In den vergangenen Tagen sind wir von einem Kunden gefragt worden, was er tun könnte, um einen ersten vernünftigen Grundschutz auf seiner WordPress-Installation einzurichten. Diese Frage veranlasste uns, die Antworten hier aufzuschreiben und mit dir zu teilen.
Inhaltsverzeichnis
Updates einspielen! Immer wieder.
Halte dein WordPress stets aktuell. Auch wenn bereits in zeitlichen Abständen dein Handy, dein Rechner oder andere technische Geräte mit Update-Hinweisen nerven: auch deine WordPress-Installation benötigt auf dem Gebiet etwas Fürsorge.
Seit der Version 5.6. ist die automatische Aktualisierung standardmäßig aktiviert. Die Einstellungen dazu findest du im Admin-Bereich unter „Dashboard – Aktualisierungen“. Ist die automatische Update-Funktion deaktiviert, wirst du spätestens beim Login in das Admin-Backend auf verfügbare Updates hingewiesen und kannst dort die Aktualisierung einspielen.
Die WordPress-Entwickler sind beim Bereitstellen von Patches für bekannt gewordene Schwachstellen meist sehr schnell. Das hat den großen Vorteil, dass Angreifern nicht unendlich viel Zeit gegeben wird, um eine Sicherheitslücke auszunutzen. Updates lohnen sich also umso mehr.
Erstelle regelmäßig ein Backup. In welcher Häufigkeit du das tust, solltest du daran bemessen, wie oft du selbst an deinem WordPress arbeitest und neue Inhalte einfügst. Bei jeder Plugin-Installation, jedem WordPress-Update kann unter Umständen ein Fehler auftreten. In diesem Falle hast du dann eine Sicherung, die du zügig wieder online bringen kannst.
Und bevor du auch nur daran denkst, aus Angst vor Installationsfehlern lieber auf quälende Aktualisierungen zu verzichten, geben wir dir folgenden Rat: Updates und Backups sind deutlich besser, als die Folgen eines Angriffs!
Auch Plugins benötigen Updates
Für installierte Plugins gilt das Gleiche wie für WordPress selbst. Zur Verfügung stehende Updates schnellstmöglich einspielen. Auch hier kannst du das Vorgehen automatisieren oder aber – wenn du dich regelmäßig ins Admin-Backend einloggst – das Update manuell anstoßen.
Anders als WordPress Core Updates werden Plugins von ihren jeweiligen Herstellern gewartet. Wenn sich hier Fehler einschleichen, ist die Behebung meist aufwändiger. Daher das Ganze nochmal: Halte immer ein aktuelles Backup bereit!
Die Plugin-Einstellungen finden sich im Menü unter „Plugins – Installierte Plugins“.
Noch etwas ganz wichtiges: Installiere wirklich nur die notwendigsten Plugins für den Betrieb deiner WordPress-Installation. Jedes weitere Plugin bläht dein WordPress nur unnötig auf, macht deine Webseite unter Umständen langsamer und kann darüber hinaus sogar zu einem Risiko werden. Dir als Endanwender kann es zusätzlich noch zunehmend schwerer fallen den Überblick zu behalten, wenn es beispielsweise unter den Plugins zu Konflikten und Fehlern kommt.
Eins muss dir klar sein, deine WordPress-Seite ist keine Spielwiese, sondern dein Business.
Theme-Update
Wenn du kein Eigenprogrammiertes Theme nutzt, benötigt auch das in aller Regel Updates. Sollte vom Entwickler die neueste Version bereitstehen, findest du sie mit den anderen Updates unter „Dashboard -> Aktualisierungen“.
Verwendest du dein Theme ohne irgendwelche Quellcode-Anpassungen, kannst du auf „Aktualisieren“ klicken.
Anpassungen an Widgets, Menüs und anderen Dingen im visuellen Editor sind für den Updateprozess unerheblich. Diese EInstellungen passieren meist in der Datenbank und nicht direkt im Quellcode
Hast du selbst Änderungen am Quellcode deines Themes vorgenommen, werden die manuellen Anpassungen mit dem Update überschrieben. Du solltest daher die neue Version testen, beispielsweise in einer lokalen Installation und auch dort die persönlichen Änderungen einfügen, bevor du das direkt Live-Betrieb tust.
Starke Passwörter verwenden
Noch immer stellen schlechte Passwörter ein großes Problem dar. Das gilt allgemein für alle Dienste, also nicht nur für WordPress. Sichere und individuelle Passwörter sind immer unabdingbar.
Wenn es dir schwer fällt, viele verschiedene Passwörter zu verwalten oder immer neue Passwörter auszudenken, kannst du Hilfsmittel benutzen.
Es gibt verschiedene Online-Dienste, mit denen du Passwörter generieren kannst. Einer der bekanntesten im deutschsprachigen Raum dürfte das Tool von Datenschutz.org sein.
Oder noch besser, du verwendest gleich einen Passwort-Manager mit integriertem Passwort-Generator. Wie der Name bereits andeutet, kannst du mit dieser Lösung nicht nur Passwörter generieren, sondern auch die kompletten Login-Daten speichern. Eine gutes Beispiel ist die Software KeePass von Dominik Reichl aus Metzingen.
KeePass kann sowohl auf den Betriebssystemen Windows, MacOS und Linux , als auch unter Android und iOS eingesetzt werden.
Zur Abschreckung gibts hier noch eine Sammlung der grausamsten Passwörter. Verwende diese bitte auf keinen Fall.
Nutze individuelle Benutzernamen
Bei der Installation einer neuen WordPress-Webseite wirst du aufgefordert, einen individuellen Benutzernamen zu vergeben. Das war bei früheren Versionen nicht der Fall, damals wurde standardmäßig der Benutzer „admin“ angelegt. Mit der steigenden Bekanntheit von WordPress wurde das irgendwann gefährlich, denn Angreifer mussten „nur“ noch das Passwort herausfinden, anstatt der Kombination aus Benutzer und Passwort. Das erschwert natürlich einem Kriminellen den Zugang zu deinem WordPress-System.
Halte bitte Abstand von Namen wie „admin“, „Administrator“ oder „root“. Verwende diese einfach zu erratenden Benutzernamen niemals!
Kein Problem! Du kannst einfach einen weiteren Benutzer mit Administrator Rechten anlegen und den alten danach löschen.
Die Einstellung dafür findest du im WordPress Backend unter Benutzer -> Neu hinzufügen.
Löschst du einen Benutzer, wirst du gefragt, was mit seinen ursprünglichen Artikeln passieren soll. Diese kannst du jetzt deinem neuen Benutzer zuweisen.
Schlussbemerkung
Die oben genannten Maßnahmen sind lediglich ein Mindestmaß für die Sicherheit deiner WordPress-Installation und sollten recht einfach umzusetzen sein. Auf diese Weise reduzierst du die Wahrscheinlichkeit eines Hacks schon recht deutlich.
Mit der Bekanntheit deiner Webseite wächst auch deine Verantwortung deinen Lesern und Kunden gegenüber. Du solltest dich dann keinesfalls nur auf die obigen 3 Tipps beschränken, sondern die Sicherheit deiner WordPress Webseite weiter ausbauen.