Fünf Tipps für eine sichere WordPress-Website

← zurück zum Blog

Bei mittlerweile über 47% aller Websites, die mit einem Content-Management-System (CMS) betrieben werden, werkelt WordPress im Hintergrund.

Leider ruft diese Popularität auch so manchen auf den Plan, der böses im Schilde führt. Wir haben darum fünf Tipps zusammengestellt, mit denen Sie Ihre WordPress-Website zu einer Knacknuss für ungebetene Gäste machen.

1. Zwei-Schritt-Verifizierung

WordPress-Login mit aktiviertem Google Authenticator-Plugin

WordPress-Login mit aktiviertem Google Authenticator-Plugin

Die Zwei-Schritt-Verifizierung bietet eine weitere Sicherheitsschicht für Ihren WordPress-Benutzer. Zusätzlich zum Passwort ist für eine Anmeldung im WordPress-Backend ein Zahlencode nötig, der mit Hilfe einer geeigneten Smartphone-App erzeugt wird.

Das Plugin Google Authenticator hat in unserem Test mit der aktuellsten WordPress-Version (3.9.2) einwandfrei funktioniert.

2. Plugin-Pflege

Plugins sind praktisch. Dennoch sollten Sie jede weitere Plugin-Installation überdenken, weniger ist hier mehr. Machen Sie sich vor einer Plugin-Installation über folgende Punkte Gedanken:

  • Brauche ich die Funktion wirklich?
    Vielleicht bringt das gewünschte Plugin eine Funktion mit sich, die «nice-to-have» wäre. Installieren Sie zusätzliche Plugins nur dann, wenn Sie diese auch regelmässig verwenden. Deaktivierte Plugins schützen beim Aufreten von Sicherheitslücken nicht. Entfernen Sie deshalb ein Plugin, wenn Sie es nicht mehr verwenden.
  • Wie steht es mit der Qualität des Plugins?
    Ohne Programmierkenntnisse lässt sich die Qualität des Plugin-Codes nicht beurteilen. Nutzen Sie bei Ihrer Analyse daher die Angaben, die Ihnen im Plugin-Verzeichnis zur Verfügung stehen.

    • Wird das Plugin regelmässig aktualisiert?
    • Wie frisch sind die Diskussionen im Support-Bereich?
    • Was fördert eine Google-Suche nach «[Name des Plugins] Sicherheit» zu Tage?

Wichtig: Eine grosse Anzahl an Downloads sagt nichts über die Qualität eines Plugins aus. Die Wahrscheinlichkeit, dass auftretende Sicherheitslücken schnell gestopft werden, ist aber vermutlich grösser als bei unpopulären Plugins.

3. Standfeste Themes

Die oben erwähnten Punkte lassen sich auch auf Themes anwenden. Installieren Sie nur wirklich benötigte Themes und löschen Sie solche, die Sie nicht verwenden.

Erste Anlaufstelle für Themes ist das Verzeichnis unter wordpress.org. Dort finden Sie zudem auch eine Übersicht an kommerziellen Anbietern.

4. Dateiberechtigungen richtig setzen

WordPress setzt Dateiberechtigungen von Haus aus bereits richtig (644 für Dateien sowie 755 für Verzeichnisse).

Für die Konfigurationsdatei wp-config.php empfehlen wir die Berechtigung 400, so kann diese nur noch vom Dateibesitzer (Ihrem Webhosting-Benutzer) gelesen werden. Da Änderungen an der Datei in der Regel nach der Installation nicht mehr nötig sind, muss die Datei nicht schreibbar sein.

5. Updates sind das A und O

Der wichtigste Punkt zum Schluss: Halten Sie Ihre WordPress-Installation immer auf dem neusten Stand. Seit Version 3.7 macht es einem WordPress hier besonders einfach. Sicherheitsupdates für den WordPress-Core werden automatisch eingespielt.

Übrigens: Wenn Sie WordPress mit Hilfe unseres Scriptcenters installieren, können Sie auch Plugins und Themes automatisch aktualisieren lassen.

Unser Lesetipp

Möchten Sie noch mehr über Sicherungsmöglichkeiten für WordPress erfahren? Der Artikel Hardening WordPress (in Englisch) ist die erste Anlaufstelle dafür, wenn es um das Thema WordPress-Sicherheit geht.

Haben Sie weitere Tipps für eine sichere WordPress-Installation? Können Sie Sicherheitsplugins empfehlen? Wir freuen uns auf Ihren Kommentar.

10 Kommentare

  1. Will keine Werbung machen, aber ich denke das Plugin „HIde My WP“ auf CodeCanyon ist sicher ein effizienter Beitrag um WP sicherer zu machen. Kostet allerdings.

  2. Nützliche Tipps!

    Ein wenig ironisch ist allerdings, dass ausgerechnet Tipp 1 gegen Tipp 2 verstösst … ;)

    Bei den Themes könnte man noch ergänzen, dass vor allem kommerzielle Themes meist Zusatzfunktionen oder gar zusätzliche Plugins mitbringen, die man allenfalls nicht benötigt. Solche Zusatzfunktionen und/oder zusätzlichen Plugins sollte man ebenfalls entfernen.

  3. Eure Tipps zu Plugins sind wirklich gut und treffen alle zu.

    Was ich nicht verstehe, wieso Dateiberechtigungen auf 755 oder 644 gesetzt werden sollen. Die dritte Ziffer ist ein Recht für other auf dem Unix-System. Es kann auf 0 stehen, wenn der User der den Webserver gestartet hat entweder in der Gruppe der die Datei gehört oder der Besitzer selbst ist.

    Das Google Plugin zur doppelten Authentifikation kannte ich noch nicht. Was sich natürlich auch anbietet ist ein htaccess Schutz.

    Darüber hinaus sollte WordPress selbst auch immer aktuallisiert werden. Ein zusätzliches Sicherheitsplugin ist WordFence.

    • Bei uns läuft PHP unter suPHP, somit werden PHP-Dateien jeweils unter dem eigenen Benutzer ausgeführt. Hier wäre theoretisch auch eine niedrigere Berechtigung für die Dateien möglich (also z.B. 600, wenn Änderungen an der Datei durch PHP möglich sein sollen). Alle anderen Dateitypen werden jedoch direkt durch den Webserver (Apache) ausgeliefert, der bei uns unter dem Benutzer «nobody» ausgeführt wird. Ohne Leseberechtigung für other könnte der Webserver auf diese Dateien nicht mehr zugreifen. Der Einfachheit halber empfehlen wir deshalb, die Berechtigungen für Dateien auf 644 zu setzen.

  4. Hallo Philipp!
    Wollte hier eigentlich erfahren, WIE bzw. WO ich die (drei) nicht benötigten Themes löschen kann, die bei jeder Neuinstallation von WP automatisch im Blog aufscheinen.
    Ich benutze „Catch Box“ und da ich nicht vorhabe auf ein anderes Theme zu wechseln, sind die 3 mitinstallierten Themes nur unnötiger Ballast. Allerdings habe ich noch nirgends gefunden, wie ich sie löschen kann.
    Allerdings fällt mir da soeben ein, dass ich sie vermutlich auf meinem Website-Hoster im File-Manager löschen kann.
    Sollte das nicht klappen, melde ich mich wieder hier. Vielleicht weißt ja du eine Lösung!?
    Weiterhin alles Gute und viel Erfolg!
    Walter Bracun

    • Hallo Walter
      Du kannst die nicht benötigten Themes unter «Design > Themes» löschen, wenn Du die jeweilige Detailansicht wählst. In der offiziellen Dokumentation wird davon abgeraten, das Standardtheme zu löschen. Da es ja mittlerweile einige Standardthemes gibt, denke ich, dass Du gut fährst wenn Du einfach das aktuellste Standardtheme behältst.

  5. Lieber Philipp!
    Danke für deinen Hinweis. – Inzwischen bin ich darauf gekommen, dass das Löschen grundsätzlich so geht, wie du es beschrieben hast.
    Allerdings betreibe ich mehrere Blogs und dabei habe ich festgestellt, dass dies nur bei einem möglich war. Bei den anderen fehlte nämlich der „Löschen“-Button unter „Design“ > „Themes“ (daher auch meine etwas laienhafte Frage :-().
    Vermutlich ist das so, weil ich die WP-Installation über meinen Hoster vorgenommen habe und da fehlen offensichtlich einige Dinge, wie z. B. auch der Editor.
    Nochmals danke für deine Antwort!
    Walter

Kommentar hinzufügen

Ihre E-Mail-Adresse wird nicht veröffentlicht.
Auszufüllende Felder sind mit einem * gekennzeichnet.

*
*
*
Einfache HTML Anweisungen wie a, strong, blockquote etc. sind möglich.

Hinweis

Wir behalten uns vor, Spam-, beleidigende oder anderweitig unpassende Kommentare zu entfernen.

← zurück zum Blog