Eine der wichtigsten Punke zur Absicherung des eigenen WordPress Blogs sind die richtige Nutzung von cleveren Schutzmechanismen wie
RICHTIGE und WICHTIGE .htaccess Regeln einbauen. Welche Regeln, dass erfährst du in einem weiteren Betrag.
functions.php Änderungen vornehmen im eigenen Child-Theme. Details dazu folgen.
Wirklich gute Schutz-Plugins einsetzen. Meines Erachtens sind die meisten aktuellen Plugins nicht wirklich gut, sondern machen unnötiges „Tam-Tam“ (also viel Lärm um nichts). Den Punkt PLUGINS werde ich nach und nach hier im Blog erläutern.
Nutzung von externen Schutz-Services. Auch diesen Punkt erläuterte ich demnächst hier.
WordPress-Sicherheit – Eine erste Übersicht
Um dir eine vollständige Übersicht zu geben, fasse ich hier die fünf Hauptsäulen der WordPress-Sicherheit zusammen. Wenn du diese Bereiche abdeckst, ist dein Blog sehr gut abgesichert:
Hinweis! Die nachfolgende Erwähnung von Plugins dient als Beispiel und stellt keine endgültige Bewertung dieser Plugins dar!
1. Die Basis: Updates und Benutzer-Management
Bereich
Wichtige Maßnahmen
Warum?
Updates (Die wichtigste Regel!)
Halte den WordPress-Core, alle Themes und alle Pluginsimmer aktuell.
Die meisten Hacks passieren durch bekannte Sicherheitslücken in veralteter Software.
Starke Passwörter
Nutze einzigartige, komplexe Passwörter (mindestens 12 Zeichen, Sonderzeichen, Zahlen) für alle Benutzer, besonders für Admins.
Schützt vor Brute-Force-Angriffen.
Zwei-Faktor-Authentifizierung (2FA)
Aktiviere 2FA für alle Admin-Konten.
Fügt eine zweite Sicherheitsebene hinzu (z.B. Code über eine App), falls das Passwort gestohlen wird.
Benutzerrollen
Nutze den Administrator-Account nur, wenn er wirklich gebraucht wird. Gib Mitarbeitern nur die nötigsten Rechte (z.B. „Autor“ statt „Administrator“).
Begrenzt den Schaden, wenn ein weniger wichtiger Account kompromittiert wird.
2. Absicherung des Zugangs (Login & Brute-Force-Schutz)
Bereich
Wichtige Maßnahmen
Warum?
Login-Limitierung
Beschränke die Anzahl der fehlgeschlagenen Login-Versuche (über Plugin oder .htaccess).
Verhindert, dass Bots unendlich viele Passwort-Kombinationen ausprobieren.
Bot-Schutz
Setze Dienste wie Google reCAPTCHA oder Cloudflare Turnstile ein.
Filtert automatisierte Login-Versuche und Spam effektiv.
XML-RPC deaktivieren
Deaktiviere XML-RPC, wenn du es nicht nutzt, da es oft für DDoS- und Brute-Force-Angriffe missbraucht wird (z.B. über .htaccess oder Plugin).
Entfernt eine bekannte Angriffsfläche.
3. Server- und Dateisystem-Härtung
Bereich
Wichtige Maßnahmen
Warum?
Backups
Richte automatische, tägliche Backups der gesamten Website (Dateien und Datenbank) ein und speichere diese extern.
Dein Notfallplan. Ermöglicht die schnelle Wiederherstellung nach einem Hack oder einem Fehler.
Dateibearbeitung verbieten
Füge define('DISALLOW_FILE_EDIT', true); in die wp-config.php ein.
Verhindert, dass Angreifer, die sich Zugang zum Admin-Bereich verschafft haben, Code direkt in Themes/Plugins einschleusen können.
Datenbank-Präfix
Ändere den Standard-Datenbank-Präfix wp_ in etwas Zufälliges.
Erschwert automatisierte SQL-Injection-Angriffe.
WP-Config-Schutz
Nutze .htaccess Regeln, um die sensible Datei wp-config.php vor externem Zugriff zu schützen.
Verhindert den Zugriff auf wichtige Zugangsdaten (Datenbank).
4. Code- und Traffic-Filterung (WAF & Scanning)
Bereich
Wichtige Maßnahmen
Warum?
Web Application Firewall (WAF)
Nutze einen Dienst wie Cloudflare oder ein Sicherheits-Plugin mit WAF (z.B. Wordfence, Sucuri), um Traffic zu filtern.
Blockiert bekannten bösartigen Traffic (bevor er deine Website erreicht).
Regelmäßiges Scannen
Setze ein Plugin ein, das die WordPress-Dateien und die Datenbank regelmäßig auf Malware, bösartigen Code und unbefugte Änderungen überprüft.
Frühzeitige Erkennung, falls sich doch etwas eingeschlichen hat.
5. Hosting-Umgebung
Bereich
Wichtige Maßnahmen
Warum?
Guter Hoster
Wähle einen Hoster, der sich auf WordPress spezialisiert hat und serverseitige Sicherheitsmaßnahmen (z.B. Firewall, isolierte Umgebungen, aktuelle PHP-Version) bietet.
Die Sicherheit beginnt beim Fundament. Ein guter Hoster nimmt dir viel Arbeit ab.
Aktuelle PHP-Version
Stelle sicher, dass dein Server die neueste unterstützte PHP-Version verwendet.
Neuere PHP-Versionen sind nicht nur schneller, sondern enthalten auch Patches für bekannte Sicherheitslücken älterer Versionen.
Mache Dir am besten gleich grundlegende Gedanken, was du noch in Deinem Blog umsetzen kannst.
Schreibe einen Kommentar