dem du 2 wichtige Punkte beachtest:
1.1 Ändere die Sicherheitsschlüssel in der Datei wp-config.php
Diesen Abschnitt solltest Du gegen einen neuen Sicherheitsschlüssel austauschen, den Du Dir hier generieren kannst:
https://api.wordpress.org/secret-key/1.1/salt/
Die generierten Sicherheitsschlüssel kannst Du einfach in Deine wp-config.php kopieren und diese in Dein WordPressverzeichnis hochladen.
1.2 Ändere den Tabellenpräfix in der Datei wp-config.php
Wo Du gerade dabei bist, solltest Du eine weitere Änderung in der wp-config.php vornehmen.
Um es Hackern zu erschweren, sollten die Namen der Datenbanktabellen deiner WordPress Installation nicht mit dem standardmäßigen Tabellenpräfix wp_ benannt sein.
Ändere den Tabellenpräfix in irgendetwas möglichst sinnfreies, also z.B. g74vTPs_wp_
Falls es schon zu spät ist, und Du den Tabellenpräfix nachträglich ändern möchtest, findest Du hier eine sehr schöne Anleitung.
2. Admin-Konto löschen
Das erste, was Du nach der erfolgreichen Installation tun solltest, ist Dir ein zweites Adminkonto einzurichten.
Dieses kannst Du benennen wie Du möchtest, aber bitte nicht „admin“ oder „administrator“ und besser auch nicht „admin123″…
Mit diesem zweiten Adminkonto solltest Du dann das erste Adminkonto mit dem Namen „admin“ löschen. Dieses wird bei jeder WordPress Installation standardmäßig eigerichtet.
Hacker versuchen sich häufig mit diesen Standardbenutzern über die WordPress-Login-Maske einzuloggen. Teils automatisiert, teils manuell.
Bereits einen Tag nachdem ich im Google-Index stand, hatte ich eine ganze Reihe Loginversuche mit dem Nutzernamen „admin“.
Also solltest Du es den Hackern nicht einfacher machen als nötig und einen anderen Usernamen wählen.
3. WordPress-Dateien gegen Zugriff von außen schützen
Die wichtigsten Dateien Deiner WordPress Installation solltest Du zusätzlich über die .htaccess gegen Zugriff von außen schützen.
Insbesondere sollte jeder Zugriff auf die Datei wp-config.php unterbunden werden. Dies ist die zentrale Datei für die Konfiguration deiner WordPress-Seite. Dort findest Du neben den Sicherheitsschlüsseln z.B. auch die Anmeldedaten zur Datenbank. Dies sind sicherlich Informationen, auf die kein Hacker Zugriff haben sollte.
Daher solltest Du in Deiner .htaccess im Stammverzeichnis folgendes ergänzen:
#wp-config.php schützen
<files wp-config.php>
order allow,deny
deny from all
</files>
Mit dieser Methode kannst Du im Prinzip jede beliebige Datei gegen Zugriff von außen sperren. Sinnvoll ist dies in jedem Fall auch für die Dateien .htaccess und .htpasswd (falls vorhanden).
Du selber kannst natürlich weiterhin auf die gesperrten Dateien über Deinen FTP-Client zugreifen.
4. Plugin Limit Login Attempts verwenden
Das Plugin Limit Login Attempts schützt Euch davor, dass Euer WordPress durch eine Brute-Force-Attacke gehackt wird.
Bei diesen Attacken werden, meist skriptgesteuert, eine Unmenge an Benutzer-Passwort-Kombinationen ausprobiert, um sich in den Admin-Bereich Eures WordPress einzuloggen.
Limit Login Attempts protokolliert diese Anmeldeversuche und sperrt IP-Adressen, die sich zu oft mit fehlerhaften Benutzerdaten angemeldet haben für eine gewisse Zeitspanne.
Ich empfehle Euch zusätzlich die Standardeinstellungen des Plugins zu ändern und lieber folgende Einstellungen zu verwenden:
Diese Einstellungen führen zu einer schnelleren Sperre der angreifenden IP-Adresse und einer längeren Sperrzeit als gewöhnlich.
5. Den WordPress-Admin-Bereich doppelt gegen Hacker schützen
In Deinem WordPress-Admin-Bereich hat niemand etwas zu suchen. Um Hackern das Leben so schwer wie möglich zu machen, empfehle ich neben der Umbenennung des Adminkontos, einem sicheren Passwort und dem Plugin Limit Login Attempts auch eine zusätzliche Passwortabfrage per .htaccess einzubauen.
Dazu sind folgende Schritte notwendig:
- Erstelle eine leere Textdatei mit dem Namen .htpasswd
- Generiere Dir mit Hilfe des HTPasswd-Generators eine neue Benutzer-Passwort-Kombination:
- Diesen Text kopierst Du in Deine .htpasswd
- Anschließend ergänzt Du in Deiner .htaccess folgendes:
# Passwort für wp-login.php verlangen
<Files wp-login.php>
AuthName „Admin-Area“
AuthType Basic
AuthUserFile HIER DER ABSOLUTE PFAD ZU DEINER .htpasswd
require valid-user
</Files>
Wenn Du den absoluten Pfad zu Deiner .htpasswd nicht kennst, dann gibt es dazu hier eine Anleitung, wie Du ihn einfach herausfindest.
Nachdem Du .htaccess und .htpasswd in das Stammverzeichnis Deiner WordPress-Installation hochgeladen hast, sollte beim Aufruf der WordPress-Login-Maske zunächst folgendes passieren:
Du benötigst nun eine weitere Anmeldung, um überhaupt die WordPress-Login-Maske angezeigt zu bekommen. Eine sehr gute Schutzmaßnahme, um zu vehindern, dass Dein WordPress durch eine Brute-Force-Attacke gehackt wird.
6. WordPress, Plugins und Themes immer auf dem neuesten Stand halten
Ein ganz wichtiger Punkt, um zu verhindern, dass Dein WordPress gehackt wird, ist immer up-to-date zu sein.
WordPress ist keine Software, die man einmal installiert und dann 5 Jahre nicht anrührt. Vielmehr solltest Du verfügbare Updates für Deine Plugins und Themes umgehend installieren. Dies gilt natürlich auch für die WordPress-Installation an sich.
Mit den Updates werden häufig bekannte Sicherheitslücken geschlossen.
Zudem solltest Du auch Plugins und Themes deinstallieren, die Du nicht im Einsatz hast. Man muss ja nicht mehr Angriffsfläche für Hackerangriffe bieten als nötig!
7. Regelmäßige Backups erstellen
Der letzte Punkt ist insbesondere wichtig, falls es trotz aller Sicherheitsmaßnahmen jemandem gelingt, Dein WordPress zu hacken.
In diesem Fall kannst Du nur hoffen, dass Du regelmäßige Backups erstellt hast.
Häufig hilft bei einer „infizierten“ Installation nur noch das Löschen des kompletten WordPress-Ordners und Einspielen eines Backups vom Zeitpunkt vor dem Angriff. Wohl dem, der dann ein Backup griffbereit hat! 🙂
Idealerweise liegen Deine Backup-Dateien auch nicht auf dem gleichen Server wie Dein WordPress. Viel besser sind sie bei Dir zu Hause auf Deiner lokalen Festplatte oder auf einem anderen FTP-Server aufgehoben.
Die richtige Backup-Strategie für Dein WordPress zu finden, ist sicherlich einen eigenen Artikel wert. Vielleicht werde ich mich demnächst diesem Thema einmal etwas ausführlicher widmen.
Solange empfehle ich Euch die Anleitung von WordPress zum Erstellen eines Backups.
Fazit
Eine komplette Garantie gegen Hackerangriffe kann und wird es nie geben. Man kann aber einiges dafür tun, um die eigene Sicherheit zu erhöhen.
Wenn Ihr diese 7 Punkte entsprechend umsetzt, seid Ihr erst einmal gegen den Teil der Angriffe geschützt, die es nach der Methode
„Wenn ich 10.000 mal probiere, wird es schon mindestens einmal klappen“
probieren – und das ist ein Großteil.
Welche Methoden habt Ihr, um zu verhindern, dass Euer WordPress gehackt wird?