Ist mein WordPress System sicher? Eine Frage, die sich nicht viele Website-Betreiber stellen – aber auf jeden Fall stellen sollten! Doch woher weiß ich, ob mein Internetauftritt gegen Hacker geschützt ist? Aber da bin ich sicher nicht interessant, … oder?
Warum sollte ich gehackt werden?
Ansich eine gute Frage, die aber genauso einfach zu beantworten ist:
- Datenbeschaffung und Missbrauch oder Verkauf von Daten
- Finanzielle Bereicherung (Werbung, Weiterleitung auf eigene Seite)
- Persönliches Interesse (Rufschädigung, politische Einstellung)
- Herausforderung – nach dem Motto: Weil ich es kann
Dabei gibt es auch einen klaren Grundsatz: Je schwieriger eine Website zu hacken ist, desto weniger wahrscheinlich wird diese auch gehackt. Dagegen steht natürlich der Gegenwert bzw. was sich der Angreifer erhofft zu erreichen. Aber allein darüber lässt sich ein komplettes Buch schreiben.
Wie kann ich mich schützen?
Wieder zurück zum Thema Sicherheit – wann ist ein System sicher? Wie mache ich mein System sicher? Und vor allem: was muss ich tun, damit ich nicht gehackt werden kann? Zuerst einmal die schlechte Nachricht: Komplett verhindern kann man es nicht. Dafür jetzt die noch schlechtere Nachricht: Trotzdem sollte man dagegen etwas tun.
Aber im Ernst – umso sicherer ein System aufgebaut ist, bzw. je mehr Hürden man schafft, desto schwieriger ist eine Website zu hacken. Genau das erschwert es auch dem Hacker und wenn der Aufwand nicht dafür steht, wird nach einer leichteren Beute ausschau gehalten. Wieso sich auch das Leben schwer machen?
So mache ich WordPress sicher
Die eierlegende Wollmilchsau bzw. den einen Weg eine Website komplett abzusichern gibt es nicht. Aber es gibt bestimmte Maßnahmen, die man setzen kann, um WordPress besser abzusichern. Dabei helfen oft schon wenige Schritte. Wir haben die Leistungen in 2 Pakete zusammengefasst:
1) Sicherheitscheck & Basisoptimierung
- SSL Zertifikat aktiv
- Default Datenbank Präfix Analyse
- Admin, wordpressadmin als Benutzer
- Loginrückmeldungen verhindern
- Blockiere REST API / xml-rpc wenn nicht benötigt
- WordPress / Theme / Plugins Versionen Analyse
- Aktuelle PHP Version Analyse
- Kommentare Analyse / Pingback sperren
- Deaktivieren der eingebauten Datei-Editoren
- Code Ausführung im „Uploads“ Ordner verhindern
- Aktuelle WP Version verbergen
- Bericht / Zusammenfassung der Maßnahmen
2) WordPress Sicherheitsmaßnahmen
- 2Faktor Authentifizierung
- Default Datenbank Präfix ändern
- Check auf potentiell gefährdete Plugins
- Inaktive Benutzer / Plugins / Themes löschen
- Analyse Pluginbereinigung
- Update von: WordPress / Theme / Plugins
- Update auf aktuelle PHP Version
- Aktivieren der Fehlerausgabe und Error-Check
- Analyse der Dateistruktur auf offensichtliche Dateien
- Kommentare global und auf Beitragsebene sperren
- Vorhandene Spam Kommentare bereinigen
- Verzeichnisdurchsuchung deaktivieren
- Benutzeraufzählung deaktivieren
- Deaktiviere „Jeder kann sich registrieren“ wenn nicht benötigt
- Aktiver Scan mit einem Sicherheitstool
- Bericht / Zusammenfassung der Maßnahmen
Zusätzlich empfehlen wir laufende Backups. Diese sollten am besten täglich stattfinden. Wenn ihr eure Website checken und besser absichern lassen möchtet, dann könnt ihr uns gerne kontaktieren.
