So wie du, betreiben millionen Leute täglich ihre Internetseite mit WordPress.

WordPress ist die beliebteste Plattform, seine eigenen Ideen und Internetseiten zu verwirklichen. Es ist robust, einfach zu benutzen, leicht upzudaten, und kann eine kleine Nischen-Webseite genauso betreiben, wie eine große Internetseite weltweit oder ein Webshop.

Doch durch die wachsende Anzahl von WordPress Blogs gibt es auch eine große Spielwiese für Hacker, um Schwachstellen und Sicherheitslücken auszunutzen. In diesem Buch werde ich dir Maßnahmen zeigen, um deinen Blog gegen zerstörerische Aktivitäten zu sichern! Mit diesem Report gebe ich dir sofort umsetzbare Tipps für eine kugelsichere WordPress Installation!

Entdecke in diesem Artikel u.A. wie du WordPress absichern kannst:

– Warum du deine Seite absichern solltest.
– Wie du deinen eigenen Computer absicherst, und warum dies dazu dient deinen Blog zu sichern.
– Woran man einen gutes Webhosting erkennt.
– Wie man WordPress sicher installiert.
– Wie man seinen Blog updatet.
– Welche Informationen man nicht frei zugänglich machen sollte.
– Wie man die MySQL Datenbank sichert und richtig konfiguriert.
– Wie einfache Maßnahmen die Sicherheit erhöhen, die oftmals vernachlässigt werden.
Wie man ganz einfach ein Backup durchführt.
– Wie man den Blog vor Spam und fremden Links schützt.
– Wie man herausfinden kann, ob eine Internetseite gehackt worden ist.
– Was man macht, wenn man gehackt worden ist.

Wer sollte diesen Artikel lesen wenn er WordPress absichern will?

Das richtige absichern deiner Installation ist wichtig um Hacker und Schaden zu vermeiden.

Das richtige absichern deiner Installation ist wichtig um Hacker und Schaden zu vermeiden.

– Wenn du ein stolzer Besitzer und Betreiber eines WordPress Blogs bist und wenn du mehr wissen willst, wie WordPress sicher funktioniert.

– Wenn du Bedenken hast, dass ein Hacker sich in deinen Blog einschleichen kann und ungewollte Dinge danach damit betreibt.

– Wenn du das Wichtigste tun möchtest, um deinen Ruf im Internet und die Sicherheit deiner Website sicher zu stellen.

– Wenn du willst, dass deine Einnahmen steigen, und nicht durch eine infizierte Internetseite einbrechen.

Auch wenn dieser Artikel die aktuelle WordPress Installation als Grundlage hat, sind doch die Ratschläge und Tipps für die Allgemeinheit und alle zukünftigen WordPress Versionen gedacht. Davon abgesehen, warum sollte man auch eine alte Version von WordPress betreiben?!

Mit den richtigen Strategien und Information über die richtigen Praktiken wird dieses E-Book dir die Informationen geben, um deine Webseite sicher betreiben zu können. Mit Absicht gibt es hier kein langes Gerede und keine lange Intro! Du sollst die genannten Ratschläge sofort einsetzen könne! Deswegen werde ich dir schnell umzusetzende Tipps und Ratschläge geben.

Leider müssen wir aktuell miterleben, wie zahlreiche Internetseiten missbraucht werden. Dies ist besonders erdrückend, da viele Sicherheitslöcher, die Hacker ausnutzen, einfach gestopft werden könnten. Deswegen erhoffe ich mir, und wäre sehr glücklich darüber, wenn du alle genannten Ratschläge testest, und implementierst, um die Sicherheit für deine Internetseite zu erhöhen.

Wir verbringen viel Zeit damit, unseren Blog zu pflegen, Seiten zu erstellen, und PR-Maßnahmen zu betreiben. Dennoch vernachlässigen wir dabei, uns um die Sicherheit der Installation zu kümmern. Und oftmals ist es so, dass wir uns nur dann um etwas kümmern, sobald unsere Seiten infiziert worden sind. WordPress absichern ist dann zu spät.

Resultat einer gehackten Internetseite

– Zerstörte oder veränderte Datenbanken, umgeleitete Seiten, fremde Links, die in die Seiten integriert worden sind, verlorene Rankings bei Google, oder auch Seiten deindiziert.

All dies erzeugt einen großen finanziellen und zeitlichen Verlust und viel Arbeit, eine gehackte Installation wieder sauber zu kommen.

Lass es nicht zu, das deine Seite von einer Suchmaschine aus dem Index gelöscht wird, oder dein Ranking beeinträchtigt wird, oder fremde Personen deine Internetseiten missbrauchen.

Natürlich kann ich nicht jeden Aspekt der Internet Security in der Fülle beschreiben.

Dies würde mehrere 100 Seiten erfordern, und dann doch nicht in ausreichender Detailliertheit die Thematik beschreiben.

Ich beschränke mich deswegen auf schnell und leicht umzusetzende, aber leider oftmals vernachlässigte, hoch effektive Maßnahmen, um den Blog und die Seite abzusichern.

Alle Techniken, die ich hier erwähne, werden selbst von mir und vielen anderen WordPress-Administratoren eingesetzt, sind getestet und erfolgreich! Die Techniken erhöhen, sobald sie implementiert sind, die Sicherheit deiner WordPress Seite sofort. Ich verwende den Begriff Blog synonym als Ausdruck für eine Internetseite und Homepage.

Und nun, los geht’s!

Warum du deinen Blog absichern solltest

WordPress lässt sich spielend leicht installieren und betreibt Millionen von Internetseiten.

WordPress lässt sich spielend leicht installieren und betreibt Millionen von Internetseiten.

Aktuell nutzen mehr als 50 Millionen Menschen weltweit WordPress als die Plattform für einen Blog. Es ist einfach ausgedrückt: die einfachste und beste Plattform, die es gibt. Leider ist es aber so, dass eine breite Nutzerplattform es nicht sicherer gegenüber Attacken macht. Durch die große Anzahl der Benutzer ist es ein großes Ziel für Angriffe.

Die gute Nachricht ist aber, dass die Entwickler von WordPress unheimlich schnell Fehler und Sicherheitslücken durch einen verbesserten Quellcode und Updates schließen. Sobald Lücken gefunden werden, werden notwendige Patches zur Verfügung gestellt, um diese Lücken zu schließen. Deswegen! Ist es deine Aufgabe, die WordPress Software immer aktuell zu halten. Immer die aktuellste Version zu benutzen, minimiert das Risiko gehackt zu werden. Doch natürlich gibt es noch weitere Dinge, die du unternehmen solltest, um das Risiko einer infizierten Internetseite zu minimieren.

Das Risiko des Risikos

Sobald ein Blog gehackt worden ist, können allerlei unangenehme Dinge passieren:

– Er kann gelöscht werden, ersetzt durch fremdes Material, umgeleitet, oder auch dazu dienen, Passwörter auszulesen oder Daten zu stehlen.

Kurz gemacht: dies sind nur ein paar einfache Beispiele. Es gibt keine Grenzen, was ein Hacker mit einem Blog machen könnte. Das Wichtigste, was du dir merken solltest: ein Hacker kann dein Unternehmen durch den Verlust von Reputation zerstören.

Eine normale Internetseite zu führen, Produkte zu verkaufen, Produkte zu empfehlen, eine Community zu pflegen, all dies benötigt Vertrauen. Sobald aber dieses Vertrauen und die Reputation zerstört ist, verschwinden Umsätze und Besucher. Dieses Vertrauen wiederzukommen ist unheimlich schwer. Auch wenn du eine sehr kleine Nischen-Webseite erstellst, mit wenigen Besuchern und du denkst, deswegen wärst du sicher? Ein Hacker interessiert sich nicht für das Ziel oder den Inhalt deines Blogs. Sie suchen nach Sicherheitslücken, egal wie klein oder groß die Internetseite ist! Du solltest also WordPress absichern!

Woran erkennen Besucher ob die Internetseite gefährlich ist?

Sollte eine Seite gefährlich sein, zeigen oft aktuelle Web-Browser eine Warnung, wenn man eine Internetseite aufrufen möchte. Sehr wahrscheinlich wird ein neuer Besucher diese Seite meiden. Also deine Seite meiden! Doch, du kannst mir vertrauen: Wenn Besucher diese Warnung bekommen, dann ist deine Seite schon vor Wochen oder Monaten infiltriert!

Doch nicht nur ein Web-Browser hat die Möglichkeit, einen vor infizierten Webseiten zu warnen. Auch in den Suchergebnissen bei Google kann angezeigt werden, ob eine Internetseite gefährlich ist:

– „Diese Website kann Ihren Computer beschädigen.“

Auch die Google Search Console zeigt dir an und benachrichtigt dich, wenn deine Seite unsicher ist. Doch, wenn du diese Warnung bekommst, dann ist die Seite auch schon seit Wochen unsicher gemacht… Lasse das nicht zu.
Was macht deinen Blog für Einbrecher attraktiv?
Ein Einbrecher hat so gut wie nie persönliche Gründe gegen dich! Du musst es dir so vorstellen, dass ein Hacker jeden Blog versucht zu knacken, egal wie klein oder groß dieser ist.

Folgendes kann ein Hacker mit einem infizierten Webhosting anfangen:

Kostenloser Speicher: Unter dem Eindruck einer sicheren Seite kann ein Eindringling Schadcode verbreiten.

Umleitungen: Ein Hacker kann sehr einfach eine Umleitung in deinen Blog installieren, so dass ein Besucher auf eine fremde, ungewünschte Seite umgeleitet wird.

Monetarisierung: Benutzt man Adsense oder Amazon-Affiliate um Einnahmen zu erzielen, kann ein Eindringling dies ausnutzen, und diese Form der Monetarisierung durch seine eigene Monetarisierung ersetzen. Einnahmen gehen so auf das Konto von ihm. Er würde in diesem Fall einfach nur deinen Code gegen seinen austauschen

Phishing. Ein Ziel kann zum Beispiel sein, die eingegebenen Benutzerdaten zu stehlen, um diese für schadhafte Aktionen auszunutzen. Du kannst zum Teil dann dafür Verantwortlich sein und hast Schadenersatz zu leisten!

Eine kostenlose Plattform um Werbe-Kommentare einzufügen: SPAM-Kommentare können ganz einfach in deine Internetseiten eingeschleust werden.

Kostenloses Blackhat-SEO: Fremde Links werden in deine Seiten integriert, so dass diese fremden Webseiten mehr Links in den Augen von Google erhalten, und so deren Wertigkeit im Suchergebnis künstlich erhöht wird.

Kostenloser Traffic: Ein Hacker kann keine Kreditkarte oder PayPal nutzen, damit wäre er bei seinen illegalen Aktivitäten sofort identifiziert. Er muss das Eigentum Fremder benutzen für seine illegalen Aktionen. Er benutzt hierbei Traffic, den du bezahlst. Somit besteht die Gefahr, dass zusätzlich Traffic entsteht, der dir Kosten verursachen kann.

Alles das geht auf deine Kosten, und in diesem Prozess wird die Reputation deines Unternehmens kompromittiert!

Den eigenen Computer sichern

Den ersten Schritt, den du unternehmen solltest, ist der, deinen eigenen Computer zu sichern! Was du dazu brauchst, werde ich dir erklären! Ein Hacker kann zum Beispiel auf deinem Computer einen Virus installieren, man nennt sowas ein Key-Logger, um die Anmeldeinformationen des Blogs auszulesen und zu stehlen wie Benutzername, Passwort, E-Mail-Adresse usw. Es kann passieren, sobald du dich auf deinen Blog verbindest. Aus diesem Grund ist es extrem wichtig, deinen Computer vor Viren zu schützen.

Überspringe diesen Schritt nicht, und kümmere dich um einen aktuellen Virenschutz. Keine, wirklich keine Ausreden! Eine sichere WordPress-Installation beinhaltet auch sichere Geräte, von denen du darauf zugreifst. Zudem: Du kannst mit einem Virenscanner nicht nur DEINEN Computer schützen, sondern solltest auch Backups deiner WordPress Installation scannen: ein doppelter Schutz. Denn dein Webhoster scannt in wenigen Fällen – die meisten scannen nicht. Wenn du einmal im Monat deine Sicherungen nach Viren prüfst, hast du also nur maximal ein Monat „Schaden“ im schlimmsten Fall.

Für Windows-Computer ist ein Virenscanner Pflicht und ein Muss, wenn du WordPress absichern willst. Hierbei gibt es nach meiner Erfahrung zwei sehr gute, aber dennoch kostenlose Scanner, die einen ausführlichen Grundschutz bieten:

– Von Microsoft: Microsoft Security Essentials

– Von Antivir: AntiVir – Avira Free Antivirus

Ob du für ein Virenprogramm selbst etwas zahlen möchtest, musst du selbst entscheiden. Meistens ist es so, dass teure Programme einen erweiterten Schutz bieten gegenüber kostenlosen Antivirus-Lösungen. Für einfache Zwecke langt in der Regel aber eine kostenlose Version. Bei Mac langt mir Avast.

Automatische Updates auf Computer und Geräten

Nicht nur dein Blog sollte die aktuellste Version ausführen, auch der Computer zuhause sollte regelmäßig und automatisch Updates empfangen und ausführen. Nutze diese Funktion, und lasse automatische Updates auf deinem Computer durchführen. Nicht nur für das Betriebssystem, sondern auch für die Software die du benutzt. Auch: Wenn du dich mit deinem Handy anmeldest, dann aktualisiere es regelmäßig! Besonders Android Telefone werden schnell mit Schadsoftware gefüllt und bedrohen deine WordPress Webseite beim Login!

Solltest du keine Updates installieren, öffnest du deinen Computer und alle anderen Geräte angelweit, so dass Hacker es noch einfach hat, Viren einzuschleusen. Schau auch, dass bei all deiner Software die du benutzt, automatische Updates eingeschaltet sind. Wenn du dich zum Beispiel mit deinem iPad auf den Blog verbindest, gehört es auch hierbei dazu, dass auch dieses immer aktuell gehalten wird. Automatische Updates haben für alle Geräte und für jede Software zu gelten! Glücklicherweise gibt es eine Anwendung für Windows, die für den privaten Nutzen kostenlos ist, womit du deinen Computer auf veraltete Software scannen kannst:

SECUNIA PSI
http://secunia.com/vulnerability_scanning/personal/

Dieser Tipp zu WordPress absichern hat mir freundlicherweise ein Leser mitgeteilt.

Da ich aber einen Apple Macintosh Computer benutze, kann ich dir jedoch nicht sagen, wie erfolgreich oder wie gut das Programm ist. Aber laut den Erfahrungen von anderen, muss es wohl ganz gut funktionieren und sehr hilfreich sein. Teste es mal, es wird dir wahrscheinlich helfen!

Passwort Management

Virenschutz haben wir? Automatische Updates für Software und Betriebssystem auch? Super! Jetzt sollten wir daran denken, dass du auch sichere Passwörter benutzt!

– Verwende immer komplexe Passwörter für Internetseiten.

– Nutze immer unterschiedliche Passwörter für Internetseiten.

Ein Beispiel für ein komplexes Passwort:

– 83j3my!!-ööp,<><<

Ich weiß, das fällt schwer…

Aber ich werde dir einen sehr einfachen Trick zeigen, den ich selbst nutze, so dass ich überall komplexe und einmalige Passwörter im Einsatz haben. Da es schwierig ist, sich ausgefeilte Passwörter zu überlegen, und sich diese zu merken, gibt es glücklicherweise einfache Lösungen. Ein Passwort Manager hilft dir dabei mit einem Master-Passwort alle Passwörter zu sichern und zu speichern. Der Vorteil ist, dass du beliebige Passwörter erstellen kannst, musst dir aber nur eins, aber dafür sicheres Passwort merken.

Wie sieht so ein starkes General-Passwort aus?

Eine lange Kombination aus Buchstaben, Zahlen und Sonderzeichen et cetera.

Beispiel:

– Gda3hmfFadW!!

Kannst du dir das merken?

Ich gebe dir hierfür ein einfaches Beispiel: merke dir einen Satz, den du dir einprägen kannst:

– Ich gehe immer gerne freitags frische Brötchen kaufen.

Aus diesen Satz machst du nun ein Passwort und benutzt immer den Anfangsbuchstaben der Wörter. Am Anfang und am Ende des Passworts setzt du zusätzlich noch ein paar beliebige Sonderzeichen hin, die du dir einfach merken kannst.

Das kann folgendermaßen aussehen:

– ##IgigffBk##,,

Übrigens, „Gda3hmfFadW!!“ entschlüsselt heisst:
– Gehe du alter Esel hol mir frische Fische aus dem Wasser !!

Ich persönlich nutze eine weitere Alternative, Lastpass:

– Ich nutze LastPass, welches in der Grundversion kostenlos ist.

Ich benutze hierbei die Premium-Version. Der jährliche Preis beträgt ungefähr 15 Euro, das hat den Vorteil, dass ich den Passwort-Manager auf mehreren Geräten benutzen kann, iPhone, Linux, Windows, Android, iPad… Überall benötige ich nur ein General-Passwort, um alle meine Passwörter aufzurufen und sicher verwalten zu können. Probiere es mal aus: LastPass.com aufrufen.

Es gibt natürlich noch weitere Passwort-Manager, zum Beispiel auch als Software zu installieren, aber ich finde LastPass einfach die beste Variante. Und ich möchte dich nicht mit zahllosen weiteren Möglichkeiten überfordern. Mir ist es wichtig, dass du einen Passwortmanager benutzt, erstellst ein extrem sicheres und langes einmaliges Master-Kennwort. Benutze für jede Internetseite ein einzigartiges Kennwort, Lastpass macht dies extrem einfach! So schützt du dich auf ganz einfache Weise und kannst WordPress absichern.

Sicheres Webhosting

Was machen alle deine Aktivitäten um deine Installation zu schützen, wenn du kein sicheres Webhosting im Einsatz hast Deswegen kann ich dir nur einen herzlichen, aber ernst gemeinten Ratschlag geben:

Finger weg von kostenlosem Webhosting! Du weißt nie, wie aktuell deren Software ist (Apache oder SQL), oder wie viele hunderte oder tausende Benutzer sich auf einem Server tummeln, und sich gegenseitig oder anderen Viren oder Schadsoftware unterschieben.

Ich möchte hierbei auch nicht mehr weitere Worte verlieren. Ein qualitativ gutes Webhosting zahlt sich zigfach aus! Nicht nur in Geschwindigkeit, oder Sicherheit, sondern auch durch Aktualität, und Support ist wichtig. Zahllose Dinge, die du für nur ein paar wenige Euros im Jahr auf jeden Fall tun solltest, wenn du ein profitables Unternehmen aufbauen möchtest oder betreibst. Billiges oder kostenloses Webhosting gehört nicht zu einem erfolgreichen Unternehmen! Qualitativ gute Webhoster führen zum Beispiel immer die aktuelle Version von PHP und MySQL aus, aktualisieren diese automatisch und regelmäßig, und halten somit auch deine Installation aktuell und sicher.

FTP – sicheres Übertragen mit SFTP

Hier bin ich ehrlich, habe ich doch selbst jahrelang nur das einfache FTP benutzt, habe ich das nun umgestellt. Du musst merken, dass solltest du Daten mittels FTP übertragen, der ganze Anmeldevorgang unverschlüsselt über das Internet transferiert wird. Aus diesem Grund solltest du eine sichere und verschlüsselte Möglichkeit nutzen, Daten über das Internet zu übertragen und auch den Anmeldeprozess zu verschlüsseln.

Da es aber leider zahlreiche Möglichkeiten hierbei gibt, sei es SFTP, FTP mit TSL, um nur ein paar wenige zu nennen, solltest du deinen Hosting-Anbieter kontaktieren, welche sichere Möglichkeit er anbietet, um Dateien mittels SFTP zu übertragen. Ich gebe dir ein Beispiel: einer meiner Webhoster nutzt zum Beispiel SFTP, der andere bietet FTP über implizites TSL an. Wie dies zum Beispiel mit dem Programm FileZilla aussehen kann, zeige ich dir hier:

– Mit SFTP:

– Und implizites TSL:

Sicheres Passwort im Kundenmenü deines Webhosters

Doch was nützen sichere Passwörter und eine sichere Installation, wenn du nicht daran denkst, dein Kundenmenü auch abzusichern? Ein Eindringling könnte zum Beispiel deinen Benutzernamen und auch das Passwort erraten, und so praktisch kompletten Zugang auf alle deine Datenbanken, persönlichen Daten und Einstellungen bekommen. Deswegen ist es von ganz entscheidender Bedeutung, dass du auch für das Kundenmenü ein komplexes Passwort benutzt!

Wie man die WordPress Installation sicher macht

WordPress kann auf ganz einfache Wege vollautomatisch über dein Hosting installiert werden. Natürlich kannst du auch WordPress manuell installieren, was etwas zeitaufwändiger ist. Egal ob du dich für die automatische oder manuelle Installation entscheidest, solltest du doch die nun folgenden Punkte beachten, um ein sicheres WordPress zu erzielen.

Benutze immer die aktuelle WordPress Version

Einfach: Du sollst immer die aktuelle WordPress Version nutzen. Leider ist es so, dass manche Webhoster bei der automatischen Installation nur eine alte Version installieren. Sobald du dich in dem WordPress Backend angemeldet hast, solltest du sofort, als eines der ersten Dinge!, die aktuelle WordPress Version installieren. Lade dir ein „Auto Update“ Plugin runter: Damit werden automatisch Themes & Plugins & WordPress Version aktualisiert! Fertig. Nie mehr ein altes System!

Passwort der Datenbank

Benutze ein starkes Passwort für die Datenbank, damit niemand von außen dieses erraten kann.

Beispiel:

– E23323!#+9&%.

Wenn du mein Ratschlag befolgt hast, und LastPass im Einsatz hast, kannst du hierbei den integrierten Passwortmanager benutzen und dir ein extrem sicheres Kennwort erstellen zu lassen. Du musst dir das Kennwort der Datenbank nicht unbedingt speichern oder notieren, da es praktisch nur für die Kommunikation von WordPress mit der Datenbank benutzt wird. Und bei den meisten Webhostern ist es auch so, dass man das Kennwort der Datenbank immer auf Bedarf nachschauen kann. Nun in ganz seltenen Fällen benötigst du das Kennwort, um eventuelle Änderungen händisch an der Datenbank vorzunehmen

Ändere den Default Table Prefix der Datenbank

Ohne jetzt in die technischen Details einzugehen was ein Prefix ist, wirst du bei der Installation von WordPress sehen, dass die Datenbanken-Tabellen normalerweise alle mit „wp_“ anfangen. Es ist sehr einfach, für ein Hacker, dies zu erraten.

Deswegen ersetzt du folgendes:

– wp_

Durch eine beliebige Abfolge von Buchstaben und Zahlen

– 3393c_

So machst du es einem Eindringling schwer, zu erraten, wie deine Datenbank und die Tabellen drin heißen. Bei der Installation wird dies entweder „Table Prefix“ oder „Präfix“ genannt. Merken musst du dir diesen Namen nicht, da er nur bei der erstmaligen Installation von WordPress benutzt wird.

Benutzername Admin vermeiden

Einfach ausgedrückt: es ist absolut unsicher, den Standard-Benutzer Administrator auch Admin oder Administrator heißen zu lassen. Dies macht es für einen Eindringling sehr einfach, die WordPress Login Daten zu erraten, da viele Leute diesen Benutzer nicht ändern und damit beim absichern Fehler machen! Glücklicherweise ist dieses ganz einfach! Benenne ihn einfach mit einem beliebigen Namen.

Beispiel für den Benutzernamen des Administrators:

– 93kcicac.

Öffentlicher Spitzname sollte nicht dem Benutzernamen gleichen

Der öffentliche Spitzname / Name sollte nicht dem Benutzernamen ähneln. Dies hat einfach damit zu tun, dass man je nach Design den öffentlichen Spitznamen sehen kann, und ein Angreifer dies ausliest. Wenn sich also der Spitzname und der Benutzername unterscheiden, ist es für ein Angreifer praktisch unmöglich zu erraten, wie der Benutzername ist. Mein öffentlicher Spitzname ist auch nicht Alexander, womit man sich aber nicht an der Installation anmelden kann. Mein Benutzername des Administrators ist immer eine wahllose Kombination, aus Zahlen, Buchstaben, Sonderzeichen.

Sichere Benutzer und Administrator Passwörter

Auch hierbei solltest du ein sehr starkes Kennwort auswählen! Mindestens acht Stellen, beliebige Wahl von Buchstaben, Zahlen und Sonderzeichen. Nutze hierbei bei den Passwortmanager von LastPass. Wenn du meinen Ratschlag befolgt hast, und LastPass benutzt, benutze dessen Funktion, dir ein extrem sicheres Passwort erstellen zu lassen und zu speichern.

Sichere die Datei wp-config.php

Die Datei sollte niemals von außen erreichbar sein, da sie sonst deine Kennwörter verrät. Um dies zu verhindern erstelle eine .htaccess Datei und füge folgende Zeilen dazu:

order allow,deny
deny from all

Auch kannst du diese Datei mit den geringstmöglichen Dateiberechtigung ausstatten, wie zum Beispiel: 400 Permissions. Bitte teste aber nach dem Ändern der Dateiberechtigung, ob deine Internetseite danach funktioniert, da manche Webhoster diese Änderungen nicht erlauben oder höhere Berechtigungen benötigen, wie 444. Eine dritte Möglichkeit ist das Verschieben der Datei einen Ordner nach oben.

Folgendes Beispiel erklärt dir das:

• Verschiebe von „beispiel.com/wordpress/wp-config.php“ nach beispiel.com/wp-config.php“

Normalerweise liegt die Datei im Ordner „/wordpress/“ und nun schiebst du die Datei einen Ordner nach oben („beispiel.com/“). Man nennt diesen Ordner auch das Root-Verzeichnis. WordPress sucht automatisch in dem darüber liegenden Verzeichnis nach dieser Datei. Du musst dies jedoch testen, da nicht jeder Webhoster eine oder alle der drei Möglichkeiten erlaubt.

Verhindere Directory Browsing

Bei vielen Anbietern ist es so, dass das Directory Browsing aktiviert ist. Dies kannst du ganz einfach überprüfen, füge folgende URL ein:

– http://www.meinedomain.com/wp-admin/css

Wenn hierbei Dateien aufgezeigt werden, solltest du umgehend deinen Webhosting-Anbieter kontaktieren, so dass dieser auf deiner Installation das Browsing ausschaltet. Wenn er sich dabei weigert, suche dir umgehend einen neuen Anbieter, denn das Directory Browsing stellt eine Sicherheitslücke da.

Wenn es ausgeschaltet ist (richtig so!), bekommst du eine 403 Meldung:

Du kannst zum Beispiel auch in jeden Ordner, den du von außen nicht sehen lassen möchtest, eine Datei hinterlegen, die index.html heißt. Aber, wirklich praktisch ist das nicht, und es besteht die Gefahr, dass du dabei auch wichtige Ordner vergisst.

Richtige Berechtigungen für Dateien und Ordner

In der Regel bist du bei einem Webhosting Anbieter, und teilst die Umgebung mit vielen anderen Benutzern. Um auch das letzte Stückchen Sicherheit zu verbessern, empfiehlt es sich die Dateiberechtigungen anzupassen:

– Diese ist als Beispiel für Dateien 644 oder 640, und für die Ordner 755 oder 750.

Ich kann zum Beispiel für meine Installation auch 640 und 750 benutzen, dies geht aber nicht bei jedem Anbieter. Vermeide auf jeden Fall Berechtigungen wie 777, da man dadurch von außen praktisch alles auslesen kann!!

WordPress und Plugins updaten

Ich kann nicht oft genug betonen, wie wichtig es ist, die aktuelle Version von WordPress zu betreiben! Hierbei werden Sicherheitslücken geschlossen und die Sicherheit von einem Blog erhöht. Du solltest aus keinem Grund eine alte Version benutzen. Eine alte WordPress Installation zu betreiben stellt ein extrem großes Sicherheitsrisiko dar. Sobald eine neue Version rauskommt, installiere diese umgehend innerhalb der nächsten Tage. Üblicherweise macht es dir WordPress sehr einfach dies zu tun, dazu musst du in den aktuellen Version nichts mehr tun, als auf das automatisches Update zu klicken.
Ich schüttele immer noch den Kopf, wie viele veraltete WordPress-Versionen im Internet existieren, öffnen Sie doch die Tür weit für Hacker und Eindringlinge. Kleinere Updates werden sogar seit neuestem automatisch installiert! Und ein „Auto Update Plugin“ zu benutzen habe ich ja oben schon erläutert!

MAINWP

Genauso wie eine alte WordPress Installation ein Risiko ist, können auch alte WordPress Plugins und Themes ein Sicherheitsrisiko darstellen. Sollest du zahlreiche Internetseiten betreiben, so wie ich, ist es mühsam diese Installationen regelmäßig zu aktualisieren.

Glücklicherweise gibt es hierfür eine einfache Erweiterung, die sogar kostenlos ist! Ich benutze dieses MAINWP Plugin selbst, und du kannst dir nicht vorstellen, wie viel Arbeit mir diese Software bei meinen zahlreichen Installation abnimmt. Mit einem Klick sind zum Beispiel alle Updates durchgeführt, alle Themes aktualisiert, und auch alle Plugins auf dem neuesten Stand. Hervorragend!

Plugins, die die Sicherheit von WordPress erhöhen

Ich sehe es so, je weniger Plugins man bei einer Installation hat, desto geringer ist der Aufwand bei der Wartung. Aber es gibt ein paar wenige Plugins, die du installieren kannst, um die Sicherheit deiner Installation zu erhöhen allen voran:

– Login Lockdown

Dies verhindert das gefährliche Username & Password Enumeration und Brute Force, da sich ein Angreifer nur mit sehr wenigen Versuchen versuchen kann anzumelden, danach wird er gesperrt. Solltest du alle Schritte in meinem Ratgeber befolgen, ist deine Installation viel, viel sicherer geworden!

Um das letzte noch zu optimieren, empfiehlt sich ein Sicherheitscan durch dieses Plugin durchzuführen:

– WP Security Scan
– SUCURI

Dieses Plugins prüfen, ob du alle Ratschläge richtig umgesetzt hast, und empfiehlt dir eventuell weitere Schritte.

Benutze Salt Secret Keys

Ich möchte dir noch eine weitere Funktion vorstellen, womit du den Loginprozess bei WordPress sicher machen kannst: Dieses nennen sich SALT Secret Keys.

In der Regel sind bei einer automatischen Installation von WordPress diese SALT Keys hinterlegt. Du solltest aber bei einer manuellen Installation diese Salt-Schlüssel hinterlegen, und auch bei einer älteren WordPress Installation prüfen ob diese Schlüssel in der Datei wp-config.php hinterlegt sind.

Hier gibt es eine Seite, auf der du automatisch diese Schlüssel erzeugen lassen kannst:

– https://api.wordpress.org/secret-key/1.1/salt/

– Und hier mehr Informationen über SALT Keys.

Sichern von WordPress Installationen

Du musst bedenken, dass WordPress aus zwei Dingen besteht:

– Einmal einem Ordner, in dem die Dateien hinterlegt sind.

– Und zudem der SQL Datenbank.

Du musst also beide Dinge sichern, und dies mit unterschiedlichen Methoden.

Ich nutze zum Sichern der Datenbank folgende Anwendungen:

– WP DB Manager

Und lasse die Datenbank einmal wöchentlich automatisch sichern.

Zusätzlich sichere ich manuell alle Ordner meiner WordPress Installationen, indem ich aus diesen ein TAR-Verzeichnis erstelle, und dieses mit SFTP runterlade. Dieses ist jedoch für die meisten Anfänger sehr technisch, dass sie sich auch mit dem SSH Protokoll auf den Webserver verbinden müssen:

– tar cf ./backupordner/backupname.tar zielordner1 zielordner2

Eine einfache Empfehlung für Anfänger, die keinen SSH Zugang auf den Server haben, oder nur eine Blog betreiben, ist es den WordPress-Ordner auf dem Webserver mittels FTP-Programm regelmäßig auf die lokale Festplatte herunterzuladen.

Es gibt zahlreiche kostenlose aber auch kostenpflichtige Erweiterungen, die dir das Sichern der Datenbank und der Dateien übernehmen, aber die Kombination von automatischen Sichern der Datenbank mitels Plugins, und regelmäßigem manuellen wöchentlichem oder zwei-wöchentlichem runterladen mittels FTP-Programm vom Webserver hat sich für mich am besten etabliert. Mir ist wichtig, dass du beachtest, dass alle Sicherheitsmaßnahmen, die du für deinen Blog durchführen kannst, neben sicheren Passwörtern, auch aus einem regelmäßigen Backup besteht. Sichere regelmäßig dein geistiges Eigentum!

Die sicherste WordPress Installation bringt dir nichts, wenn du kein Backup hast, und ein regelmäßiges Backup kann dich vor unerwünschten und bösen Überraschungen durch Hacker absichern. Manche Webhosting Anbieter bieten dir auch an, in ihrem Backend (CPanel) ein automatisches Backup der Datenbank und der Dateien zu erstellen, welches du dann mit deinem Web-Browser runterladen kannst. Sehr einfach, und praktisch! Es gibt auch automatische Backup-Dienste für WordPress – aber damit habe ich keine Erfahrungen, da ich persönlich lieber alles einmal im Monat sichere. Und die Sicherung kann ich, wie erwähnt auch noch mit einem Virenscanner prüfen.

Wie viele Backups sind notwendig und wie sichere ich?

Hierauf gibt es keine allgemeingültige Antwort, aber ich kann dir sagen was ich mache:

– Ich sichere wöchentlich die Datenbank meiner WordPress-Installationen automatisch per Plugin. Bei zahlreichen täglichen Änderungen, wird die Datenbank natürlich öfter manuell gesichert.

– Und alle vier Wochen oder vor und nach großen Änderungen an WordPress sichere ich den WordPress-Installations Ordner oder den kompletten Webhosting Pfad bei mehreren Webseiten.

– Die Sicherung der Datenbank und der WordPress-Dateien lade ich auf meinen Computer runter, und speichere circa die letzten 6 Monate auf meiner Festplatte. Ich lasse die komplettsicherung auch immer noch auf dem Webhoster in einem sicheren Ordner liegen. Nebenbei erstelle ich auch ein monatliches Backup meiner Daten auf meinen Computer auf einer externen Festplatten automatisch. Möchtest du keine externe Backupfestplatte nutzen, empfiehlt sich der Backupdienst Backblaze. Das ist sozusagen ein vierfacher Schutz: Datenbank > Sicherung der Datenbank. WordPress & Datenbank > Sicherung als Datei auf Webhosting & Download auf Festplatte. Alles wird nochmal extern gespeichert.

Wann solltest du zusätzlich ein Backup durchführen?

Automatische Sicherungen sind der beste Weg, um deine WordPress Installation zu schützen. Zusätzlich solltest du vor jeder größeren Änderung und nach größeren Änderungen ein Backup der Datenbank und der WordPress-Dateien durchführen. Beispiele können hierbei sein: Es kommt eine neue WordPress Version heraus und du möchtest vor dem Upgrade alles sichern, und wenn nach dem Upgrade alles richtig läuft, auch diesen Zustand sichern

Wie kannst du dich vor Kommentar-Spam schützen?

– Akismet

Nutzt du die Funktion, dass Gäste Kommentare auf deinem Blog hinterlassen können, ist es dir sicher schon aufgefallen, dass du auch hier unerwünschten Kommentar-Spam bekommst.

Das wirklich beste und einfach zu benutzende Plugin nach meiner Erfahrung ist Akismet.

Akismet ist sehr einfach zu konfigurieren, dazu musst du dich nur auf der Seite:

– http://akismet.com/

Registrieren, und danach fügst du den API-Schlüssel in das Akismet WordPress Plugin. Wobei ich hier auch sagen muss, dass ich alle Kommentare auf meinen Internetseiten deaktiviert habe. Dies ermöglicht mir mehr Zeit und mehr Ressourcen, die ich in andere Projekte stecken konnte. Wenn du Kommentare aktivierst, verhindere, dass dein Blog durch Spam-Kommentare gekapert wird, und so zu einem Tümpel fremder Werbung wird.

Wie kannst du rausfinden, ob deine Seite gehackt worden ist?

Es gibt viele Möglichkeiten, wie ein Angreifer deine Seite verändern kann. Die einfachste Variante sind hierbei nur Spam-Kommentare. Schwerere Varianten integrieren fremde links in deine Internetseiten, leiten dein Blog um, oder verändern deine WordPress-Installation, so dass diese nicht mehr funktioniert, wie sie gedacht ist. Viele Hacks lassen sich sehr schnell augenscheinlich erkennen. Aber erfahrene Hacker werden deine Installation so verändern, dass du dies nur schwer erkennen wirst. Glücklicherweise gibt es eine gute Software, die manuell oder automatisch deine Installation nach Fehlern untersuchen kann.

Prüfe deine Internetseite mit folgender Software:

– http://sitecheck.sucuri.net/scanner/

Diese ist kostenlos, und einfach durchzuführen.

Prüfe auch regelmäßig dein Backup mit einem Virenscanner:

– Eine wirklich ausgesprochen einfache, kostenlose und schnelle Möglichkeit ist es, dein Backup von WordPress mit einem Virenscanner prüfen.

Du wirst es vielleicht nicht glauben, aber aktuelle Virenscanner können auch Infizierte WordPress-PHP-Dateien erkennen! Nutze diese Funktion!

Gehackte Seite – was nun?

Erst einmal, Ruhe bewahren! Prüfe deinen Computer! Viele der Sicherheitslücken und Probleme die auftreten, kommen von infizierten Computern und unsichere Passwörter! Ob du’s glaubst oder nicht, prüfe zuerst deinen lokalen Computer und alle Geräte die du benutzt hast, um deinen WordPress-Blog zu administrieren, auf Viren! Ganz ehrlich: sollte dein lokaler Computer infiziert sein, sichere hiervon am besten alles, und installiere ihn neu. Nach vielen beruflichen Jahren ist dies meine Erfahrung, dass es der schnellste Weg ist einen Windows-Virus sicher loszuwerden.

Oder du kaufst dir gleich einen Mac. Nebenbei, nachdem ich jahrelang Windows benutzt hatte, beruflich, wie privat, bin ich dann privat zu Linux umgestiegen. Und von Linux zu Apple Macintosh gewandert, welches ich nun privat und beruflich als Betriebsystem benutze.

Stelle ein Backup deines Blogs wieder her.

Die Datenbank lässt sich ganz einfach sichern und wiederherstellen mit dem Plugin WP DB Manager. Die einzelnen WordPress Dateien lassen sich sehr einfach aus einem älteren Backup mittels FTP wieder übertragen. Nutze aber ein Backup, bei dem 100% sicher bist, dass es nicht infiziert ist!

Doch danach ist noch nicht zu Ende! Welche zusätzlichen Schritte musst du ausführen?

Folgende Passwörter musst du ändern:

– Das Passwort deines FTP-Zuganges.
– Das Passwort deiner MySQL-Datenbank.
– Das WordPress-Passwort.
– Das Passwort deines Kundenmenüs des Webhosters.

Und vergesse nicht, neue Salt-Schlüssel in die wp-config.php Datei einzufügen.

Prüfe zum Schluss mit folgendem Plugin die Installation:

– WordPress Exploit Scanner plugin

Und überprüfe die nun saubere Internetseite nochmal zusätzlich mit:

http://sitecheck.sucuri.net/scanner/

Und scanne mit dieser Software nochmal die Hauptseite. Sicher ist sicher:

https://www.virustotal.com/de/

Ich wünsche dir viel Erfolg! Hoffentlich bist du danach den Eindringling los!

Meine Meinung hierzu doch noch abschließend

Sollte deine Installation infiziert sein, wäre vielleicht auch dieser radikale Schritt notwendig: Hole dir ein neues Hosting, installiere dort WordPress neu, installiere dort alle Plugins und auch das Design manuell. Und dann kopiere in mühseliger Arbeit jeden Artikel, jedes Bild manuell in diese Neuinstallation.

Denn: Wenn du auch nur irgendetwas vergessen hast zu ändern wie Passwörter oder Zugangsdaten, oder sich vielleicht auch in den alten Artikeln inrgendwelcher Schadcode befand, wird dein Versuch alles wieder herzustellen zunichte sein! Die Angreifer platzieren gut und gerne schadhaften Code in allen Artikeln, in allen Dateien, und es wird eine mühsame Arbeit werden, alles wieder herzustellen.

Da ist dann der Notgriff oft zur Neuinstallation und Copy&Paste einfacher!

Davon abgesehen würde ich dir bei einem Angriff auch raten: wechsele den Anbieter! Die Angreifer kennen irgend eine Schwachstelle, die dir nicht bewusst ist. Mit einem neuen Dienstleister kannst du zumindest diese Unwissenheit und diese Schwachstelle bereinigen. Höre auf meine Empfehlung!
Fazit und Ausblick

Wenn du alle Ratschläge in diesem E-Book befolgt hast, kannst du jetzt nachts ruhiger schlafen. Der Blog ist so sicher wie noch nie zuvor, und du kannst ruhig und entspannt neue Artikel erstellen, mehr Produkte empfehlen und verkaufen, und neue Besucher und Kunden an Land ziehen. Bleibe aber immer wachsam! Denke an sichere Kennwörter, regelmäßige Backups, und regelmäßige Updates und beherzige die genannten Ratschläge. Ich wünsche dir alles Gute und viele erfolgreiche und sichere WordPress Internetseiten!

Liebe Grüße

Alexander Becker

Dein kostenloser WordPress Security Bonus: Checkliste

Drucke diese Liste am besten aus, und kreuze an, was du erledigt hast.

[___] Virenscanner auf dem Windows und Mac Computer?
[___] Password Management und sichere, einmalige Passwörter?
[___] Automatische Updates auf Computer und Geräten und Software?
[___] Sicheres Webhosting?
[___] Sicheres Passwort im Webhosting?
[___] Übertragen mit SFTP statt FTP?
[___] Aktuelles WordPress und aktuelle Plugins?
[___] Autoupdate Plugin installiert?
[___] Sicheres Passwort der Datenbank?
[___] Default Table Prefix der Datenbank geändert?
[___] Kein Admin Benutzername für den Administrator?
[___] Öffentlicher Spitzname unterschiedlich vom Benutzernamen?
[___] Sichere Benutzer und Administrator Passwörter?
[___] Datei wp-config.php gesichert?
[___] Directory Browsing ausgeschaltet?
[___] Richtige Berechtigungen für Dateien und Ordner vergeben?
[___] Salt Secret Keys vorhanden?
[___] Backup von WordPress durchgeführt?
[___] Automatisches Datenbankbackup von WordPress eingerichtet?
[___] Kommentar-Spam verhindert durch Akismet?
[___] Und zum guten Letzten, einen Kaffee und Tee nach all der Arbeit getrunken?

Produktempfehlung