6 Tipps: WordPress Sicherheitscheck

WordPress Sicherheitscheck. Egal, ob persönlicher Blog, Unternehmenswebsite oder Online Shop – eine sichere Website schützt Deine Daten und vertrauliche Kundeninformationen. Dazu gehören z.B. Brute Force, Cross-Site-Scripting (XSS), SQL Injection und Backdoor Angriffe.

WordPress Sicherheitscheck

1. Starke Passwörter

Das Passwort ist immer noch eines der größten Schwachstellen in Internet und sollte beim WordPress Sicherheitscheck als erstes geprüft werden. Leider kommt es immer wieder vor, dass Kunden den Standardbenutzer von Websites nicht von „admin“ umbenennen, zu allem übel dann auch noch Passwörter wie bekannte Daten z.b. Geburtstage, Hochzeitsdaten etc. Wichtig ist hier den Benutzernamen umgehend zu ändern – am besten in etwas was nicht direkt zu erraten ist. Ein gutes Passwort ist mindestens zehn Zeichen lang, enthält Groß- und Kleinbuchstaben, Ziffern und Sonderzeichen.

Den Zugang zum WordPress Admin-Bereich kannst Du zusätzlich noch per .htaccess-Passwortschutz  sichern. Bevor die Seite zum Admin-Bereich angezeigt wird, musst Du einen zusätzlichen Benutzernamen mit Passwort korrekt eingeben. Auch hier andere Anmeldedaten verwenden als beim eigentlichen WordPress-Login. Hier gelten die gleichen Regeln von oben zum Thema Benutzername und Passwort.

2. Backups

Fertige regelmäßig Backups Deiner Website an! Nicht nur vor und jeder Änderung an Deiner Website, sondern auch außerhalb davon. Nutze dafür am besten immer fixe Tage in der Woche, damit Du das nicht vergisst! Die meisten Provider bieten im Kundencenter eine Backup-Funktion an, sollte das nicht der Fall sein, kannst Du auch ein manuelles Backup mittels eines FTP-Programms wie FileZilla oder Cyberduck anfertigen, um Deine WordPress-Daten runterzuladen.

Für die MySQL-Datenbank nutzt Du entweder ein Plugin für WordPress oder was sehr gut funktioniert ist MySQL-Dumper, hier können auch mittels eines Cronjobs automatische Backups durchgeführt werden. Standardmäßig kannst Du aber auch die MySQL-Datenbank mittels phpMyAdmin runterladen. Bei einem WordPress-Plugin achte unbedingt darauf das dieses Plugin von einer sicheren Quelle stammt, sonst besteht die Gefahr von Maleware-Infizierungen.

3. SSL-Zertifikat für die HTTPs-Verschlüsselung

Websites mit HTTPS verfügen über ein SSL-Zertifikat und übertragen Informationen mit dem Client in verschlüsselter Form. Hast Du auf Deiner Website ein Kontaktformular, musst Du unbedingt HTTPS statt HTTP verwenden, andernfalls sind die eingegebenen Nutzerdaten nicht sicher. Auch Suchmaschinen wie Google bewerten die Verwendung eines SSL-Zertifikats mit einem besseren Ranking. Und was noch viel wichtiger ist: Für den Datenschutz und die Umsetzung der DSGVO ist ein SSL-Zertifikat Pflicht!

4. Regelmäßige Updates durchführen!

Die meisten Websites laufen mit einem Content Management System wie z.B.  WordPress. Eine veraltete Version, nicht aktualisierte Plugins und Themes zählen zu großen Sicherheitsrisiken. Werden Sicherheitslücken erkannt, schließen die Entwickler diese meist schnell mit Updates. Führe also regelmäßig Updates durch sodass Dein CMS, sämtliche Plugins und Themes immer auf dem aktuellen Stand sind.

Tipp: Alle deaktivierten Plugins, Themes löschen! Was Du nicht mehr benötigst, weg damit! Es sammelt sich nicht nur Datenmüll an und macht im schlimmsten Fall Deine Website langsamer, sondern stellt auch weiterhin ein großes Sicherheitsproblem dar.

5. Keine illegalen Premium-Plugins verwenden

Für das CMS WordPress gibt es tausende kostenlose Erweiterungen mit eingeschränkter Funktion und kostenpflichtigen Premiumversionen. Für diese Aktivierung der Premiumfunktionen muss ein Aktivierungsschlüssel eingegeben werden. Im Internet kursieren gecrackte Versionen dieser Premium-Plugins. Nutze diese auf keinen Fall! Die Wahrscheinlichkeit einer Malware-Infektion ist riesig, mit großer Wahrscheinlichkeit wird bei Verwendung eine Backdoor installiert. Anschließend kann ein Hacker auf Deinen Admin-Bereich zugreifen und die Datenbank manipulieren.

Tipp: Installiere die Erweiterungen für WordPress immer nur von WordPress.org. Prüfe ob die Erweiterung in letzter Zeit aktualisiert wurde.

WordPress Sicherheitscheck: Prüfung auf Malware mit Sucuri

Steht Deine Website auf einer Blacklist oder wurde sie bereits infiltriert und verbreitet Malware? Der Site Security Check von Sucuri gibt Antwort.

• Prüft, ob auf Deiner Website eine Web Application Firewall installiert ist.
• Prüft die Security-Header für XSS Protection zum Verhindern von Content Sniffing.

6. HTTP Security-Header hinzufügen

Wenn ein Browser (Client) auf eine Website zugreift, stellt der Browser an den Server eine Anfrage. Der Webserver antwortet zusammen mit den sogenannten HTTP-Headern. Diese enthalten Informationen wie Content-Encoding, Status-Code und Cache-Control. Die HTTP Security-Header teilen dem Browser mit, wie mit dem Seiteninhalt umzugehen ist. Mit Strict Transport Security (HSTS) wird der Browser beispielsweise gezwungen, nur über HTTPS zu kommunizieren. Für WordPress fügst Du mit einem Plugin wie Security Headers HTTP Security-Header zu Deiner Website hinzu. Du erhöhst damit die Sicherheit des Servers und verhinderst unter anderem Cross-Site-Scripting.

Für WordPress gibt es einige Security-Plugins:

• Wordfence Security
• All In One WP Security
• Securi Security

Fazit für den WordPress Sicherheitscheck

Durch starke Passwörter, die Verwendung eines SSL-Zertifikats, sowie regelmäßige Updates und Backups sind Pflicht für eine sichere Website. Du hast ein akutes Sicherheitsproblem mit Deiner Website, oder möchtest Deine Website effektiv schützen? Gerne stehe ich Dir zur Verfügung. Nehme einfach unverbindlich und kostenlos Kontakt mit mir auf.