{"id":10139,"date":"2017-09-13T12:27:23","date_gmt":"2017-09-13T12:27:23","guid":{"rendered":"https:\/\/www.templatemonster.com\/de\/blog\/?p=10139"},"modified":"2017-09-13T13:33:36","modified_gmt":"2017-09-13T13:33:36","slug":"effektive-sicherheitsmassnahmen-fuer-wordpress","status":"publish","type":"post","link":"https:\/\/monsterspost.com\/de\/effektive-sicherheitsmassnahmen-fuer-wordpress\/","title":{"rendered":"Effektive Sicherheitsma\u00dfnahmen f\u00fcr WordPress"},"content":{"rendered":"

Grunds\u00e4tzlich ist WordPress ein sehr sicheres CMS. Ein gutes Passwort vorausgesetzt ist es relativ schwer zu knacken. Aufgrund des hohen Marktanteils (\u00fcber 25% aller Webseiten weltweit laufen derzeit auf WordPress) ist es trotzdem ein interessantes Ziel f\u00fcr potentielle Angreifer. Man sollte daher bei der Nutzung dieses CMS einige wesentliche Punkte beachten. Im folgenden Artikel gehe ich auf die wesentlichsten\u00a0 Sicherheitsma\u00dfnahmen f\u00fcr WordPress ein.<\/p>\n

1) Tipps zur Installation:<\/strong><\/h3>\n

Bereits bei der Installation von WordPress legt man die Grundlagen f\u00fcr einen sicheren Webauftritt. Wer WordPress manuell installiert, hat die M\u00f6glichkeit in der wp-config.php Sicherheitsschl\u00fcssel zu hinterlegen, die so genannten Secret Keys. Hier sollte man unbedingt auf individuelle, sichere und lange Kombinationen von Zahlen und Buchstaben zur\u00fcckgreifen. Bei der Installation \u00fcber den Browser \u00fcbernimmt diesen Teil WordPress automatisch und erledigt diesen Punkt, ohne dass sie es merken.<\/p>\n

Weiters ist es empfehlenswert das Standardpr\u00e4fix wp_ gegen ein individualisiertes Pr\u00e4fix austauschen, das je nach Projekt ge\u00e4ndert wird. Die Wahl des Pr\u00e4fixes wird im Browser bei der Installation abgefragt, hier tauscht man einfach das standardm\u00e4\u00dfig vorgegebene wp_ gegen wp_projektname_<\/p>\n

\"\"<\/p>\n

Als Benutzernamen sollte man nicht den eigenen Namen und auch nicht \u201eAdmin\u201c admin\u201c ,\u201ewordpress\u201c oder vergleichbare W\u00f6rter w\u00e4hlen und dass bei der Installation ein sicheres Passwort gew\u00e4hlt wird, ist selbstverst\u00e4ndlich. Nur zur Erinnerung: Ein sicheres Passwort<\/a> ist folgenderma\u00dfen aufgebaut: Es enth\u00e4lt Sonderzeichen, Gro\u00dfbuchstaben, Kleinbuchstaben sowie Ziffern und hat acht oder mehr Zeichen. Und: Jede Webseite sollte ein individuelles Passwort haben.<\/p>\n

\"\"<\/p>\n

2) Anmeldung im Backend beschr\u00e4nken, sichere Passw\u00f6rter erzwingen:<\/strong><\/h3>\n

Wer nach der sicheren Installation noch darauf achtet, dass die Anzahl der Anmeldeversuche beschr\u00e4nkt wird, macht es Angreifern nahezu unm\u00f6glich mit einer Brute-Force-Attacke in den Administrationsbereich einzudringen. Die Plugins Limit Login Attempts Reloaded<\/a> oder auch Limit Attempts by BestWebSoft<\/a> sind gute Beispiele f\u00fcr ein solche Sicherheitsplugins.<\/p>\n

Man kann bei diesen Plugins im Adminbereich definieren wie viele Anmeldeversuche gestattet sind, und IPs, die sich mehrmals falsch angemeldet haben, aussperren.<\/p>\n

\"\"<\/p>\n

3) Bei der Anmeldung neuer User:<\/strong><\/h3>\n

WordPress macht es neuen Nutzern leicht, sichere Passw\u00f6rter zu generieren, sie werden mit gr\u00fcner Farbe gekennzeichnet und k\u00f6nnen vom System selbst (durch den Klick auf einen Button) nach einem Zufallsprinzip erzeugt werden.<\/p>\n

Force Strong Passwords<\/a> unterst\u00fctzt diese Funktion und zwingt neue User bei der Vergabe eines neuen Passwortes, dass dieses Passwort sicher ist. Dies kann praktisch sein, wenn man eine Seite betreibt, auf die mehrere Personen Zugriff haben. Das Plugin verhindert, dass sich User - ohne dass der Administrator es bemerkt - unsichere Passw\u00f6rter beschaffen und somit die gesamte Webseite unwissentlich gef\u00e4hrden.<\/p>\n

4) Plugins richtig nutzen:<\/strong><\/h3>\n

Plugins sind nat\u00fcrlich ein beliebtes Einfallstor f\u00fcr Angreifer. Manche Plugins werden millionenfach verwendet und machen es Eindringlingen leicht \u00fcber Schwachstellen im Code einzudringen. Je mehr Plugins man verwendet, desto gr\u00f6\u00dfer wird nat\u00fcrlich die Gefahr. Plugins aus unklaren Quellen (Also nicht aus dem offiziellen WordPress-Plugin-Repository) sollte man eher vermeiden, denn die Entwickler dieser Plugins k\u00f6nnen schadenden oder fehlerhaften Code viel leichter einschmuggeln als Entwickler, die im Repository namentlich bekannt sind.<\/p>\n

5) Themes:<\/strong><\/h3>\n

\u00c4hnlich wie Plugins sind auch Themes von Drittherstellern und bieten somit Angreifern potentielle Einfallstore. Bei Themes hat man allerdings einen grossen Vorteil: Man ben\u00f6tigt maximal zwei (bzw. drei) von ihnen: Das aktuelle Fallbacktheme, das genutzt wird, wenn das gew\u00fcnschte Theme nicht mehr funktioniert und das Theme, das man gerade anwendet. Falls der Code im aktuellen Theme ge\u00e4ndert wurde, sollte man auch ein Child-Theme einsetzen um Datenverluste bei Updates des Themes zu vermeiden. Alle anderen Themes sollten auch ausserhalb der WordPress-Installation archiviert werden<\/p>\n

\"\"<\/p>\n

Themes sollten - genau wie Plugins - nur aus zuverl\u00e4ssigen Quellen bezogen werden: Entweder sie stammen aus dem WordPress Theme Repository, oder von einer anerkannten Quelle wie TemplateMonster. Wer sein\u00a0 WordPress-Theme selbst codet <\/a>\u00a0tr\u00e4gt nat\u00fcrlich auch selbst die Verantwortung f\u00fcr sauberen Code.<\/p>\n

6) Aktualit\u00e4t:<\/strong><\/h3>\n

Alle die Ma\u00dfnahmen, die bis jetzt besprochen wurden, nutzen nat\u00fcrlich nichts oder nur wenig, wenn die WordPress-Installation nicht regelm\u00e4\u00dfig auf den aktuellen Stand gebracht wird. Veraltete Plugins und veraltete Themes sind wie schadhafte T\u00fcren und Fenster eines Hauses. Eindringlinge nutzen Sie, um in das Innere zu gelangen.<\/p>\n

WordPress selbst, Plugins und Themes sollten daher regelm\u00e4\u00dfig aktualisiert werden. Dies kann mitunter recht anstrengend sein. Wer mehrere WordPress-Seiten betreibt und auf jeder Installation 20 oder 30 verschiedene Plugins nutzt, ist recht besch\u00e4ftigt. In dem Fall bieten sich Plugins an, die das Updaten selbst erledigen oder es gibt auch Plugins mit denen man alle WordPress-Installationen in einem Wartungscenter kontrollieren kann. F\u00fcr welche L\u00f6sung Sie sich entscheiden, ist letzten Endes egal, wichtig ist, dass sie regelm\u00e4\u00dfig updaten.<\/p>\n

\"\"<\/p>\n

7) N\u00fctzliche Plugins zur Erh\u00f6hung der Sicherheit:<\/strong><\/h3>\n

Im Grunde w\u00e4ren die bis jetzt beschriebenen Ans\u00e4tze eigentlich ausreichend. Wer es dennoch noch sicherer haben m\u00f6chte (oder muss), kann auch noch weitere Plugins einsetzen, die zus\u00e4tzliche Ma\u00dfnahmen ergreifen.<\/p>\n

Antivirus<\/a>\u00a0 oder Sucuri Security<\/a> \u00fcberpr\u00fcfen ob Malcode in die Installation geschmuggelt wurde und l\u00f6sen - falls die Plugins neuen, unautorisierten Code entdecken - einen Alarm aus.<\/p>\n

Wordfence Security<\/a> ist mit derzeit 22 Millionen Downloads das am h\u00e4ufigsten heruntergeladene WordPress-Sicherheitsplugin und erm\u00f6glicht eine Reihe von kombinierten Sicherheitsma\u00dfnahmen.<\/p>\n

8) Das Online-Editieren von Plugins und Themes deaktivieren<\/strong><\/h3>\n

Mit dem Online-Editor lassen sich WordPress Plugins und Themes direkt aus dem Administrationsbereich editieren. diese Funktion ist mehr als unsinnig. Entwickler werden ohnehin \u00fcber FTP auf den Server zugreifen und alle anderen werden nicht editieren. Schalten Sie diese M\u00f6glichkeit daher ab!<\/p>\n

Ihr m\u00fcsst dazu lediglich mit einem beliebigen FTP-Programm die Datei wp-config.php folgenderma\u00dfen bearbeiten:<\/p>\n