Dein WordPress-Basisschutz – die 3 wichtigsten Grundregeln

Zuletzt aktualisiert am 14 März, 2022

Geschrieben in: WordPress

0 Kommentare

Basisschutz für WordPress

In den vergangenen Tagen sind wir von einem Kunden gefragt worden, was er tun könnte, um einen ersten vernünftigen Grundschutz auf seiner WordPress-Installation einzurichten. Diese Frage veranlasste uns, die Antworten hier aufzuschreiben und mit dir zu teilen.

Updates einspielen! Immer wieder.

Halte dein WordPress stets aktuell. Auch wenn bereits in zeitlichen Abständen dein Handy, dein Rechner oder andere technische Geräte mit Update-Hinweisen nerven: auch deine WordPress-Installation benötigt auf dem Gebiet etwas Fürsorge.

Seit der Version 5.6. ist die automatische Aktualisierung standardmäßig aktiviert. Die Einstellungen dazu findest du im Admin-Bereich unter „Dashboard – Aktualisierungen“. Ist die automatische Update-Funktion deaktiviert, wirst du spätestens beim Login in das Admin-Backend auf verfügbare Updates hingewiesen und kannst dort die Aktualisierung einspielen.

Menü Aktualisierung im WordPress Backend
WordPress Aktualisierung

Die WordPress-Entwickler sind beim Bereitstellen von Patches für bekannt gewordene Schwachstellen meist sehr schnell. Das hat den großen Vorteil, dass Angreifern nicht unendlich viel Zeit gegeben wird, um eine Sicherheitslücke auszunutzen. Updates lohnen sich also umso mehr.

Tipp

Erstelle regelmäßig ein Backup. In welcher Häufigkeit du das tust, solltest du daran bemessen, wie oft du selbst an deinem WordPress arbeitest und neue Inhalte einfügst. Bei jeder Plugin-Installation, jedem WordPress-Update kann unter Umständen ein Fehler auftreten. In diesem Falle hast du dann eine Sicherung, die du zügig wieder online bringen kannst.

Und bevor du auch nur daran denkst, aus Angst vor Installationsfehlern lieber auf quälende Aktualisierungen zu verzichten, geben wir dir folgenden Rat: Updates und Backups sind deutlich besser, als die Folgen eines Angriffs!

Auch Plugins benötigen Updates

Für installierte Plugins gilt das Gleiche wie für WordPress selbst. Zur Verfügung stehende Updates schnellstmöglich einspielen. Auch hier kannst du das Vorgehen automatisieren oder aber – wenn du dich regelmäßig ins Admin-Backend einloggst – das Update manuell anstoßen.

Aber Achtung

Anders als WordPress Core Updates werden Plugins von ihren jeweiligen Herstellern gewartet. Wenn sich hier Fehler einschleichen, ist die Behebung meist aufwändiger. Daher das Ganze nochmal: Halte immer ein aktuelles Backup bereit!

Die Plugin-Einstellungen finden sich im Menü unter „Plugins – Installierte Plugins“.

Automatische Aktualisierung von Plugins
Plugins automatisch aktualisieren

Noch etwas ganz wichtiges: Installiere wirklich nur die notwendigsten Plugins für den Betrieb deiner WordPress-Installation. Jedes weitere Plugin bläht dein WordPress nur unnötig auf, macht deine Webseite unter Umständen langsamer und kann darüber hinaus sogar zu einem Risiko werden. Dir als Endanwender kann es zusätzlich noch zunehmend schwerer fallen den Überblick zu behalten, wenn es beispielsweise unter den Plugins zu Konflikten und Fehlern kommt.

Eins muss dir klar sein, deine WordPress-Seite ist keine Spielwiese, sondern dein Business.

Theme-Update

Wenn du kein Eigenprogrammiertes Theme nutzt, benötigt auch das in aller Regel Updates. Sollte vom Entwickler die neueste Version bereitstehen, findest du sie mit den anderen Updates unter „Dashboard -> Aktualisierungen“.

Verwendest du dein Theme ohne irgendwelche Quellcode-Anpassungen, kannst du auf „Aktualisieren“ klicken.

Hinweis

Anpassungen an Widgets, Menüs und anderen Dingen im visuellen Editor sind für den Updateprozess unerheblich. Diese EInstellungen passieren meist in der Datenbank und nicht direkt im Quellcode

Hast du selbst Änderungen am Quellcode deines Themes vorgenommen, werden die manuellen Anpassungen mit dem Update überschrieben. Du solltest daher die neue Version testen, beispielsweise in einer lokalen Installation und auch dort die persönlichen Änderungen einfügen, bevor du das direkt Live-Betrieb tust.

Starke Passwörter verwenden

Noch immer stellen schlechte Passwörter ein großes Problem dar. Das gilt allgemein für alle Dienste, also nicht nur für WordPress. Sichere und individuelle Passwörter sind immer unabdingbar.

Wenn es dir schwer fällt, viele verschiedene Passwörter zu verwalten oder immer neue Passwörter auszudenken, kannst du Hilfsmittel benutzen.

Es gibt verschiedene Online-Dienste, mit denen du Passwörter generieren kannst. Einer der bekanntesten im deutschsprachigen Raum dürfte das Tool von Datenschutz.org sein.

Oder noch besser, du verwendest gleich einen Passwort-Manager mit integriertem Passwort-Generator. Wie der Name bereits andeutet, kannst du mit dieser Lösung nicht nur Passwörter generieren, sondern auch die kompletten Login-Daten speichern. Eine gutes Beispiel ist die Software KeePass von Dominik Reichl aus Metzingen.

KeePass kann sowohl auf den Betriebssystemen Windows, MacOS und Linux , als auch unter Android und iOS eingesetzt werden.

Zur Abschreckung gibts hier noch eine Sammlung der grausamsten Passwörter. Verwende diese bitte auf keinen Fall.

Nutze individuelle Benutzernamen

Bei der Installation einer neuen WordPress-Webseite wirst du aufgefordert, einen individuellen Benutzernamen zu vergeben. Das war bei früheren Versionen nicht der Fall, damals wurde standardmäßig der Benutzer „admin“ angelegt. Mit der steigenden Bekanntheit von WordPress wurde das irgendwann gefährlich, denn Angreifer mussten „nur“ noch das Passwort herausfinden, anstatt der Kombination aus Benutzer und Passwort. Das erschwert natürlich einem Kriminellen den Zugang zu deinem WordPress-System.

Halte bitte Abstand von Namen wie „admin“, „Administrator“ oder „root“. Verwende diese einfach zu erratenden Benutzernamen niemals!

Zu Spät?

Kein Problem! Du kannst einfach einen weiteren Benutzer mit Administrator Rechten anlegen und den alten danach löschen.

Die Einstellung dafür findest du im WordPress Backend unter Benutzer -> Neu hinzufügen.

Benutzer hinzufügen im WordPress Backend
Benutzer hinzufügen

Löschst du einen Benutzer, wirst du gefragt, was mit seinen ursprünglichen Artikeln passieren soll. Diese kannst du jetzt deinem neuen Benutzer zuweisen.

Schlussbemerkung

Die oben genannten Maßnahmen sind lediglich ein Mindestmaß für die Sicherheit deiner WordPress-Installation und sollten recht einfach umzusetzen sein. Auf diese Weise reduzierst du die Wahrscheinlichkeit eines Hacks schon recht deutlich.

Mit der Bekanntheit deiner Webseite wächst auch deine Verantwortung deinen Lesern und Kunden gegenüber. Du solltest dich dann keinesfalls nur auf die obigen 3 Tipps beschränken, sondern die Sicherheit deiner WordPress Webseite weiter ausbauen.

Schreibe einen Kommentar

Vielen Dank, dass du dich entschieden hast, einen Kommentar zu verfassen. Bitte denk daran, dass alle Kommentare gemäß unserer Kommentarpolitik moderiert werden und deine E-Mail Adresse NICHT veröffentlicht wird. Bitte verwende KEINE Keywords im Namensfeld. Wir freuen uns auf eine gute Konversation.