Die Sicherheit von WordPress verbessern

Nutzer können die Sicherheit von WordPress verbessern, indem sie ihre Website auf dem neuesten Stand halten, strenge Zugriffsanforderungen für Nutzer durchsetzen und regelmäßig nach kritischen Sicherheitslücken und verdächtigen Aktivitäten scannen.

Lernziele

Nach Lektüre dieses Artikels können Sie Folgendes:

  • Die Sicherheitsrisiken von WordPress verstehen
  • Strategien zum Schutz von WordPress-Websites vergleichen
  • Erfahren, wie Cloudflare WordPress-Sites schützt

Link zum Artikel kopieren

Die Sicherheit von WordPress verbessern

Content-Management-Systeme (CMS) sind Softwareanwendungen, mit denen Nutzer Websites erstellen, verwalten und personalisieren können, ohne den Code selbst schreiben zu müssen. WordPress ist eines der beliebtesten Content-Management-Systeme der Welt und als solches ein wertvolles Ziel für Cyber-Angreifer.

Die internen Teams von WordPress stellen regelmäßig Sicherheitsupdates und Patches für neu entdeckte Sicherheitslücken in ihrem System zur Verfügung, aber auch Nutzer von WordPress können verschiedene Maßnahmen ergreifen, um ihre Websites vor bekannten und aufkommenden Bedrohungen zu schützen. Die meisten dieser Schritte lassen sich in eine von zwei Kategorien einordnen: Bedrohungsbeseitigung und Risikominderung.

Die Bedrohungsbeseitigung konzentriert sich auf die Beseitigung von Cyberangriffen und anderen Bedrohungen. Ein WordPress-Nutzer könnte beispielsweise eine Firewall installieren, um böswilligen Traffic zu filtern und Distributed-Denial-of-Service (DDoS)-Angriffe abzuwehren, oder einen Hosting-Provider mit integrierten Sicherheitsfunktionen wählen.

Die Risikominderung bezieht sich auf proaktive Sicherheitspraktiken wie die Änderung des Standardpräfixes der WordPress-Datenbank, damit Angreifer sie nicht so leicht finden können, die Durchsetzung strenger Zugriffsanforderungen für Nutzer und die Durchführung regelmäßiger Sicherheitsscans.

Wie sicher ist WordPress?

WordPress ist zwar ein leistungsstarkes und flexibles Tool, aber es ist nicht immun gegen Cyberangriffe, Sicherheitslücken oder andere Risiken, die durch Nutzerfehler entstehen.

Häufige WordPress-Angriffe

  • Passwortbasierte Angriffe: Brute-Force-Angriffe, bei denen Angreifer wiederholt verschiedene Kombinationen von Anmeldedaten (Benutzername und Passwort) in eine Anmeldeseite eingeben, dienen häufig dazu, sich unbefugten Zugang zu einem WordPress-Konto zu verschaffen. Andere Formen von Passwortangriffen sind Credential Stuffing und Wörterbuchangriffe.
  • Cross-Site scripting (XSS): Mit XSS kann Schadcode in eine WordPress-Website eingeschleust werden. Dies geschieht am häufigsten über WordPress-Plugins. Erfahren Sie mehr darüber, wie Sie XSS-Angriffe verhindern können.
  • SQL-Injection (SQLi): SQLi-Angriffe werden manchmal auch als Datenbankinjektion bezeichnet. Dabei wird Schadcode über Dateneingabefelder (z. B. Kontaktformulare) in eine WordPress-Website injiziert.
  • DDoS-Angriffe: DDoS-Angriffe überschwemmen WordPress-Websites mit einer großen Menge unerwünschten Traffics und führen so zu einer starken Performance-Beeinträchtigung oder einer Unterbrechung des Dienstes.

WordPress-Sicherheitslücken

  • Veraltete Versionen von WordPress: WordPress aktualisiert seine Kernsoftware regelmäßig, um bestehende Sicherheitslücken zu schließen und die Abwehr gegen neue Bedrohungen zu stärken. Ältere Versionen von WordPress verfügen nicht über diese Schutzmechanismen und können daher weiterhin anfällig für Angriffe sein.
  • Themes und Plugins von Drittanbietern: WordPress-Themes und Plugins von Drittanbietern bieten eine Vielzahl von Funktionen, entsprechen aber nicht immer den neuesten Sicherheitsanforderungen. Als solche können sie ein Risiko darstellen, wenn sie auf einer WordPress-Website installiert sind.
  • Hintertüren: Sobald ein Angreifer in ein WordPress-Konto eingedrungen ist, kann eine Hintertür - eine verdeckte Methode zur Umgehung von Sicherheitsmaßnahmen – erstellt werden. Hintertüren ermöglichen es Angreifern, wiederholt auf eine WordPress-Website zuzugreifen oder weitere Angriffe zu starten.
  • Schwache Nutzer-Authentifizierung: Wenn Sie keine angemessene Passworthygiene betreiben (Erstellung sicherer Passwörter, regelmäßige Änderung von Passwörtern usw.) oder keine Multi-Faktor-Authentifizierung (MFA) implementieren, erhöht sich das Risiko einer Verletzung.
  • WordPress-Standardeinstellungen: WordPress verfügt über mehrere Standardeinstellungen, die es Angreifern leicht machen, gängige Einstiegspunkte (z. B. die URL /wp-login.php) und sensible Informationen (z. B. die Datei wp-config.php) zu identifizieren.

Best Practices für WordPress-Sicherheit

Nutzer können mehrere Schritte unternehmen, um WordPress-Websites vor gängigen Cyberbedrohungen und bekannten Sicherheitslücken zu schützen. Diese fallen in der Regel in eine der folgenden Kategorien: Setup der Website, proaktive Sicherheitsmerkmale, Benutzerzugriff, Benutzerberechtigungen und Sicherheitsupdates für die Website.

Sicheres Setup der Website

  • Verwenden Sie ein sicheres WordPress-Hosting. Eine WordPress-Website ist nur so sicher wie ihr Hosting-Provider (ein externer Dienst, der Inhalte im Namen der Nutzer bereitstellt). Wählen Sie einen Provider, der komplexe Angriffe abwehren kann, bei der Suche nach Sicherheitslücken und Bedrohungen hilft und Ressourcen für die Notfallwiederherstellung bereitstellt.
  • Ändern Sie die Standard-URL der WordPress-Anmeldeseite und das Präfix der Datenbank.Diese URLS – die auf /wp-login.php bzw. /wp-admin enden – sind auf allen WordPress-Websites standardmäßig aktiviert, sodass sie für Angreifer leicht zu finden sind. Sie können umbenannt werden, um Brute-Force-Angriffe und andere gezielte Bedrohungen zu vermeiden.
  • Verschieben Sie die Datei wp-config.php. Die Datei wp-config.php enthält WordPress-Sicherheitsschlüssel und andere sensible Details zur WordPress-Installation. Leider ist sie auch leicht zu finden. Verschieben Sie die Datei oberhalb des WordPress-Stammverzeichnisses, damit sie für Angreifer schwer zu finden ist.
  • Installieren Sie ein sicheres WordPress-Theme. Einige WordPress-Themes wurden nicht für die neueste Version von WordPress aktualisiert oder erfüllen möglicherweise nicht die bestehenden WordPress-Sicherheitsstandards. Infolgedessen können sie von Angreifern leichter ausgenutzt werden. Wählen Sie ein Theme aus dem WordPress-Theme-Verzeichnis oder lassen Sie es vor der Installation durch einen WordPress-Theme-Validator laufen.
  • Verbergen Sie, welche WordPress-Version verwendet wird. Viele WordPress-Angriffe nutzen Sicherheitslücken aus, die für verschiedene WordPress-Versionen spezifisch sind. Durch das Verbergen der verwendeten WordPress-Version können Nutzer diese Bedrohungen vermeiden oder es Angreifern erschweren, bestehende Schwachstellen auf ihren Websites zu finden.

Installieren Sie proaktive Sicherheitsfunktionen

  • Verwenden Sie ein SSL/TLS-Zertifikat. Secure Socket Layer (SSL), auch bekannt als Transport Layer Security (TLS), ist ein Sicherheitsprotokoll, das zur Sicherung und Verschlüsselung der über das Internet übertragenen Daten beiträgt. SSL-Zertifikate erhalten Sie von Hosting-Providern oder Drittanbieter-Sicherheitsdiensten wie Cloudflare.
  • Installieren Sie eine Firewall. Eine Web Application Firewall (WAF) wird vor WordPress-Websites platziert, um nicht autorisierten Traffic zu filtern und zu blockieren. Die Installation einer WAF kann dazu beitragen, den Dienst der Website vor DoS- und DDoS-Angriffen zu schützen.
  • Blockieren Sie HTTP-Anfragen, die das XML-RPC-Protokoll verwenden. XML-RPC wird häufig für volumetrische Cyberangriffe oder Brute-Force-Versuche verwendet. Das XML-RPC Feature kann über ein Plugin oder eine Firewall-Regel deaktiviert werden.
  • Verhindern Sie Hotlinking. Hotlinking ermöglicht es Dritten, Inhalte von WordPress-Seiten einzubetten, ohne sie selbst hosten zu müssen. Wenn dies wiederholt geschieht, kann dies die Bandbreitenkosten für den ursprünglichen Hoster des Inhalts in die Höhe treiben.

Sicherer Nutzerzugriff

  • Erzwingen Sie MFA.MFA verlangt von Nutzern eine zusätzliche Form der Identifizierung, bevor sie auf ein geschütztes System oder Konto zugreifen, und erschwert es Angreifern, eine WordPress-Website zu infiltrieren – selbst wenn sie die Kombination aus Benutzername und Kennwort eines legitimen Nutzers geknackt haben.
  • Begrenzen Sie die Anzahl der fehlgeschlagenen Anmeldeversuche.Passwortangriffe sind wahrscheinlicher, wenn Angreifer eine unbegrenzte Anzahl von Versuchen zur Eingabe von Anmeldedaten auf einer Anmeldeseite haben.
  • Melden Sie inaktive Nutzer automatisch ab. Einige Nutzer greifen von öffentlichen Computern aus auf ihre WordPress-Konten zu oder üben andere unsichere Surfpraktiken aus. Melden Sie Nutzer nach einer bestimmten Zeit der Inaktivität automatisch ab, um das Risiko von Snooping und anderer Formen des unbefugten Zugriffs durch Dritte zu verringern.
  • Löschen Sie inaktive Nutzerkonten.Selbst wenn ein Nutzer sein Konto nicht mehr für den Zugriff auf eine WordPress-Website verwendet, können sein Konto und seine Anmeldedaten von Angreifern ins Visier genommen werden.

Verwalten von Nutzerberechtigungen

  • Schränken Sie die Berechtigungen für Dateien und Ordner ein. Nutzer sollten keine Administratorrechte haben, wenn dies nicht unbedingt erforderlich ist. Schränken Sie die Funktionen ein, die Nutzer auf einer WordPress-Website ausführen können, um die Wahrscheinlichkeit einer unerwünschten Weitergabe von Daten zu verringern und die Auswirkungen eines Verstoßes zu minimieren. (Erfahren Sie mehr über das Least-Privilege-Prinzip.)
  • Verbieten Sie die Bearbeitung von Dateien. Der standardmäßige WordPress-Dateieditor ermöglicht es Nutzern, PHP-Dateien einfach zu bearbeiten. Wenn ein WordPress-Konto geknackt wird, ermöglicht dieses Feature Angreifern auch, den Code der Dateien der Website erheblich zu verändern.
  • Überwachen Sie die Aktivitäten der Nutzer. WordPress-Angriffe können sowohl von externen als auch von internen Quellen ausgehen. Protokollieren und überprüfen Sie regelmäßig die Nutzeraktivitäten, um verdächtiges Verhalten (z. B. Ändern von Dateien, Installieren von nicht autorisierten Plugins usw.) zu verfolgen.

Aktualisierung der Sicherheits-Features von WordPress

  • Aktualisieren Sie auf die neueste Version von WordPress. WordPress wird regelmäßig aktualisiert, um sich gegen bekannte Sicherheitslücken zu schützen. Achten Sie auf den Hinweis am oberen Rand des WordPress-Dashboards, der Nutzer über die Verfügbarkeit einer neuen Version benachrichtigt.
  • Aktualisieren Sie WordPress-Themes und -Plugins. Jedes Theme und Plugin stellt einen potenziellen Einstiegspunkt für Angreifer dar. Genauso wie alte Versionen von WordPress kritische Schwachstellen enthalten können, nutzen Angreifer oft veraltete Themes und Plugins, um Angriffe auf WordPress Nutzer durchzuführen.
  • Führen Sie regelmäßig Sicherheitsscans durch. Verwenden Sie ein vertrauenswürdiges Sicherheits-Plugin, eine Software oder einen Dienst eines Drittanbieters, um automatisch nach Schadsoftware und anderen Sicherheitsrisiken zu suchen.
  • Erstellen Sie regelmäßig Backups der Website-Daten.Im Fall eines erfolgreichen Angriffs können Nutzer alle verlorenen Daten aus einem aktuellen Backup der Website wiederherstellen.

Wie schützt Cloudflare WordPress-Websites?

Cloudflare Automatic Platform Optimization (APO) ist ein WordPress-Plugin, das Nutzern den Zugriff auf eine Vielzahl von Sicherheits- und Performance-Features ermöglicht, darunter Cloudflare WAF-Regelsätze, Universal SSL, DDoS-Schutz und mehr. Und mit Cloudflare Zero Trust können Nutzer ihre WordPress-Sicherheit weiter stärken, indem sie MFA aktivieren, Anmeldeversuche überwachen und den Zugriff von Nutzern auf interne Assets beschränken. Erfahren Sie mehr darüber, wie Cloudflare hilft, WordPress-Websites zu schützen.