Wenn du denkst, dass deine WordPress-Seite automatisch sicher ist, nur weil du ein Passwort hast, dann bist du schief gewickelt. In der Welt des Internets lauern überall Gefahren – und wenn du nicht aufpasst, wird dir deine Website schneller geklaut, als du „Backup“ sagen kannst.
Aber: Ein hundertprozent Schutz ist niemals möglich.
Im Folgenden werde ich dir ein paar generelle Schutzmaßnahmen mit auf den Weg geben, die deine Website schonmal um einiges sicherer vor Hacker- und anderweitigen Angriffen machen wird.
Inhaltsverzeichnis
Sichere Passwörter: Dein erstes Schutzschild
Fangen wir mit dem Offensichtlichen an, das viele trotzdem ignorieren: Passwörter. Dein Passwort sollte nicht „admin123“ oder der Name deines Haustieres sein. Benutz ein starkes Passwort – lang, kompliziert und möglichst unvorhersehbar. Und hey, das gilt auch für deinen Admin-Bereich. Setz die Hürde so hoch, dass selbst ein Profi-Hacker ins Schwitzen kommt. Nutze am besten einen Passwort Manager wie LastPass. Ist einfacher als du denkst.
Die Macht der Zwei-Faktor-Authentifizierung
Jetzt denkst du vielleicht: „Okay, ich hab ein starkes Passwort, ich bin sicher!“ Falsch gedacht. Ein Passwort ist gut, aber noch besser ist die Zwei-Faktor-Authentifizierung (2FA). Stell dir vor, ein Einbrecher will in dein Haus, hat deinen Schlüssel, aber vor der Tür steht noch ein Sicherheitsmann, der nach deinem Ausweis fragt. Genau das macht 2FA für deine Website. Es stellt sicher, dass nur du – oder jemand, der beide Schritte meistern kann – Zugang zu deiner Seite erhält. Im nächsten Kapitel dieses Kurses stelle ich dir ein einfach zu installierendes Plugin vor, welches deinen Admin Bereich über eine 2FA mit dem Google Authenticator schützt.
Halte deine WordPress-Version und Themes aktuell
Klar, Updaten ist nervig. Aber es ist wie Ölwechsel beim Auto: Wenn du es nicht machst, fliegt dir irgendwann der Motor um die Ohren. Mit jeder neuen WordPress Version werden Sicherheitslücken geschlossen. Dasselbe gilt für deine Themes und Plugins. Sorge dafür, dass alles immer auf dem neuesten Stand ist, denn veraltete Software ist eine offene Einladung für Angreifer.
Für jedes auf deiner Website installierte Plugin kannst du übrigens automatische Updates aktivieren. Falls eine automatische Aktualisierung mal fehlschlägt oder deine Seite kaputt macht, kannst du seit WordPress 6.6. jederzeit wieder auf die vorherige Version downgraden. Um automatische Updates für Plugins zu aktivieren, klicke einfach auf den entsprechenden Link im Übersichtstab deiner installierten Plugins.
Schränke den Zugriff auf den Admin-Bereich ein
Warum solltest du die Tür zu deinem Admin-Bereich für die ganze Welt offenlassen? Beschränke den Zugang zu deinem „wp-admin“-Verzeichnis. Du kannst zum Beispiel den Zugang nur von bestimmten IP-Adressen erlauben. Und wenn du dich von verschiedenen Orten einloggst, kannst du auch den Zugang mit einem einfachen Plugin auf deinen Standort beschränken. Je weniger Leute versuchen können, reinzukommen, desto sicherer bist du.
Ändere deine WordPress Login URL
Die Login URL für eine WordPress Website ist immer gleich und ist unter /wp-admin aufrufbar. Dies macht es für potentielle Hacker leicht. Es ist sicherer diese auf eine einzigartige Adresse abzuändern, die nur du kennst. Dies ist relativ einfach mit einem entsprechenden Plugin zu meistern. Ich habe dir das Plugin Perfmatters schon im letzten Kapitel empfohlen, hauptsächlich um deine Website schneller zu machen, aber es bietet ebenfalls die Option deine Login URL zu ändern.
Backups – Dein Lebensretter
Und jetzt kommen wir zum Punkt, den die meisten ignorieren, bis es zu spät ist: Backups. Mach regelmäßig Backups deiner Website. Stell dir vor, du arbeitest wochenlang an deinem Projekt und über Nacht wird deine Seite gehackt. Alle Daten futsch. Aber wenn du Backups hast, lädst du einfach die letzte sichere Version hoch, und schon bist du wieder im Spiel. Glaub mir, Backups sind wie ein Sicherheitsnetz, das dich vor dem freien Fall bewahrt. Wenn dein, wie bereits früher in dieser Schulung empfohlen, Hoster Raidboxes heißt, dann brauchst du dir darüber keinen Kopf machen. Von deiner Website wird in diesem Fall automatisch und regelmäßig eine Sicherungskopie erstellt.
HTTPS und SSL: Mehr als nur grüne Schlösser
Wenn du noch kein SSL-Zertifikat auf deiner Website installiert hast, wird es höchste Zeit. Nicht nur, weil es professioneller aussieht (grünes Schloss und so), sondern weil es den Datenverkehr zwischen deinem Server und dem Browser deiner Besucher verschlüsselt. Das bedeutet, selbst wenn jemand die Daten abfängt, kann er sie nicht einfach lesen. Deine Besucher vertrauen dir mehr, und Google belohnt dich auch noch dafür – Win-Win.
Content Security Policy (CSP) – Schutz vor schädlichem Code
Wenn wir schon bei technischen Sicherheitsmaßnahmen sind, darfst du die Content Security Policy (CSP) nicht vergessen. CSP schützt deine Website vor sogenannten Cross-Site-Scripting (XSS)-Angriffen, bei denen Hacker versuchen, schädlichen Code auf deine Seite zu schmuggeln. Im Grunde sagst du deinem Browser damit, welche Quellen vertrauenswürdig sind und welche nicht. Du legst fest, welche Skripte ausgeführt werden dürfen und welche nicht. Denk dran: Ein bisschen Vorsorge ist besser als später die Trümmer zusammenfegen.
Wie im Kapitel 5 Must Have Plugins bereits empfohlen, solltest du dir das Plugin Code Snippets installieren. Nachdem du es aktiviert hast, kopiere einfach untenstehenden Code und füge ihn in ein neues Snippet ein – Dies ist eine Basic CSP zum Schutz deiner WordPress Website.
if (!empty($_SERVER['HTTPS'])) {
function en_hsts_header($headers) {
$headers['Strict-Transport-Security'] = 'max-age=31536000; includeSubDomains; preload';
$headers["X-Frame-Options"] = "SAMEORIGIN";
$headers["X-Content-Type-Options"] = "nosniff";
$headers["X-XSS-Protection"] = "1; mode=block";
return $headers;
}
add_filter('wp_headers', 'en_hsts_header');
}Benutzerrollen
Ein weiterer Tipp: Wenn du mit mehreren Leuten an deiner Seite arbeitest, gib ihnen nicht gleich Admin-Rechte. WordPress hat verschiedene Benutzerrollen. Nutze sie! Nur wer wirklich die volle Kontrolle über deine Seite braucht, sollte Admin-Zugriff haben. Alle anderen kommen mit geringeren Rechten wunderbar klar.
Mach keine halben Sachen
Sicherheit ist kein einmaliger Aufwand, sondern ein Prozess. Du musst regelmäßig dranbleiben, deine Website pflegen und schützen. Klar, du kannst nicht jede Gefahr abwenden, aber du kannst es den Angreifern so schwer wie möglich machen. Sicherheit bedeutet nicht, dass nichts passieren kann – aber es bedeutet, dass du vorbereitet bist, wenn es soweit ist.
Im nächsten Kapitel dieses WordPress Kurses werde ich dir ein paar Plugin Empfehlungen, mit dem Ziel deine Website noch sicherer zu machen, mit auf den Weg geben. Außerdem werden wir uns im weiteren Verlauf noch mit der Website Überwachung und Wartung auseinandersetzen.