Mehr als 5 Sicherheitstipps für WordPress

WordPress ist das wohl weit verbreiteste Blog-System und kann für darüber hinaus gehende Zwecke eingesetzt werden. Leider werden aber auch WordPress-Seiten nicht von Hackern verschont. Hier finden Sie 5 Sicherheitstipps für WordPress.

Dieser Artikel ist nicht mehr aktuell und wird derzeit überarbeitet.

Tipp 1: Setze Plugins und Themes mit Bedacht ein!

Jedes Plugin könnte eine weitere Sicherheitslücke öffnen. Besonders Programmieranfänger machen sich über die Sicherheit Ihrer PHP-Programme nur unzureichend Gedanken. Mein Tipp: Nie unnötige Plugins benutzen, und nur Plugins aus dem offiziellen Plugin-Verzeichnis mit Bewertungen ab 3 Sternen nutzen! Man braucht nicht für alles ein Plugin! Das selbe gilt bei Themes: Nutze am besten aktuelle, aktiv-weiterentwickelte Themes von seriösen Theme-Entwicklern. Das offizielle Theme-Verzeichnis ist eine gute Anlaufstelle, ich kann euch auch die Themes von ELMASTUDIO ans Herz legen.

Tipp 2: WordPress-Version unkenntlich machen

Wenn Bugs oder Exploits einer bestimmten WordPress-Version bekannt werden, versuchen Hacker, genau diese Versionen zu finden und ebendiese Exploits anzuwenden. Dabei hilft Ihnen das Meta Generator Tag von WordPress, das standartmäßig auf jeder WordPress-Seite erscheint:

Ein Blick in den Quelltext des Fachmagazins drweb.de verrät uns zum Beispiel:

Das Meta-Generator-Tag zeigt uns, dass bei drweb.de WordPress 3.4.2 läuft.

Das Meta-Tag zeigt, dass diese Website mit WordPress läuft und die Version 3.4.2 benutzt. Wenn jetzt die nächste WordPress-Version erscheint und etwaige Bugs der Version 3.4.2 bekannt werden, könnten sich das Hacker zunutze machen.

Dabei kann das verräterische Meta-Tag mit einer Zeile Code in der functions.php des aktiven Themes entfernt werden:

<?php remove_action('wp_head', 'wp_generator'); ?>

Einfach ans Ende der functions.php durch den Design-Editor kopieren und abspeichern – Das Meta-Tag ist weg. Vielen Dank an Jan!

3. Sicherer Admin-Username

Bei der Einrichtung von WordPress schlägt WordPress unter anderem den Admin-Username admin vor. Das ist bei vielen WordPress-Seiten der Fall! Wählt einen anderen Namen als Admin – beispielsweise könntet Ihr eine Kombination aus eurem Spitznamen, eurem Geburtstag und dem Namen eures ersten Haustiers wählen.

Bedenkt: Wenn Ihr admin wählt, müssen Hacker nur noch euer Passwort knacken, nicht aber den Usernamen!

4. Sicheres Admin-Passwort

Ja, der Admin-Bereich ist das Herzstück von WordPress. Wer sich hier unbefugt Zutritt verschafft, kann ernome Schäden verursachen, die vielleicht auf den ersten Blick nicht einmal zu erkennen sind. Deshalb: Wählt ein sicheres Admin-Passwort!

Folgt am besten folgendem Schema: In eurem Passwort sollten Großbuchstaben, Kleinbuchstaben und Zahlen vorhanden sein.

Falls das nicht der Fall ist – ändern!

5. Schützt euer Kontaktformular!

Ein ungeschütztes Kontaktformular öffnet Bots Tür und Tor. Ein gezielter Angriff durch Bots kann eure gesamte Website lahmlegen, ohne dass ihr etwas dagegen tun könnt.

So schützt Ihr euch vor Bots: Baut ein Captcha ein!

Die meisten großen Kontaktformular-Plugins bieten die Einstellung, Captchas zu integrieren. Bitte tut dies! Das hält einen Großteil von automatisierten Zugriffen auf eure Seite auf. Bitte achtet aber darauf, dass das Captcha keine zusätzliche Barriere errichtet, also dass es für Menschen mit einer Sehschwäche oder anderen Einschränkungen lösbar ist. Hierfür eignet sich aufgrund der Audio-Ausgabe und der hohen Sicherheit das Recaptcha von Google.

6. Aktives WordPress-Theme verbergen!

 Wusstet ihr, dass der Quelltext eurer Seite euer verwendetes WordPress-Theme verrät? Nein? Dann zeige ich euch noch einen Ausschnitt des Quelltextes von drweb.de:

Hier lässt sich einfach ablesen, dass diese Seite das Theme magazine basic verwendet.

Ja und? Was ist denn daran schlimm?

Das kann ich euch sagen: Wenn Sicherheitslücken oder Exploits seines WordPress-Themes bekannt werden, kann man unter anderem gezielt nach diesen anfälligen Themes suchen.

So könnt ihr euch schützen!

Es bedarf nur zwei kleine Änderungen, um euer wirkliches WordPress-Theme zu verschleiern. Hierbei müsst ihr einfach den Theme-Editor öffnen und in das Stylesheet (style.css) ganz oben eine Text Domain festlegen. Standartmäßig wäre das hier einfach twentytwelve – das bezeichnet den Namen des Ordners, in dem euer Theme auf eurem Webspace zu finden ist. Hier könnt ihr eintragen, was ihr wollt, zum Beispiel einen einzelnen Buchstaben:

Text Domain anpassen!

Nun speichert ihr die style.css ab und verbindet euch via FTP mit eurem Webspace.

Nun navigiert ihr in euren WordPress-Ordner und wechselt zu /wp-content/themes/ dort findet ihr euer Theme Twenty Twelve in dem Ordner twentytwelve. Jetzt müsst ihr diesen einfach umbenennen, in meinem Fall wäre das einfach ein a.

Jetzt müsst ihr euer Theme im Dashboard erneut aktivieren, und fertig! Und so sieht euer Quelltext jetzt aus!

Euer neuer, angepasster Quelltext 😉

Hier noch einmal die Kurzfassung:

Text Domain [neuername] in die style.css

Theme in [neuername] umbennen

Das wars schon! Denkt bitte daran, dass bei der Text Domain keine Leerzeichen benutzt werden sollten.

Weitere Tipps:

Benutzt die aktuellste Version von WordPress!

(Tipp von Alexander Schestag)

Mit jeder neuen Version von WordPress werden Sicherheitslücken geschlossen und neue Features hinzugefügt. Aber allein aus Sicherheitsgründen empfiehlt es sich, immer die neuste Version zu benutzen. Schaut deshalb immer nach Aktualisierungen in eurem Dashboard!

Haltet auch eure Plugins und Themes aktuell!

Aus den selben Gründen, die für die Aktualität des gesamten WordPress-Systems sprechen: Die Theme- und Plugin-Entwickler korrigieren Fehler und entfernen Sicherheitslücken – Jedes Plugin stellt an sich ja schon eine potentielle Sicherheitslücke dar.

Was sind eure Sicherheitstipps?

27 Antworten auf „Mehr als 5 Sicherheitstipps für WordPress“

  1. Super Tipps, die hatte ich vor einer Weile bereits auf meiner Internetseite umgesetzt. Bei mir wird laut dem einem Sicherheitsplugin die WordPressversion gar nicht angezeigt. Liegt wahrscheinlich auch daran, das mir Artisteer (nen Themegenerator für WP etc) sowas erst gar nicht einbaut.

    1. Vielen Dank für dein Feedback!

      Ja, das kann sein, dass Artisteer das generell entfernt – ist auch eine gute Sache. Bei den anderen Themes ist das aber standartmäßig aktiviert, da es einen Zusatz in der functions.php benötigt.

  2. Ein paar Tips sind durchaus sinnvoll, ein paar eher homöopathisch und nicht so sinvoll. Die WordPress-Version unkenntlich zu machen, nützt auch nichts, wenn man WordPress nicht aktuell hält. Angreifer (nicht Hacker, das sind Menschen, die sich für Technik interessieren und dabei helfen, Sicherheitslücken aufzudecken, aber keine Kriminellen) können mit ganz anderen Mitteln rauskriegen, ob es sich um ein WordPress handelt. Das würde ich daher durch den Tipp „Regelmäßige Updates“ machen.
    Auch nicht sinnvoll sind Captchas. Ihr sperrt damit unter Umständen Menschen mit Sehbehinderungen aus, während Bots in aller Regel gar kein Problem mehr damit haben, Captchas zu umgehen. Es gibt sinnvollere Spamschutzmaßnahmen wie ein Feld mit der Beschriftung „Dieses Feld nicht ausfüllen“. Menschen, auch Menschen mit Sehbehinderungen, können das lesen, während die meisten Bots das Feld blind ausfüllen

    1. Hallo Alexander, vielen Dank für deinen Kommentar. Du hast Recht, man würde auch anders darauf kommen, dass WordPress installiert ist. Immer die aktuelle WordPress-Version zu nutzen, ist eine gute Strategie, ich werde das hinzufügen.

      Captchas sind nicht immer eine Barriere. So unterstützt ReCaptcha auch die Audio-Ausgabe und Screenreader. Ich stimme dir allerdings insofern zu,dass nicht alle Captchas sowas bieten.

      1. Das mit der Audioausgabe ist richtig. Aber das ist nicht vollständig barrierefrei. Es gibt Menschen, die nicht nur blind sind, sondern auch nicht gut hören oder gar zusätzlich gehörlos sind, also taubblind. Auch taubblinde Menschen können das Netz dann immer noch über eine Braillezeile verwenden. Leider unterstützt kein Captcha Braillezeilen. Zudem sind viele Captchas schon für Normalsichtige so schlecht lesbar, dass man damit eine unnötige Barriere für alle einbaut. Besser sind wie gesagt Schutzmaßnahmen, die der normale User ignorieren kann oder die er gar nicht mitbekommt.

        1. Gut, da muss ich dir Recht geben. Wie du schon sagst, muss man eben einen Mittelweg finden, der auf der einen Seite keine zusätzlichen Barrieren aufbaut, auf der anderen Seite aber die Sicherheit erhöht. Das ist ja die Problematik an der Thematik.

  3. Für mich ein Muss in jeder WordPress-Website sind drei Sicherheits-PlugIns: Bulletproof Security (das legt eine Art Firewall um die .htaccess), Block Bad Queries (BBQ) (Angriffe über die URL werden abgewehrt und Login Limit Attempts (um die Anzahl von Anmeldeversuchen über die Anmeldemaske zu reduzieren).

    Und natürlich ein regelmäßiges BackUp, um die Seite schnell wiederherzustellen, wenn es doch mal ein Problem gab. Ich verwende dafür BackUpWordPress.

    Ich stimme Alexander zu, dass Captchas eine eher problematische Schutzmaßnahme sind. Der ein oder andere „echte“ Besucher kann dadurch davon abgehalten werden, ein Kontaktformular zu benutzen – und das würde ich nicht wollen. Dann besser ein Blindfeld oder ähnliches und ein gutes Antispam-Tool.

    1. Hallo Michaela,

      Sicherheits-Plugins habe ich in diesem Artikel bewusst außen vor gelassen, da ich in einem gesonderten Artikel darüber schreibe.

      Der von Alexander genannte Punkt ist richtig, da stimme ich euch zu. Es kommt eben immer auf die Implementierung an.

      Die Plugins, die du nanntest, sind hilfreiche Plugins. Ich selber verwende für Backups jedoch lieber einen Crontab, der mir die Datenbanken und Dateien täglich sichert. Hier habe ich volle Transparenz und Effizienz. Limit Login Attempts werde ich mir mal anschauen.

  4. Hallo Pascal,

    sorry, ich wollte das Thema des Artikels natürlich nicht „sprengen“ mit meinen Plugin-Tipps … Ich bin in jedem Fall auf Deinen Artikel zum Thema Sicherheits-PlugIns gespannt und habe gerade mal meinen Feedreader mit Deinem Blog gefüttert 🙂

    Viele Grüße
    Michaela

    1. Hallo Michaela,

      Vielen Dank!
      Derzeit verändere ich die Hosting-Umgebung dieser Seite. Deshalb bin ich momentan an der Technik beschäftigt. Ich lege vor allem Wert auf ausführliche Recherche, bevor ich einen Artikel verfasse – aber mit dem Feedreader bleibst du ja auf dem Laufenden!

  5. Hallo Pascale, erst einmal danke für deinen Artikel. Könntest du noch hinzufügen wie man eventuell das angewendete Theme im Quellcode unkenntlich macht? Konnte dazu bis jetzt leider keine Information finden…

    Beste Grüße S.

  6. Danke für den interessanten Artikel.
    Aber zum Thema „Tipp 2: WordPress-Version unkenntlich machen“ möchte ich noch ergänzen, dass das Einfügen des beschriebenen Quellcodes in der functions.php nur dann richtig funktioniert, wenn man es so schreibt: „“.
    Es fehlen also „“ am Ende. Dann klappt das prima.

    Viele Grüße und schöne Feiertage
    Jan B. Otte

  7. Klappt so nicht. Das Formular filtert den geposteten Code konsequent heraus. Auf jeden Fall sollte die Anweisung in der functions.php so geschrieben sein, dass WordPress weiss, dass es sich um PHP-Code handelt…

    1. Entschuldige,

      Ich muss das wohl etwas großzügiger konfigurieren, in letzter Zeit gab es extrem viele Angriffe – Schick mir deinen Kommentar doch mal per Mail. Ich habe tatsächlich vergessen, dass man den Code in den PHP-Block einbetten soll. Ich werde das korrigieren.

    1. Vielen Dank für dein Lob, Ich freue mich natürlich, so etwas zu hören.

      Ich wünsche dir auch schöne Feiertage – wenn die Welt widererwartend doch nicht untergeht 😉

  8. Hallo Pascale, tolle Artikel!
    Ich habe versucht das theme, wie du es oben beschreibst, unkenntlich zu machen. Es funktioniert aber die Konfigurationen der Seite (betreffend Aussehen) sind dann weg… . Weißt du wie man das verhindern kann?
    Servus aus Wien!

  9. Hallo Pascale,
    das Aussehen der Seite ist dann, als konnte das Theme nicht richtig geladen werden (nur die Farben und Hintergründe vom Theme werden geladen) . Das content und Konfigurationen die über den admin panel vom Theme eingegeben wurden sind auch weg.

  10. Hallo Felix,

    Gut, dann habe ich es richtig verstanden. Allerdings war das bei mir noch nie das Problem: Bei dem Standart-Theme twentytwelve nicht, das ich hier als Beispiel genannt habe und auch bei anderen Projekten. Welches Theme verwendest du denn?

    Und vor allem kannst du ja einfach alles erneut konfigurieren, das ist dann natürlich schade drum, aber der einmalige Aufwand lohnt ja.

      1. Hey Felix,

        Es tut mir Leid, dass ich dir anders nicht helfen kann – ich vermute wirklich, dass das einfach ein Problem in deinem Theme ist 😉

        Aber gern geschehen!

    1. Willkommen zurück, Felix,

      Das freut mich, dass das Theme sowas mitbringt, erleichtert dir ja eine Menge Arbeit.

      Falls ich dir sonst helfen kann oder du Fragen hast, kannst du dich gerne bei mir melden, auch via

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.