Fünf Tipps für eine sichere WordPress-Website

Philipp Zeder
Autor:

Philipp Zeder

Kategorie:

in

CMS & Co.

Veröffentlicht am 7. Aug. 2014

Aktualisiert am 7. März 2024

Bei mittlerweile über 47% aller Websites, die mit einem Content-Management-System (CMS) betrieben werden, werkelt WordPress im Hintergrund.

Leider ruft diese Popularität auch so manchen auf den Plan, der böses im Schilde führt. Wir haben darum fünf Tipps zusammengestellt, mit denen Sie Ihre WordPress-Website zu einer Knacknuss für ungebetene Gäste machen.

1. Zwei-Schritt-Verifizierung

WordPress-Login mit aktiviertem Google Authenticator-Plugin

WordPress-Login mit aktiviertem Google Authenticator-Plugin

Die Zwei-Schritt-Verifizierung bietet eine weitere Sicherheitsschicht für Ihren WordPress-Benutzer. Zusätzlich zum Passwort ist für eine Anmeldung im WordPress-Backend ein Zahlencode nötig, der mit Hilfe einer geeigneten Smartphone-App erzeugt wird.

Das Plugin Google Authenticator hat in unserem Test mit der aktuellsten WordPress-Version (3.9.2) einwandfrei funktioniert.

2. Plugin-Pflege

Plugins sind praktisch. Dennoch sollten Sie jede weitere Plugin-Installation überdenken, weniger ist hier mehr. Machen Sie sich vor einer Plugin-Installation über folgende Punkte Gedanken:

  • Brauche ich die Funktion wirklich?
    Vielleicht bringt das gewünschte Plugin eine Funktion mit sich, die «nice-to-have» wäre. Installieren Sie zusätzliche Plugins nur dann, wenn Sie diese auch regelmässig verwenden. Deaktivierte Plugins schützen beim Aufreten von Sicherheitslücken nicht. Entfernen Sie deshalb ein Plugin, wenn Sie es nicht mehr verwenden.
  • Wie steht es mit der Qualität des Plugins?
    Ohne Programmierkenntnisse lässt sich die Qualität des Plugin-Codes nicht beurteilen. Nutzen Sie bei Ihrer Analyse daher die Angaben, die Ihnen im Plugin-Verzeichnis zur Verfügung stehen.

    • Wird das Plugin regelmässig aktualisiert?
    • Wie frisch sind die Diskussionen im Support-Bereich?
    • Was fördert eine Google-Suche nach «[Name des Plugins] Sicherheit» zu Tage?

Wichtig: Eine grosse Anzahl an Downloads sagt nichts über die Qualität eines Plugins aus. Die Wahrscheinlichkeit, dass auftretende Sicherheitslücken schnell gestopft werden, ist aber vermutlich grösser als bei unpopulären Plugins.

3. Standfeste Themes

Die oben erwähnten Punkte lassen sich auch auf Themes anwenden. Installieren Sie nur wirklich benötigte Themes und löschen Sie solche, die Sie nicht verwenden.

Erste Anlaufstelle für Themes ist das Verzeichnis unter wordpress.org. Dort finden Sie zudem auch eine Übersicht an kommerziellen Anbietern.

4. Dateiberechtigungen richtig setzen

WordPress setzt Dateiberechtigungen von Haus aus bereits richtig (644 für Dateien sowie 755 für Verzeichnisse).

Für die Konfigurationsdatei wp-config.php empfehlen wir die Berechtigung 400, so kann diese nur noch vom Dateibesitzer (Ihrem Webhosting-Benutzer) gelesen werden. Da Änderungen an der Datei in der Regel nach der Installation nicht mehr nötig sind, muss die Datei nicht schreibbar sein.

5. Updates sind das A und O

Der wichtigste Punkt zum Schluss: Halten Sie Ihre WordPress-Installation immer auf dem neusten Stand. Seit Version 3.7 macht es einem WordPress hier besonders einfach. Sicherheitsupdates für den WordPress-Core werden automatisch eingespielt.

Übrigens: Wenn Sie WordPress mit Hilfe unseres Scriptcenters installieren, können Sie auch Plugins und Themes automatisch aktualisieren lassen.

Unser Lesetipp

Möchten Sie noch mehr über Sicherungsmöglichkeiten für WordPress erfahren? Der Artikel Hardening WordPress (in Englisch) ist die erste Anlaufstelle dafür, wenn es um das Thema WordPress-Sicherheit geht.

Haben Sie weitere Tipps für eine sichere WordPress-Installation? Können Sie Sicherheitsplugins empfehlen? Wir freuen uns auf Ihren Kommentar.

Beteilige dich an der Diskussion

12 Kommentare

Kelly Müller Zürich
Kelly Müller Zürich 21. Apr. 2019 13:37

Hallo zusammen
Auf der Suche nach einem Beitrag über das Thema wie mache ich meine WordPress Seite sicher, bin ich hier gelandet.

Meine Frage ist wenn ich auf meiner Seite ein Gratis SSL-Zertifikat herunter geladen habe und es im browser liste immer als nicht sicher deklariert wird .An was kann das liegen?

Mit freundlichen Grüßen

Tom Brühwiler
Tom Brühwiler cyon
21. Apr. 2019 14:10

Hallo Kelly, in dem von Dir beschriebenen Fall dürfte es sich um ein Problem mit «mixed content» handeln. In unserem Supportcenter unter «Mixed Content erkennen und bereinigen» findest Du mehr Informationen dazu, wie Du die Warnung los wirst. Beste Grüsse, Tom

Walter Bracun
Walter Bracun 24. Nov. 2014 14:52

Lieber Philipp!
Danke für deinen Hinweis. – Inzwischen bin ich darauf gekommen, dass das Löschen grundsätzlich so geht, wie du es beschrieben hast.
Allerdings betreibe ich mehrere Blogs und dabei habe ich festgestellt, dass dies nur bei einem möglich war. Bei den anderen fehlte nämlich der “Löschen”-Button unter “Design” > “Themes” (daher auch meine etwas laienhafte Frage :-().
Vermutlich ist das so, weil ich die WP-Installation über meinen Hoster vorgenommen habe und da fehlen offensichtlich einige Dinge, wie z. B. auch der Editor.
Nochmals danke für deine Antwort!
Walter

Walter Bracun
Walter Bracun 22. Nov. 2014 12:16

Hallo Philipp!
Wollte hier eigentlich erfahren, WIE bzw. WO ich die (drei) nicht benötigten Themes löschen kann, die bei jeder Neuinstallation von WP automatisch im Blog aufscheinen.
Ich benutze “Catch Box” und da ich nicht vorhabe auf ein anderes Theme zu wechseln, sind die 3 mitinstallierten Themes nur unnötiger Ballast. Allerdings habe ich noch nirgends gefunden, wie ich sie löschen kann.
Allerdings fällt mir da soeben ein, dass ich sie vermutlich auf meinem Website-Hoster im File-Manager löschen kann.
Sollte das nicht klappen, melde ich mich wieder hier. Vielleicht weißt ja du eine Lösung!?
Weiterhin alles Gute und viel Erfolg!
Walter Bracun

Philipp Zeder
Philipp Zeder cyon
24. Nov. 2014 09:09

Hallo Walter
Du kannst die nicht benötigten Themes unter «Design > Themes» löschen, wenn Du die jeweilige Detailansicht wählst. In der offiziellen Dokumentation wird davon abgeraten, das Standardtheme zu löschen. Da es ja mittlerweile einige Standardthemes gibt, denke ich, dass Du gut fährst wenn Du einfach das aktuellste Standardtheme behältst.

guter-webhoster.de
guter-webhoster.de 14. Aug. 2014 09:14

Eure Tipps zu Plugins sind wirklich gut und treffen alle zu.

Was ich nicht verstehe, wieso Dateiberechtigungen auf 755 oder 644 gesetzt werden sollen. Die dritte Ziffer ist ein Recht für other auf dem Unix-System. Es kann auf 0 stehen, wenn der User der den Webserver gestartet hat entweder in der Gruppe der die Datei gehört oder der Besitzer selbst ist.

Das Google Plugin zur doppelten Authentifikation kannte ich noch nicht. Was sich natürlich auch anbietet ist ein htaccess Schutz.

Darüber hinaus sollte WordPress selbst auch immer aktuallisiert werden. Ein zusätzliches Sicherheitsplugin ist WordFence.

Philipp Zeder
Philipp Zeder cyon
14. Aug. 2014 10:58

Bei uns läuft PHP unter suPHP, somit werden PHP-Dateien jeweils unter dem eigenen Benutzer ausgeführt. Hier wäre theoretisch auch eine niedrigere Berechtigung für die Dateien möglich (also z.B. 600, wenn Änderungen an der Datei durch PHP möglich sein sollen). Alle anderen Dateitypen werden jedoch direkt durch den Webserver (Apache) ausgeliefert, der bei uns unter dem Benutzer «nobody» ausgeführt wird. Ohne Leseberechtigung für other könnte der Webserver auf diese Dateien nicht mehr zugreifen. Der Einfachheit halber empfehlen wir deshalb, die Berechtigungen für Dateien auf 644 zu setzen.

Martin
Martin 8. Aug. 2014 13:23

Nützliche Tipps!

Ein wenig ironisch ist allerdings, dass ausgerechnet Tipp 1 gegen Tipp 2 verstösst … ;)

Bei den Themes könnte man noch ergänzen, dass vor allem kommerzielle Themes meist Zusatzfunktionen oder gar zusätzliche Plugins mitbringen, die man allenfalls nicht benötigt. Solche Zusatzfunktionen und/oder zusätzlichen Plugins sollte man ebenfalls entfernen.

Philipp Zeder
Philipp Zeder cyon
11. Aug. 2014 09:24

Inwiefern verstösst Punkt 1 gegen Punkt 2? Meinst Du die Sicherheitslücke bei Multisite-Installationen oder den generellen Einbau von Plugins?

Kommerzielle Themes sind in der Tat oft mit Funktionen überladen. Offenbar verkaufen sich solche Themes einfach besser :)

Ben
Ben 11. Aug. 2014 17:15

Denke, Martin meint wahrscheinlich, dass der Entwickler vom Plugin Google Authenticator dieses nicht mehr aktiv pflegt.

Peter
Peter 7. Aug. 2014 19:23

Will keine Werbung machen, aber ich denke das Plugin “HIde My WP” auf CodeCanyon ist sicher ein effizienter Beitrag um WP sicherer zu machen. Kostet allerdings.

Philipp Zeder
Philipp Zeder cyon
11. Aug. 2014 09:00

Danke Peter. Für alle Interessierten hier der Link zur Herstellerseite: http://wpwave.com/