WordPress Website vor Hackern schützen – so sichern Sie Ihre Homepage gegen Angriffe

No Comments

Ihre Website ist im Internet kontinuierlichen Angriffen ausgesetzt. Dem Thema Sicherheit widmen sich viele Website-Betreiber dennoch meist erst dann, wenn das Kind schon in den Brunnen gefallen ist. Dabei kann ein gelungener Angriff auf die Homepage fatale Folgen nach sich ziehen – oftmals ist die Arbeit mehrerer Monate, wenn nicht sogar Jahre, verloren, was nicht selten großen Verlust von Umsatz und Reputation bedeutet. Den eingeschleusten Schadcode im Nachhinein ausfindig zu machen kann sehr aufwändig sein und nicht immer kann garantiert werden, dass nichts übersehen wurde.  Damit Ihnen das nicht passiert, möchten wir in diesem Beitrag zeigen, wie Sie Ihre WordPress Website vor Hackern schützen.

Die beste Versicherung: Erstellen Sie regelmäßig Backups

Das hilft Ihnen grundsätzlich zwar nicht, Ihre Website vor Hackern zu schützen, im Falle eines Angriffs können Sie allerdings Ihre Homepage und die dazugehörige Datenbank mit wenigen Klicks wieder vollständig herstellen. Hierbei ist es wichtig, dass Sie, im Falle eines Angriffs, mehrere Backups zur Hand haben und diese nicht nur auf Ihrem Server abgespeichert sind, sondern auch in einer Cloud (z.B. Dropbox), auf der lokalen Festplatte oder auf einer CD. Denn oftmals merken Website-Betreiber nicht, dass die eigene Homepage evtl. schon seit mehreren Wochen oder Monaten als Spam-Schleuder dient. Achten Sie also immer darauf, auch ältere Backups parat zu haben. Sichern Sie Ihre Website am besten täglich oder mindestens einmal in der Woche. Je nach Anbieter und Tarif kümmert sich auch Ihr Webhoster um eine zuverlässige Datensicherung.

Für WordPress-Websites gibt es eine Reihe guter und kostenloser Plugins, mit welchen Sie ohne viel Aufwand ein Backup Ihrer Website erstellen können. Wir empfehlen an dieser Stelle das kostenlose und bewährte Plugin BackWPup. Das Tool sichert Ihre komplette Homepage inkl. Datenbank und aller Administrationsdateien. Mit einer einzigen ZIP-Datei können Sie Ihre Installation wiederherstellen. Eine gute Alternative zu BackWPup ist das ebenfalls kostenlose UpdraftPlus. Wir haben mit beiden Plugins bisher nur positive Erfahrung gemacht.

Im Falle eines Angriffs sollten Sie jedoch nicht nur auf Ihre Backups vertrauen. Um auch im Nachhinein Ihre Website vor Hackern zu schützen sollten Sie in jedem Fall verstärkte Sicherheitsmaßnahmen einsetzen. Sonst ist es nur eine Frage der Zeit, bis es zum erneuten Hacker-Angriff kommt.

BackWPup – WordPress Backup Plugin

UpdraftPlus WordPress Backup Plugin

Setzen Sie nur sichere Passwörter für WordPress ein

In der heutigen Zeit besitzen die meisten Internetnutzer eine Reihe von Accounts, welche die Vergabe eines Passworts benötigen. Ob E-Mail-Account, Facebook-Account oder WordPress-Website – die Versuchung ist groß, überall dasselbe Passwort zu verwenden, das man sich am besten auch leicht merken kann. Entsprechend groß ist auch die Zahl der Nutzer, welche nach wie vor einfache Passwörter nutzen wie „admin“ oder „1234“. Doch das ist vergleichbar damit, dass Sie Ihre Haustür offen stehen lassen und am besten noch ein Schild mit „Diebe hereinspaziert“ aufstellen. Wenn Sie Ihre Website vor Hackern schützen wollen, ist die Vergabe eines starken und sicheren Passworts der erste Schritt.

Das Passwort sollte dabei mindestens 8 Zeichen lang sein und neben Buchstaben und Zahlen auch Sonderzeichen enthalten. Die Verwendung von Groß- und Kleinbuchstaben gibt dem Passwort noch eine zusätzliche Stärke. Ein sicheres Passwort könnte beispielsweise so aussehen: „5&R1nJL!e2S?§“

Natürlich erwartet niemand, dass Sie sich so ein Passwort merken. Um der Kennwort-Flut Herr zu werden können Sie einfach auf Passwort-Manager wie „Password Depot“ zurück greifen. Dieser verwaltet nicht nur Ihre Passwörter, sondern Sie können diese auch direkt mit einem Klick kopieren und in Ihrem Browser mit einem erneuten Klick wieder einfügen.

Eine alternative Idee ist es, ein Passwort einfach aus einem Satz zu generieren. Denken Sie sich einfach einen Satz aus und entwickeln Sie daraus Ihr persönliches Passwort. Z.B. würde das Passwort zu dem Satz

Wie merke ich mir ein “Passwort“? Ich mache einen Satz daraus!

lauten:

Wmim1“P“?Im1Sd!

Vermeiden Sie es auch für alle Accounts dasselbe Passwort zu nutzen. Insbesondere wenn Sie Ihre WordPress Website vor Hackern schützen wollen und evtl. mehrere Webseiten betreiben, sollten Sie niemals dasselbe Passwort verwenden. Denn sollte Ihr Passwort bei einer Seite gehackt werden, sind wenigstens Ihre anderen Seiten sicher.

Natürlich ist es im Übrigen auch empfehlenswert, typische Benutzernamen zu vermeiden. Bei WordPress wäre das beispielsweise „admin“. Wählen Sie stattdessen am besten einen Klarnamen, welchen Sie beispielsweise um Jahreszahlen oder zusätzliche Kürzel erweitern.

Installieren Sie regelmäßig Updates um Ihre WordPress Website vor Hackern zu schützen

3 von 4 WordPress-Installationen sind veraltet – diese Zahl ist alarmierend. Immerhin dienen Updates dazu, Sicherheitslücken zu schließen, welche in vorherigen Versionen aufgetreten sind. Wer seine WordPress Website vor Hackern schützen möchte, sollte verfügbare Updates daher umgehend auf seiner Seite installieren. Wird dies regelmäßig durchgeführt, entstehen im Normalfall auch keine Probleme bei einem Update. Wenn Sie das Installieren von Updates vernachlässigt haben und nun vor einem größeren Versionssprung stehen, sollten Sie vor Installation des Updates vorsichtshalber ein Backup erstellen.

Neben der regelmäßigen Aktualisierung Ihrer Plugins und Erweiterungskompetenten sollten Sie natürlich auch Ihre WordPress Version stets aktuell halten. Ab WordPress 3.7. gibt es die Möglichkeit, Updates automatisiert im Hintergrund ausführen zulassen. Falls Sie diese Funktion deaktiviert haben, sollten Sie Ihre WordPress-Version lückenlos manuell überprüfen und ggf. aktualisieren.

Oft vernachlässigt wird das Fundament einer jeden Website: Der Server. Gerade ältere Websites vegetieren auf ebenso alten Servern. Informieren Sie sich im Zweifel bei Ihrem Hoster, welche Versionen von PHP und MySQL auf Ihrem Webspace laufen. Diese sollten stets so aktuell wie möglich sein und mindestens alle Sicherheits-Updates eingespielt haben.

Die jeweils aktuellsten Software-Versionen auf dem Markt der wichtigsten Komponenten Ihres Servers finden Sie hier:

Verschleiern Sie Ihren WordPress Login-Bereich

Den Login-Bereich einer WordPress-Homepage erreichen Sie stets über folgendes URL-Muster: www.domainname.xx/wp-admin/. Bots und Hacker setzen daher oft hier an, um in Ihr WordPress System einzudringen. Eine Möglichkeit, sich vor automatisierten Hacking-Attacken besser zu schützen, besteht darin, den Standard-Pfad durch eine individuelle Login-URL zu verschleiern. Dies erledigt man am besten mit dem kostenlosen WordPress-Plugin Protect you Admin.

Sichern Sie Kontaktformulare und Gästebücher durch Captcha-Abfragen

Wenn Sie Ihre WordPress Website vor Hackern schützen möchten, sollten Sie insbesondere auch Kontaktformulare durch zusätzliche Maßnahmen absichern. Denn Kontaktformulare sind äußerst beliebte Angriffspunkte für automatisierte Hacker-Angriffe. Eine einfache und praktische Möglichkeit dem entgegen zu wirken, sind sogenannte Captchas (Completely Automated Public Turing test to tell Computers and Humans Apart). So wird sichergestellt, dass eine Anfrage von einem „echten“ Menschen stammt und nicht etwa von einem Computer. Die meisten WordPress-Plugins für Kontaktformulare bieten bereits standardmäßig die Möglichkeit, eine Captcha-Abfrage zu integrieren. Ansonsten empfehlen wir das kostenlose Plugin „Captcha„.

Mit diesem können Sie nicht nur Kontaktformulare durch Captchas sichern, sondern auch den WordPress Login- und Kommentar-Bereich.

Begrenzen Sie die Anzahl der Login-Versuche um Ihre WordPress Website vor Hackern zu schützen

Auch wenn Sie sich viel Gedanken um ein sicheres Passwort und einen kreativen Benutzernamen gemacht haben, hält das Hacker nicht davon ab, auch weiterhin über Ihren Login-Bereich in Ihr System eindringen zu wollen. Dadurch, dass Ihre Website ja immer online ist, haben Hacker schließlich alle Zeit der Welt und können standardmäßig unbegrenzt oft versuchen, in Ihr System einzudringen. Mit dem kostenlosen Plugin „Limit Login Attempts“ können Sie u.a. einstellen, dass nur bestimmte IP-Adressen Zugriff auf Ihren WordPress Login-Bereich haben und können diejenigen IPs sperren, welche versuchen sich nach einer gewissen Anzahl fehlerhafter Anmeldungen einzuloggen.

Installieren Sie keine Plugins und Themes aus unsicheren Quellen

Es gibt viele illegale Anbieter, welche kostenpflichte Plugins und Themes kostenlos zum Download anbieten. Die meisten dieser illegalen Downloads beinhalten jedoch Schadcode, welcher im schlimmsten Fall Ihre komplette Installation zerstören kann. Die Installation solcher Downloads läuft meistens reibungslos, erst im späteren Verlauf wird klar, dass über die Dateien Schadcode eingeschleust wurde. Es hilft auch nichts, einfach das entsprechende Plugin wieder zu deinstallieren, da meistens auch andere Dateien im System dadurch verseucht werden. Den gesamten Schadcode ausfindig zu machen und zu löschen ist nahezu unmöglich. Verzichten Sie daher darauf, Plugins und Themes aus illegalen Downloads zu installieren, erst recht nicht bei einer frischen Installation, da dann selbst Backups im Falle einer Zerstörung nicht mehr helfen. Die vergleichsweise günstigen Preise von Plugins und Themes stehen in keinerlei Relation zu dem Schaden, der Ihnen in diesem Fall entstehen würde.

Sichern Sie die „wp-config“-Datei Ihrer WordPress Installation ab

Die wp-config.php Datei ist das Rückrat Ihrer WordPress-Installation. Diese Datei haben Sie (oder WordPress selbst) bei der Installation angelegt. Sie beinhaltet nicht nur die Login Daten Ihrer Datenbank, sondern auch viele Einstellungen und Konfigurationsdaten Ihrer Webseite. Die Datei finden Sie im Root-Verzeichnis Ihrer Website – dort, wo auch die Ordner „wp-admin“, „wp-content“ und „wp-includes“ zu finden sind. Wenn Sie ein FTP-Programm wie FileZilla benutzen, machen Sie einfach einen Rechtsklick auf die Datei „wp-config.php“ und klicken Sie auf „Ansehen/Bearbeiten“. In dem sich öffnenenden Text-Editor können Sie die Datei nun bearbeiten.

Ändern Sie den Datenbank „Prefix“ – $table_prefix

Das ist quasi das “Wort” welches vor den Datenbankeinträgen von WordPress steht. Standardmäßig lautet es “wp_”. Ändern Sie es ab, am besten zu einem Begriff, der nicht so leicht zu erraten ist z.B. “wdb_”. Wichtig ist jedoch, dass auf jeden Fall “_” am Ende des Begriffes steht.

Verhindern Sie Zugriffe auf die wp-config Datei

Mithilfe der .htaccess-Datei können Sie Zugriffe auf die wp-config.php verhindern. Die .htaccess-Datei befindet sich im selben Verzeichnis wie die wp-config.php.

Auch diese Datei können Sie mit einem Rechtsklick bearbeiten. Um die wp-config.php vor externen Zugriffen zu sichern, sollten Sie die .htaccess-Datei um folgende Zeilen ergänzen:

<Files wp-config.php>
Order Allow,Deny

Deny from all
</Files>

Fügen Sie den Code ganz am Ende der .htaccess ein.

Wichtig: Da die .htaccess eine der sensibelsten System-Dateien ist, sollten Sie auf jeden Fall ein komplettes Backup Ihrer Website durchführen, bevor Sie Änderungen an der .htaccess durchführen!

    Weitere Beiträge


    Tool Empfehlungen

    Als langjährig erfahrene 360° Internetagentur realisiert Pixeltale digitale Projekte, die Kunden helfen, im Internet erfolgreich zu sein.

    Facebook By Weblizar Powered By Weblizar

    Lernen Sie uns kennen!

    Wir beraten Sie gerne kostenlos und unverbindlich in allen Bereichen rund um das Thema Webdesign und Online Marketing. Sprechen Sie uns einfach an!

    Mehr aus unserem Blog

    Alle Beiträge ansehen
    No Comments