Verbesserung der Sicherheit Ihrer WordPress-Website

Verbesserung der Sicherheit Ihrer WordPress-Website

WordPress ist das beliebteste CMS, was es zu einem attraktiven Ziel für Angreifer macht. Um Ihre Website zu schützen, ist es wichtig zu wissen, wo die „Schwachstellen“ (Verwundbarkeiten) sind und wie man sie beheben kann. Im Folgenden listen wir die wichtigsten Schwachstellen auf, beschreiben die Bedrohungen und bieten eine Reihe praktischer Maßnahmen zu ihrer Beseitigung an. Denken Sie daran, dass Sicherheit ein komplexer Prozess ist und dass die Anwendung einer einzigen Methode Ihre Website oft nicht vollständig schützt.

I. WordPress-Dateistruktur

Bevor wir auf Schwachstellen eingehen, ist eine kurze Erinnerung an die grundlegende Dateistruktur angebracht:

• wp-admin/ ist der Ordner mit den Verwaltungsdateien. Die Beschränkung des Zugriffs auf diesen Ordner ist von größter Bedeutung.
• wp-includes/ - enthält die wichtigsten Bibliotheken und Dateien des WordPress-„Kerns“. Eine Änderung dieser Dateien kann zu einem instabilen Betrieb führen.
• wp-content/ - speichert Themes, Plugins und Mediendateien. Dieser Ordner ist häufig das Ziel von Hackern.
• wp-config.php - die wichtigste Konfigurationsdatei, die Datenbankzugangsdaten und eindeutige Verschlüsselungsschlüssel enthält. Ihr Schutz ist für die Sicherheit der Website von entscheidender Bedeutung.

Wenn Sie diese Struktur kennen, können Sie bestimmen, welche Komponenten zusätzlich geschützt werden müssen.

II. Die wichtigsten Schwachstellen und Maßnahmen zu deren Beseitigung

1. Hintertüren.

Bedrohung: Hacker können versteckte Skripte einschleusen, die die Standardschutzmaßnahmen umgehen und sich ständig Zugang verschaffen (über wp-admin, FTP, SFTP usw.).

Praktische Ratschläge:

• Verwenden Sie regelmäßig Scanner (z. B. SiteCheck oder WordFence), um nach versteckten Dateien zu suchen.
• Schränken Sie die Zugriffsrechte auf kritische Ordner ein (siehe Punkt 8 unten).
• Konfigurieren Sie die .htaccess-Datei, um wp-admin zu schützen, z. B. indem Sie den Zugriff von unbekannten IPs verweigern.
• Verhindern Sie die Ausführung von PHP-Dateien in nicht dafür vorgesehenen Verzeichnissen, um die Sicherheit Ihrer Plattform zu erhöhen. Folgen Sie den Lösungen auf der wpbeginner-Website, öffnen Sie einen Texteditor und geben Sie den folgenden Code ein:

<Dateien *.php> deny from all </Dateien>

Speichern Sie diese Textdatei als .htaccess und laden Sie sie in den Ordner /wp-content/uploads/ auf Ihrer Website hoch.

Hinweis: Auch wenn Sie Ihre Website regelmäßig scannen, kann eine zusätzliche Maßnahme (z. B. Zwei-Faktor-Authentifizierung) das Risiko einer erneuten Einschleusung von Backdoors verringern.

2- Pharma-Hacks.

Bedrohung: Angreifer schleusen bösartigen Code in veraltete Plugins oder Themes ein, was dazu führt, dass in den Suchergebnissen unangemessene Werbung (meist Pharma-Anzeigen) angezeigt wird.

Praktischer Tipp:

• Aktualisieren Sie WordPress, Plugins und Themes immer auf die neuesten Versionen.
• Verwenden Sie automatische Scanner (Sucuri, WordFence), um bösartigen Code in der Datenbank aufzuspüren.

Hinweis: Die Aktualisierung ist eine notwendige Maßnahme, aber auch sie garantiert keinen Schutz, wenn versteckter bösartiger Code auf die Website gelangt ist. Die Kontrolle des Datenbankinhalts und die Überwachung von Änderungen sind ebenfalls wichtig.

3 Brute-Force-Angriffe bei der Anmeldung

Bedrohung: Automatisierte Skripte können Passwörter ausspionieren, wenn schwache Anmeldedaten verwendet werden, was zu unbefugtem Zugriff führt.

Praktischer Tipp:

• Verwenden Sie starke, eindeutige Passwörter und ersetzen Sie den Standard-Admin-Namen „admin“ durch einen anderen. Beispiel für die Änderung des Admin-Namens in phpMyAdmin:

UPDATE wp_users SET user_login = 'newadminuser' WHERE user_login = 'admin';

• Begrenzen Sie die Anzahl der Anmeldeversuche mit Hilfe von Plugins (z. B. Limit Login Attempts Reloaded oder Login LockDown).
• Implementieren Sie eine Zwei-Faktor-Authentifizierung (wie Google Authenticator, Duo, Authy).
• Wenn Sie nicht vorhaben, die REST-API von Wordpress zu nutzen, deaktivieren Sie sie am besten mit dem Plugin Disable Rest Api.

Hinweis: Die Einschränkung von Anmeldeversuchen ist hilfreich, aber wenn Sie die Einschränkung allein verwenden, kann ein Angreifer Umgehungstechniken einsetzen - kombinieren Sie sie daher unbedingt mit einer Zwei-Faktor-Authentifizierung.

4. Bösartige Umleitungen.

Bedrohung: Bösartiger Code in .htaccess-Dateien oder Themes/Plugins kann Benutzer auf bösartige Websites umleiten, was das Vertrauen verringert und das Risiko einer Geräteinfektion erhöht.

Praktischer Tipp:

• Überprüfen und analysieren Sie .htaccess-Dateien regelmäßig auf unerwünschte Regeln.
• Wenn verdächtige Weiterleitungen entdeckt werden, entfernen Sie sie. Die Regel in .htaccess sollte beispielsweise korrekt aussehen und zur Struktur Ihrer Website passen.

Hinweis: Regelmäßige Scans des Dateisystems und die Überprüfung der .htaccess-Konfiguration sind obligatorische Maßnahmen - eine Analyse reicht nicht aus, wenn ein Angreifer weiß, wie er Dateien auf dem Server ändern kann.

5. Cross-Site-Scripting (XSS)

Bedrohung: Einschleusen von bösartigem JavaScript-Code über Kommentare, Formulare oder andere Eingaben, die zum Diebstahl von Sitzungsdaten, zum Hijacking von Konten und zur Änderung von Seiteninhalten führen können.

Praktischer Tipp:

• Filtern und umgehen Sie Benutzereingaben immer mit den in WordPress integrierten Funktionen (z. B. esc_html(), esc_attr()).
• Verwenden Sie Sicherheits-Plugins, die XSS-Angriffe blockieren (z. B. WordFence).
• Wenn die Kommentarfunktion für Sie nicht sehr wichtig ist, ist es besser, sie ganz zu deaktivieren. Öffnen Sie die Konsole der Website, gehen Sie zum Abschnitt „Einstellungen“ und wählen Sie die Registerkarte „Diskussion“. Deaktivieren Sie die Option „Kommentare zu neuen Einträgen zulassen“, scrollen Sie bis zum Ende der Seite und klicken Sie auf „Änderungen speichern“.
• Ich empfehle auch, die Benutzerregistrierung zu deaktivieren, wenn Sie sie nicht benötigen. Melden Sie sich in Ihrem WordPress-Administrationsbereich an. Gehen Sie auf die Seite Einstellungen -> Allgemein. Deaktivieren Sie die Option „Jeder kann sich registrieren“. Klicken Sie auf die Schaltfläche „Änderungen speichern“ unten auf der Seite.

Hinweis: Die Datenabschirmung muss auf der Ausgabeseite erfolgen, nicht nur beim Speichern, daher ist eine umfassende Lösung (sowohl serverseitige Validierung als auch Code-Überprüfung) wichtig.

6. Denial-of-Service (DoS) und DDoS-Angriffe

Bedrohung: Serverüberlastungsangriffe können dazu führen, dass eine Website für legitime Benutzer nicht mehr verfügbar ist.

Praktischer Tipp:

• Verwenden Sie spezialisierte DDoS-Schutzdienste wie Cloudflare oder Sucuri, die bösartigen Datenverkehr filtern.
• Setzen Sie Grenzwerte auf Serverebene (z. B. über die Nginx- oder Apache-Konfiguration), um die Anzahl der gleichzeitigen Anfragen von einer einzigen IP-Adresse zu begrenzen.

Hinweis: Natürlich reichen Maßnahmen auf der Ebene der Webanwendung nicht aus - umfassende Schutzmaßnahmen auf der Hosting- und Netzwerkebene sind erforderlich.

7. Veraltetes PHP

Bedrohung: Die Verwendung veralteter PHP-Versionen bedeutet, dass es keine Sicherheitsupdates gibt, was von Angreifern ausgenutzt wird.

Praktischer Tipp:

• Aktualisieren Sie Ihre PHP-Version auf 8.0+.
• Sie können die aktuelle Version über Pingdom oder durch Abfrage des X-Powered-By-Headers oder über Ihr Hosting-Kontrollpanel überprüfen.

Hinweis: Ein Upgrade von PHP verbessert die Leistung und Sicherheit erheblich, erfordert jedoch eine Überprüfung der Kompatibilität von Plugins und Themen.

8. Falsche Datei- und Ordnerberechtigungen.

Bedrohung: Zu großzügige Zugriffsrechte ermöglichen es einem Angreifer, wichtige Dateien (z. B. wp-config.php) zu ändern oder zu lesen, was zu Datenlecks oder zum Einschleusen von bösartigem Code führen kann.

Praktischer Tipp:

• Setzen Sie die Berechtigungen für Dateien auf 644 (oder 640) und für Ordner auf 755 (oder 750).
• Achten Sie besonders auf die Datei wp-config.php - setzen Sie die Berechtigungen auf 400 oder 440.
• Beispielbefehl (Linux):

chmod 400 wp-config.php

Hinweis: Das korrekte Setzen von Berechtigungen hilft, sich selbst zu schützen, aber wenn die Website durch veraltete Plugins kompromittiert wurde, ist dies möglicherweise nicht ausreichend.

9. Fehlende Updates für WordPress, Plugins und Themes

Bedrohung: Die Verwendung veralteter Komponenten vergrößert die Angriffsfläche, da sie bekannte Sicherheitslücken enthalten können.

Praktischer Tipp:

• Aktualisieren Sie WordPress Core, Plugins und Themes regelmäßig.
• Richten Sie automatische Updates ein (falls dies für Ihre Website sinnvoll ist) oder verwenden Sie ein Benachrichtigungssystem für Updates.

Hinweis: Updates sind kritisch, aber auch aktualisierte, nicht überprüfte Plugins können versteckte Schwachstellen enthalten, wählen Sie also nur vertrauenswürdige Software.

10. XML-RPC

Bedrohung: Die XML-RPC-Funktion kann massenhafte Brute-Force-Angriffe ermöglichen und die Methode system.multicall verwenden, um mehrere Anfragen innerhalb einer einzigen HTTP-Anfrage zu senden.

Praxis-Tipp:

• Wenn XML-RPC nicht verwendet wird (und die meisten Websites brauchen es nicht), deaktivieren Sie es vollständig.
• Um es zu deaktivieren, können Sie das Plugin Disable XML-RPC API installieren oder den folgenden Code in die Datei functions.php einfügen:

add_filter('xmlrpc_enabled', '__return_false');

Hinweis: Einige Plugins (z. B. Jetpack) benötigen XML-RPC, so dass die Deaktivierung die Funktionalität beeinträchtigen kann. Ziehen Sie in einem solchen Fall Maßnahmen in Betracht, um den Zugriff darauf zu beschränken (z. B. über eine Firewall auf Serverebene).

11. Schutz der Verwaltungsschnittstelle

Bedrohung: Die Verwaltungsoberfläche ist der Hauptangriffspunkt, über den Angreifer die Kontrolle über die Website erlangen können.

Praktischer Tipp:

a) Ändern Sie die Standard-Anmelde-URL (wp-admin, wp-login.php) mit Plugins wie WPS Hide Login.

b) Begrenzen Sie die Anzahl der Anmeldeversuche mit Limit Login Attempts Reloaded.

c) Fügen Sie eine HTTP-Autorisierung hinzu, um wp-admin zu schützen. Beispiel für Apache:

Erstellen Sie eine .htpasswd mit Ihrem Passwort und fügen Sie sie zu .htaccess (wp-admin) hinzu:

AuthName „Nur Admins“
AuthUserFile /home/youruser/.htpasswds/wp-admin/.htpasswd
AuthType basic
require user IhrBenutzername

d) Aktivieren Sie die Zwei-Faktoren-Authentifizierung (Duo-Plugins, Google Authenticator, Zwei-Faktoren-Authentifizierung).

Hinweis: Die Änderung nur der Anmelde-URL verhindert automatisierte Angriffe, aber ein Angreifer kann andere Anmeldepunkte finden, so dass zusätzliche Maßnahmen (Versuchsbeschränkung, 2FA) zwingend erforderlich sind.

12. HTTPS und SSL

Bedrohung: Die Übertragung von Daten über das unsichere HTTP-Protokoll bedeutet, dass Daten (Anmeldungen, Sitzungen, übertragene Informationen) von Angreifern abgefangen werden können.

Praktischer Tipp:

• Installieren Sie ein SSL-Zertifikat (z. B. kostenlos von Let's Encrypt) und konfigurieren Sie Ihre Website so, dass sie über HTTPS funktioniert.
• Fügen Sie der wp-config.php hinzu:

define('FORCE_SSL_ADMIN', true);

Überprüfen Sie die korrekte Installation mit Hilfe von Online-Tools.

Hinweis: Die Verwendung von HTTPS verbessert zwar die Sicherheit, schützt die Website aber nicht allein vor gehackten Plugins oder Serverschwachstellen, daher sollte diese Methode mit anderen Maßnahmen kombiniert werden.

13. HTTP-Sicherheits-Header

Bedrohung: Das Fehlen spezieller Header verringert den Schutz vor XSS, Clickjacking und anderen Angriffen.

Praktischer Tipp:

• Fügen Sie in den Einstellungen Ihres Webservers (Apache oder Nginx) die folgenden Header hinzu:

Content-Security-Policy
X-XSS-Protection
Strict-Transport-Security
X-Frame-Options
X-Content-Type-Options

Beispiel für Apache (in der .htaccess-Datei):

Header set X-Frame-Options "SAMEORIGIN"  
Header set X-Content-Type-Options "nosniff"  
Header set X-XSS-Protection "1; mode=block"  
Header set Strict-Transport-Security "max-age=31536000; includeSubDomains"

14. Schutz der Datenbank

Bedrohung: Der Standard-Datenbankname und das Tabellenpräfix („wp_“) sind leicht zu erraten, so dass ein Angriff auf die Datenbank leicht möglich ist.

Praktischer Tipp:

• Ändern Sie bei der Installation von WordPress das Tabellenpräfix in etwas Eindeutiges (verwenden Sie z. B. 39xw_ statt wp_).
• Wählen Sie nach Möglichkeit auch einen nicht standardisierten Datenbanknamen.

Hinweis: Diese Maßnahme verringert die Wahrscheinlichkeit von Angriffen, schützt aber nicht vor Sicherheitslücken in installierten Plugins.

15. Deaktivieren Sie die Möglichkeit, Dateien über das Panel zu bearbeiten (Dateibearbeitung)

Bedrohung: Wenn sich ein Angreifer Zugang zum Panel verschafft, kann er Dateien über den eingebauten Editor ändern und bösartigen Code einschleusen.

Praktischer Tipp:

Fügen Sie die folgende Zeile in die Datei wp-config.php ein, um den Theme- und Plugin-Editor zu deaktivieren:

define('DISALLOW_FILE_EDIT', true);

Hinweis: Die Notwendigkeit, den Zugriff auf das Panel selbst zu schützen, wird dadurch nicht aufgehoben. Zusätzliche Maßnahmen wie IP-Beschränkung, Zwei-Faktor-Authentifizierung und Änderung der Login-URL sind zwingend erforderlich.

16. Hotlinking (unerwünschte Verwendung von Bildern von außerhalb)

Bedrohung: Andere Websites können Ihre Bilder verwenden, was die Belastung des Servers erhöht und Ihren Datenverkehr beeinträchtigt.

Praktischer Tipp für Apache (in der .htaccess-Datei):

RewriteEngine on  
RewriteCond %{HTTP_REFERER} !^$  
RewriteCond %{HTTP_REFERER} !^http(s)?://(www\.)?yourdomain.com [NC]  
RewriteRule \.(jpg|jpeg|png|gif)$ http://dropbox.com/placeholder.jpg [NC,R,L]

Praktischer Tipp für Nginx:

location ~ .(gif|png|jpe?g)$ {  
 valid_referers none blocked ~.google. ~.bing. ~.yahoo yourdomain.com *.yourdomain.com;  
 if ($invalid_referer) {  
  return 403;  
 }  
}  

Hinweis: Der Hotlinking-Schutz reduziert die Belastung, beseitigt aber nicht die meisten anderen Bedrohungen. Er muss mit anderen Sicherheitsmaßnahmen kombiniert werden.

17. Regelmäßige Backups

Bedrohung: Auch bei umfassendem Schutz kann eine Website kompromittiert werden - Backups ermöglichen eine verlustfreie Datenwiederherstellung.

Praktischer Tipp:

• Richten Sie automatische Backups über spezialisierte Dienste oder Plugins ein (UpdraftPlus, BackupBuddy, BlogVault).
• Speichern Sie Kopien auf externen Quellen (Amazon S3, Google Drive, Dropbox).

Hinweis: Backups sind die letzte Verteidigungslinie. Ihr Vorhandensein verhindert keine Angriffe, ermöglicht es Ihnen aber, den Schaden zu minimieren.

18. Verwendung spezieller Sicherheitsplugins

Zusätzlich zu Ihren eigenen Einstellungen und manuellen Konfigurationsanpassungen empfiehlt es sich, bewährte Sicherheits-Plugins zu installieren und regelmäßig zu aktualisieren, die dabei helfen, Bedrohungen zu erkennen und den Schutz automatisch anzupassen.

Zu den beliebtesten und effektivsten Lösungen gehören:

• WordFence Security - enthält eine Firewall, einen Malware-Scanner, Überwachung eingehender Versuche und mehr.
• iThemes Security - bietet über 30 Einstellungen für einen wirksamen Schutz, z. B. die Begrenzung von Anmeldeversuchen, die Änderung von Anmelde-URLs, die Deaktivierung der Dateibearbeitung im Admin-Bereich und vieles mehr.
• Sucuri Security - bietet Malware-Scans, Überwachung der Dateiintegrität und Warnungen bei verdächtigen Aktivitäten.
• All In One WP Security & Firewall - eine umfassende Lösung, die das Schutzniveau der Website visuell anzeigt und es Ihnen ermöglicht, empfohlene Einstellungen schnell anzuwenden.

Es ist wichtig, daran zu denken, dass das Plugin allein nicht alle Probleme lösen kann. Es sollte daher in Kombination mit anderen Schutzmethoden und regelmäßigen Sicherheitsaudits verwendet werden.

19. WordPress-Sicherheitsschlüssel aktualisieren

WordPress verwendet eine Reihe von eindeutigen „Salts“ (Sicherheitsschlüssel), die die Verschlüsselung der in Cookies gespeicherten Informationen verbessern. Wenn Sie Ihre Website migrieren oder sie von einem Drittentwickler beziehen, sollten Sie diese Schlüssel aktualisieren:

• Besuchen Sie den offiziellen WordPress Security Keys Generator, um neue Werte zu erstellen.
• Fügen Sie die resultierenden Werte in Ihre wp-config.php-Datei ein und ersetzen Sie die alten.

Auf diese Weise werden bereits erstellte Sitzungscookies sofort ungültig, falls sie kompromittiert wurden. Die Aktualisierung der Schlüssel schützt jedoch nicht vor anderen Schwachstellen, daher sollte sie Teil Ihrer allgemeinen Sicherheitsstrategie sein.

20. Verstecken der WordPress-Version

Die Anzeige der WordPress-Version als Meta-Tag (und in der Datei readme.html) kann es Angreifern erleichtern, potenzielle Sicherheitslücken zu erkennen, die für eine bestimmte Version des Systems spezifisch sind. Um die Sicherheit zu verbessern:

- Entfernen Sie das Versions-Meta-Tag aus dem Header, indem Sie den folgenden Code in die functions.php Ihres Themes einfügen:

function wp_version_remove_version() {  
 return '';  
}  

add_filter('the_generator', 'wp_version_remove_version');

- Entfernen Sie die Datei readme.html aus dem Stammverzeichnis Ihrer WordPress-Installation.

III. Schlussfolgerung

Jede der oben aufgeführten Schwachstellen bedroht Ihre WordPress-Website auf andere Weise, und keine einzelne Maßnahme kann das Risiko vollständig beseitigen. Deshalb ist es wichtig, einen umfassenden (mehrschichtigen) Sicherheitsansatz zu verfolgen: ordnungsgemäße Konfiguration der Zugriffsrechte, regelmäßige Updates, Einschränkung des Zugriffs auf das Administrationspanel, Verwendung von HTTPS, Konfiguration der HTTP-Header, Anwendung moderner Sicherheitsmaßnahmen auf Server- und Netzwerkebene und regelmäßige Backups. Wenn Sie alle diese Maßnahmen zusammen anwenden, wird die Wahrscheinlichkeit eines erfolgreichen Hackerangriffs erheblich verringert und Ihr Unternehmen und Ihre Daten geschützt.

Wenn Sie diese praktischen Tipps umsetzen, regelmäßige Sicherheitsprüfungen durchführen und sich über Updates auf dem Laufenden halten, wird Ihre Website wesentlich sicherer und geschützter sein.