Zero Day Angriffe verhindern
Automatische Updates
WordPress ist sicherer, als die Konkurrenz. Dies liegt auch daran, dass Sicherheitsupdates vollautomatisch eingespielt werden.
Dies können Sie auch für einzelne Plugins aktivieren. Gerade Plugins sind regelmäßig von Sicherheitslücken betroffen – automatische Updates verhindern so meist effektiv Zero-Day-Angriffe.
Gleichzeitig kann es gefährlich sein, auf einer Live-Website Pluginupdates ohne vorheriges Testing vollautomatisch einzuspielen.
Während ein Update von WordPress selbst meist umfassend getestet wurde, schwankt die Stabilität je nach Plugin. Hier müssen Sie die Stabilität der Website gegen diese Sicherheitsfunktion abwägen.
Gegebenenfalls aktivieren Sie nur solche Plugins für automatische Updates, die für Sie besonders stabil sind und klammern solche aus, bei denen es in der Vergangenheit Probleme bei Updates gab.
Totalverlust verhindern
Automatische Backups
Wir empfehlen auf WordPress Backup Plugins zu verzichten – nach unserer Erfahrung führen diese wiederholt zu kritischen Problemen und aufgeblähten WordPress Installationen. Nach dem Separation of Concerns Ansatz sollte nicht ein System für sich selbst Backups erstellen.
Nutzen Sie externe Tools, wir empfehlen hierzu die Möglichkeiten der Serversoftware Plesk. Idealerweise richten Sie den Backupplan so ein, dass tägliche, inkrementelle Backups erstellt werden.
Viele Webhoster bieten auch eigene Backups auf dedizierten Backupservern an, manchmal gegen Aufpreis. Das ist gut und sinnvoll. Backups sollten jedoch stets redundant vorhanden sein, um eine zusätzliche Sicherheitsebene zu haben. Sie sollten autark selbst in der Lage sein, Backups zu erstellen und wieder einzuspielen – auch Teile davon, also einzelne Verzeichnisse, Dateien oder Datenbanken.
Für unsere Webhosting-Kunden kombinieren wir daher standardmäßig die Backups auf Serverebene und die individuellen auf Kundenebene.
Zugriffsrechte optimieren
Servereinstellungen
Viele Server sind so konfiguriert, dass möglichst jede Software auf diesen funktioniert. Dies führt häufig zu nicht optimalen Sicherheitseinstellungen für WordPress-Systeme.
Optimieren Sie daher die Dateizugriffsrechte und klassische Angriffsvektoren auf Serverebene.
Mit den WordPress-Tools von Plesk können Sie Ihre WordPress-Installation leicht absichern, ansonsten bitten Sie Ihren technischen Dienstleister um eine Prüfung der Zugriffsrechte.
Hacking erkennen und eingrenzen
Dateiänderungen überwachen
Ist das Kind erst einmal in den Brunnen gefallen, gilt es schnell zu agieren. Wurde Ihre WordPress-Website gehacked, können zwei Bereiche betroffen sein: die Datenbank oder die Dateien auf dem Server.
Änderungen in der Datenbank könnten beispielsweise veränderte Beiträge und Seiten sein, mit denen Hacker Schadecode verbreiten oder Werbung ausspielen können. Änderungen sind hier schwerer zuverlässig zu erfassen, so dass wir empfehlen nach einem erfolgreichen Hackingangriff schlicht ein intaktes Backup der Datenbank einzuspielen.
Dateiänderungen lassen sich hingegen leichter überwachen. Vor allem veränderte .php oder .htaccess-Dateien – ohne dass ein Update eingespielt wurde – sind ein starkes Warnsignal für einen Hacking-Angriff.
Für einige Kunden setzen wir daher ein Script ein, das regelmäßig – beispielsweise alle 15 Minuten – das WordPress-Verzeichnis auf Dateiänderungen hin überwacht.
Werden Änderungen festgestellt, wird eine E-Mail mit einer Liste der veränderten Dateien versandt. So lassen sich Anzahl und Zeitpunkt der betroffenen Dateien effektiv eingrenzen.
Dies reduziert den Aufwand für Analyse, Behebung und Wiederherstellung der Website nach einem erfolgreichen Hack merklich.
Fire & Forget oder Schlangenöl?
All in One Security Plugins
Firewall- und Virenscanner-Plugins haben ein elementares Problem: sie sind Teil des Systems, das geschützt werden soll.
Auch wenn die bisher veröffentlichte bzw. bekannte Sicherheitslücke in NinjaFirewall nicht kritisch war, zeigt dies, dass auch diese Plugins selbst Sicherheitslücken in das System bringen können.
Zusätzlich haben diese Plugins auch einen Effekt auf die Performance des Systems und es handelt sich um ein weiteres Plugin, das bei den WordPress Updates berücksichtigt werden muss.
Ähnlich wie bei Antivirenprogrammen für Windows ist der tatsächliche Schutz von All in One Security Plugins schwer einzuschätzen, nutzlos oder schädlich. Eine bessere Alternative empfehlen wir Ihnen im nächsten Kapitel.
Firewall & CDN
Cloudflare
Selten hat uns ein Security Tool so viel Spaß gemacht, wie Cloudflare. Der Einrichtungsaufwand ist für Techniker intuitiv und überschaubar.
Der größte Vorteil ist, dass Cloudflare bereits auf DNS-Ebene die Website schützt. Attacken werden also bereits abgewehrt, bevor sie den WordPress-Server erreichen. Mit Cloudflare werden nicht nur potentielle Angriffsversuche abgewehrt, sondern auch schädliche Bots und DDOS-Attacken.
Das Beste: Die Basis-Variante für Cloudflare ist kostenfrei und bietet bereits einen sehr guten Schutz. Wir empfehlen die Buchung der Pro-Variante für 20 $ im Monat für die praktischen PageSpeed-Beschleunigungen und eine erweiterte Bot-Erkennung.
Im besten Fall nutzlos
WP-Admin-Verzeichnis verstecken
Mit dem populären Plugin Hide my WP können Sie das /wp-admin/-Verzeichnis verstecken. Wir können den Einsatz nicht empfehlen.
Für Hacker stellt das Verstecken des WP-Admin-Verzeichnisses keine große Hürde dar. Das veränderte Verzeichnis lässt sich weiterhin herausfinden. Oft wird argumentiert, dass dies ja nur ein Baustein von vielen sei, um Angriffe in Summe zu erschweren.
Leider ist jedes zusätzliche Plugin in WordPress ein weiterer Angriffsvektor für Hacker und bringt potentiell eigene Sicherheitslücken mit. Das Plugin Hide my WP hatte zuletzt im November 2021 eine kritische Sicherheitslücke, das Plugin WPS Hide Login schon mehrere (1) (2).
Statt die Websitesicherheit zu erhöhen, wird also eine Tür für Hacker geöffnet.
unsichere Passwörter vermeiden
Passwort Richtlinien
Sichere Passwörter sind elementar, um die Sicherheit einer Website zu erhöhen. Doch die Vorgaben sollten auch umgesetzt werden.
Um dies zu erzwingen empfiehlt sich ein Password Policy Plugin. Sichere Passwörter sind möglichst lang und Sie versuchen gar nicht erst sich diese selbst zu merken – nutzen Sie hierfür einfach einen Passwort Manager.
Effektiver Schutz
2-Faktor-Authentifizierung
Egal ob das Passwort doch zu einfach war oder es anderweitig abgegriffen wurde: Dank der 2-Faktor-Authentifizierung ist ein effektiver Schutz vor unautorisiertem Zugriff möglich.
Hierbei wird zusätzlich zu den normalen Logindaten ein Token abgefragt, der über eine separate Smartphone-App abgerufen wird – von der Technik ähnlich, wie beim Online Banking.
Wir empfehlen den kostenlosen Anbieter 2FAS.
Wind aus den Segeln nehmen
Loginversuche limitieren
Automatisierte Scripts können tausende Loginkombinationen pro Sekunde durchprobieren. Dies können Sie effektiv verhindern, indem Sie die Anzahl der Loginversuche limitieren.
Nutzen Sie hierzu beispielsweise das kostenlose Plugin WPS Limit Login.
Sicher ist sicher
WordPress Websites sind reale Ziele für Hackingangriffe. Kein System ist perfekt abgesichert, jedes System bietet bekannte und unbekannte Sicherheitslücken.
Mit den von uns aufgezeigten Maßnahmen bekämpfen und erschweren Sie mehrere Angriffsvektoren: DDOS-Attacken, Phishing, Brute Force und viele mehr.
Die Einrichtung der verschiedenen Tools und Services gehen inzwischen leicht von der Hand und sind für Techniker keine größere Herausforderung. Vielleicht noch wichtiger: Für die Nutzer bleibt die Website weiterhin leicht erreichbar und bedienbar, da die Maßnahmen gezielt gegen klassische Angriffsmuster von Hackern wirken.
Unsere Empfehlung
Nehmen Sie sich die Zeit für einen effektiven Sicherheitsgewinn, während Sie auf unwirksame Maßnahmen verzichten.