Gleich vorab: WordPress ist nicht sicher, oder unsicherer wie andere CMS Systeme. Zwar hat WordPress weltweit einen Marktanteil von knappen 60% und ist damit auch immer wieder im Fokus von Hackern, dafür ist die Community hinter WordPress aber auch sehr aktiv und schliesst bekannte Lücken extrem schnell.

Damit gilt für WordPress die gleiche Vorgehensweise wie bei allen Website-Installationen:

1) WordPress Backups

Der erste und zugleich sicherste Schutz sind Backups. Zwar verhindern diese keine Angriffe, machen es dafür aber um so leichter, nach einem erfolgten Angriff auf „normal“ zurückzustellen. Natürlich ist das Backup in der Kette der Absicherung einer WordPress-Installation am Ende die letzte Maßnahme, aber somit auch das doppelte Netz und darf daher nicht fehlen. Backups sollten so häufig wie nötig erstellt werden. Wer regelmäßig Beiträge verfasst / Kommentare erhält, sollte ebenso regelmäßig Backups erstellen. Wer WordPress als CMS nutzt und soweit keine inhaltlichen Änderungen vornimmt, sollte sich mit dem Backupintervall an der Häufigkeit der WordPress Updates orientieren.

2) Sichere Passwörter und sicherer Admin

Passwörter sind nervig, aber diese sichern letztlich den Adminbereich. Ein sicheres Passwort steht in keinem Wörterbuch und setzt sich nicht aus Jahreszahlen zusammen. Je länger und ausgefallener, je mehr Klein/Großschreibung, Sonderzeichen und Zahlen enthalten sind, je sicherer dürfte ein Passwort werden.

Faustregel: Wenn das WordPress Passwort schwer zu merken ist, ist das Passwort gut gewählt.

Gleiches gilt natürlich auch für FTP-Zugangsdaten und für den ersten User in der WordPress-Installation. Dieser sollte eindeutig nicht „admin“ heissen. Wer sein WordPress manuell installiert, kann den Usernamen frei vergeben. Wer eine one-klick Installation des WordPress Hosters verwendet muss ggf. später in die Trickkiste greifen und in der Datenbank den Namen des admins ändern. Wer nicht direkt in der Datenbank hantieren will (vorher Backup erstellen), der kann das mit einem Plugin lösen.

3) Regelmäßige Updates von WordPress

Sicherheitslücken können immer auftreten und sollten daher schnellstmöglich geschlossen werden. Dies gilt für alle 3 Bereiche gleichermassen: WordPress Core-Dateien, WordPress Plugins und WordPress Themes. Seit WordPress 3.9 werden auch Autoupdates angeboten, so muss sich der Anwender nicht einmal mehr um die Updates kümmern. Jedoch können Updates von Natur aus auch Probleme bereiten und die Website / den Blog (teilweise) ausser Funktion setzen. Daher ist das Backup so wichtig um auch in diesem Fall sicher auf die zuletzt funktionierende Version zurückgreifen zu können.

Ich persönlich halte jedoch nicht viel von Autoupdates, daher führe ich die Updates manuell durch. Dies ändert jedoch nichts an der Tatsache, dass Updates regelmäßig mit vorherigem Backup erfolgen sollten.

4) Weniger ist mehr – Plugins nicht in Hülle und Fülle

Plugins sind klasse: Innherhalb weniger Sekunden lässt sich WordPress um unzählige Funktionen erweitern. Da liegt natürlich der Versuch nahe, aus der WordPress Installation eine Eierlegende Wollmilchsau zu machen. Grundsätzlich spricht nichts dagegen und meist funktioniert das auch einwandfrei. Es können dadurch aber auch ungewollte Sicherheitsprobleme entstehen, die in erst in der Konstellation der verwendeten Plugins auftreten. Dies gilt übrigens nicht nur für die Sicherheit, sondern u.U. auch für die Performance der WordPress-Installation. Aus einem schnellen WordPress, kann eine nervtötend langweilige Geschicht werden.

Fazit: Plugins sind cool und grundsätzlich keineswegs schlecht. Jedoch sollten Plugins möglichst sparsam zum Einsatz kommen. Zudem darauf achten, wie häufig die Plugins aktualisiert werden. Denn wurde ein Plugin schon seit Monaten, oder gar Jahren nicht mehr aktualisiert, werden gerade auch Sicherheits- und Performanceprobleme eher wahrscheinlich.

5) Worpdressprojekte getrennt hosten

Worpdress Hosting kostet heute wirklich nicht mehr die Welt. Daher sollten unterschiedliche WordPress-Installationen idealerweise auch in getrennten Webspace-Paketen (bei Servern in unterschiedlichen Vhosts) gehostet werden. Das verhindert den Übergriff von Schadcode auf andere Installationen – die übrigens nicht unbedingt WordPress sein müssen. Generell: Je Projekt ein Webspace, dann würde ein möglicher Schaden im Vorfeld deutlich eingegrenzt.

6) wp-admin über SSL

Wenn das WordPress Webpaket über SSL (auch mit selbst beglaubigte Signatur) verfügt, schalte die SSL Verschlüsselung zumindest für den wp-admin ein. Dies geht über die wp-config.php – dort einfach

define('FORCE_SSL_ADMIN', true);

hinzufügen.

7) WordPress Theme und Plugin Editor abschalten

Wer ohnehin kein Theme oder Plugin-Entwickler ist, sollte den WordPress Editor abschalten. Und selbst wenn: (S)FTP ist meist die sicherere und komfortablere Variante. Daher den internen Editor für Plugins und Themes deaktiveren. Dies ebenfalls in der wp-config.php

define('DISALLOW_FILE_EDIT', true);

8) wp-config.php und .htaccess schützen

Wenn das Projekt fertiggestellt ist, alle Permalinks richtig eingestellt sind und alles perfekt läuft, sollten die wp-config.php und die .htaccess auf CHMOD 444 gestellt werden. Damit kann dass WordPress Backend zwar nicht mehr in diese Dateien schreiben, aber das ist auch gut so und ja dann auch nicht mehr erforderlich.

9) Und wenn es doch passiert ist…?

Deine WordPress Website wurde gehackt? Dann kannst Du Dir hier weitere Hilfe holen!