WordPress Hosting von METANET
Erschaffen Sie sich mit WordPress Ihre Website schnell selbst. Freuen Sie sich über die pfeilschnelle Ladezeit Ihrer neuen Website.
Aktualität
Es vergeht kein Tag, an dem nicht neue Sicherheitslücken in Software aufgedeckt werden. Umso wichtiger ist es, WordPress immer aktuell zu halten. Das betrifft nicht nur die WordPress-Version, sondern auch Plugins und Themes.
WordPress macht es einem leicht: Steht ein Update zur Verfügung, wird man im Backend darauf aufmerksam gemacht. Seit Version 5.5 lassen sich zudem automatische Updates für Plugins und Themes direkt aktivieren – eine Funktion, die die Update-Sicherheit deutlich verbessert.
Wichtig ist, vor grösseren Updates ein Backup zu machen. Nicht immer versteht sich die neueste WordPress-Version mit dem eingesetzten Theme. Ein Backup kann über das METANET-Plesk_Panel durchgeführt werden. Ein weiterer Tipp: Legen Sie sich eine Kopie Ihres Blogs an (zum Beispiel unter einer Subdomain erreichbar). Dort können Sie Updates gefahrlos testen, bevor Ihre Live-Seite offline geht.
Passwörter und Zugänge
Ein sicheres Passwort ist die Grundlage für den Schutz Ihrer Website. Vermeiden Sie einfache Kombinationen wie «test123» oder persönliche Begriffe, die leicht zu erraten sind. Verwenden Sie stattdessen ein langes, komplexes Passwort mit Buchstaben, Zahlen und Sonderzeichen. Ein Passwortmanager kann dabei helfen, sichere Passwörter zu generieren und zu verwalten.
Zusätzlich empfiehlt sich die Aktivierung einer Zwei-Faktor-Authentifizierung (2FA). Damit benötigen Angreifer neben dem Passwort auch einen zweiten Faktor (z. B. einen Code auf dem Smartphone), um Zugriff zu erhalten. Geeignete Plugins sind zum Beispiel Two Factor oder WordFence Security.
Verwenden Sie ausserdem nicht den Benutzernamen «Admin». Viele Angriffe sind speziell auf diesen Standardnamen ausgerichtet. Wählen Sie stattdessen einen individuellen Benutzernamen für Ihr Administratorkonto.
Admin Bereich absichern
Ein einfaches, aber effektives Mittel ist es, das Verzeichnis wp-admin mit einem Verzeichnisschutz über die .htaccess-Datei abzusichern.
Fügen Sie beispielsweise folgenden Code ein (ersetzen Sie die IP-Adresse durch Ihre eigene):
<Directory /pfad/zu/ihrer/wordpress-installation/wp-admin>
Order Deny,Allow
Deny from all
Allow from 123.45.67.89
</Directory>
Achtung: Diese Methode eignet sich nur, wenn Sie über eine feste IP-Adresse verfügen. Bei dynamischen IPs (wie sie von vielen Internet-Providern vergeben werden) kann es passieren, dass Sie sich selbst aussperren. In diesem Fall sind Plugins wie Plugin Limit Login Attempts Reloaded oder eine Zwei-Faktor-Authentifizierung die bessere Wahl.
Das Limit Login Attempts Reloaded sperrt die IP-Adresse eines Angreifers nach mehreren fehlgeschlagenen Login-Versuchen automatisch. Standardmässig erfolgt die erste Sperre nach vier Versuchen für 20 Minuten, nach weiteren vier Versuchen für 24 Stunden. Diese Werte lassen sich individuell anpassen. Administratoren können sich zudem über die Versuche per E-Mail benachrichtigen lassen.
Themes und Plugins
Installieren Sie nur die Plugins, die Sie wirklich benötigen. Alles, was nicht gebraucht wird, sollte zumindest deaktiviert – besser noch gelöscht – werden. Bevor Sie ein Plugin oder Theme installieren, informieren Sie sich: Auf den offiziellen WordPress-Seiten finden Sie Bewertungen, Angaben zur Häufigkeit von Updates und die Zahl der aktiven Installationen. Achten Sie zudem darauf, Erweiterungen nur aus vertrauenswürdigen Quellen zu beziehen. Sie sind gut beraten, wenn Sie sich an die offiziellen WordPress-Repositories oder bekannte Portale wie themeforest.net halten.
Es lohnt sich ausserdem oft, ein paar Franken in ein Premium-Theme zu investieren. Diese Themes werden in der Regel häufiger aktualisiert und erhalten mehr Aufmerksamkeit in Bezug auf Sicherheit als viele kostenlose Alternativen.
Für zusätzliche Sicherheit können Plugins eingesetzt werden, die Erweiterungen und Themes auf Schadcode oder Schwachstellen prüfen:
- Wordfence Security oder Sucuri Security scannen Ihre Website (inklusive Themes und Plugins) auf Malware und Sicherheitslücken.
- All In One WP Security & Firewall bietet zusätzliche Prüfungen und Härtungsmassnahmen, die sich auch für Einsteiger leicht konfigurieren lassen.
Anti-Spam
Kommentare sind das Salz eines Blogs. Umso ärgerlicher ist es, wenn man bemerkt, dass in den Kommentaren für Medikamente geworben oder auf Schadcode verlinkt wird. Sie können dem begegnen, indem Sie Kommentare nur nach Freigabe anzeigen lassen oder nur Kommentare von registrierten Benutzern zulassen.
Zusätzlich kann ein Captcha beim Kommentarformular helfen, Spam einzudämmen. Hierbei empfiehlt sich der Einsatz moderner Lösungen wie Google reCAPTCHA v3 (unsichtbar für die Besuchenden). Klassische, einfache Captchas gelten als unsicher oder erschweren die Benutzerfreundlichkeit.
Im Bereich Anti-Spam gibt es auch Plugins, die Inhalte automatisiert erkennen und blockieren:
- Akismet ist in jeder WordPress-Installation bereits enthalten. Aufgrund der Übertragung personenbezogener Daten in die USA kann der Einsatz in der Schweiz und in der EU datenschutzrechtlich problematisch sein.
- Antispam Bee ist eine empfehlenswerte Alternative. Es wird aktiv gepflegt, ist datenschutzfreundlich und bietet eine deutsche Dokumentation.
Allround Security Plugins
Neben spezialisierten Erweiterungen gibt es auch Plugins, die viele Sicherheitsfunktionen in einem Paket bündeln:
- iThemes Security (früher Better WP Security) gehört zu den bekanntesten Komplettlösungen und bietet zahlreiche Schutzfunktionen, die sich per Oberfläche einfach aktivieren lassen. Einige Optionen greifen tief ins System ein – ein Backup vor Änderungen ist daher empfehlenswert.
- Wordfence Security kombiniert Firewall, Malware-Scan und Zwei-Faktor-Authentifizierung. Viele Funktionen sind kostenlos, erweiterte Features stehen in der Premium-Version zur Verfügung.
- All In One WP Security & Firewall ist eine einsteigerfreundliche Alternative, die gängige Sicherheitsmassnahmen übersichtlich bündelt.
Trotz aller Bemühungen gehackt?
Keine Sorge – das kann selbst den Besten passieren. Für diesen Fall haben wir einen Erste-Hilfe-Leitfaden für ein gehacktes WordPress zusammengestellt, der Schritt für Schritt erklärt, was zu tun ist. Mit unseren Premium Services können wir Sie ausserdem wirkungsvoll bei der Fehlerbeseitigung oder der Schadcode-Bereinigung ihrer WordPress-Installation unterstützen.
Was es sonst noch gibt...
Wir hatten bereits erwähnt, dass METANET ein Backup für Ihr Webhosting anlegt. Wenn Ihnen das nicht reicht, können Sie zusätzlich das Plugin BackWPup einsetzen. Damit lassen sich Sicherungen automatisiert auf einen FTP-Server oder in verschiedene Cloud-Dienste speichern.
Darüber hinaus gibt es spezialisierte Anbieter wie Sucuri, die sich auf die Absicherung von Content-Management-Systemen spezialisiert haben. Gegen Gebühr überwacht Sucuri Ihre Website kontinuierlich und schützt sie mit einer Web Application Firewall (WAF). Kostenlos bietet Sucuri einen Malware-Check direkt auf der Website an.
Auch METANET unterstützt Sie mit den Premium Services zuverlässig bei der Behebung von Fehlern, der Bereinigung von Schadcode in Ihrer WordPress-Installation oder anderen Arbeiten.
Fazit
Muss man nun alle diese Punkte umsetzen? Nein, sicher nicht. Wenn Sie Ihr WordPress aktuell halten und bei der Auswahl von Plugins sorgfältig sind, haben Sie schon sehr viel gewonnen. Eine Absicherung des Admin-Bereichs – sei es per .htaccess oder Plugin – und sichere Passwörter gehören unbedingt dazu.
Ein Anti-Spam-Plugin ist dann sinnvoll, wenn Ihre Website viele Kommentare bekommt. Wer schon einmal erlebt hat, wie die Kommentarzahl über Nacht explodiert, weiss den Schutz zu schätzen.
Wer tiefer in die Materie einsteigen will, kann auf Allround-Sicherheitsplugins wie iThemes Security, Wordfence oder All In One WP Security & Firewall zurückgreifen. Ob wirklich alle angebotenen Optionen nötig sind, lässt sich diskutieren – aus unserer Sicht sind Konzepte wie «Security through obscurity» (z. B. das Ändern des Tabellen-Präfix) eher überflüssig und fehleranfällig.
Für Website-Betreiberinnen und -Betreiber, die ihre Website professionell nutzen und sich nicht mit vielen Einstellungen herumschlagen möchten, sind kostenpflichtige Sicherheitslösungen eine sinnvolle Überlegung.
Zum Schluss: Vergessen Sie nicht die Sicherheit am eigenen PC. Halten Sie Ihr Betriebssystem und alle Programme aktuell und nutzen Sie eine Antiviren-Software. Denn selbst die beste WordPress-Sicherheit hilft nichts, wenn ein Trojaner auf Ihrem Rechner Ihre Zugangsdaten ausliest.
Update: Weg mit dem Admin-Usernamen
Viele ältere WordPress-Installationen verwenden noch den Standard-Benutzernamen «Admin». Hacker machen sich das zunutze und starten automatisierte Angriffe, die gezielt auf diesen Namen abzielen – oft in Kombination mit schwachen Passwörtern wie «123456». Damit wird Ihre Website unnötig angreifbar.
Wenn Ihr Administratorkonto noch «Admin» heisst, sollten Sie das ändern. In diesem Beitrag zeigen wir Ihnen Schritt für Schritt, wie Sie einen individuellen Benutzernamen anlegen und damit die Sicherheit Ihres WordPress-Blogs deutlich erhöhen.
Vergessen Sie dabei nicht, gleichzeitig auch ein wirklich starkes Passwort zu verwenden.
Schritt 1: Einen neuen Usernamen finden
Für den Benutzernamen gilt: Er sollte individuell sein und sich nicht leicht erraten lassen. Wählen Sie also nicht einfach «Admin», «Test», Ihren Vornamen oder Ihr Geburtsjahr, sondern eine Kombination, die nicht auf der Hand liegt.
Im Unterschied zum Passwort muss der Benutzername nicht extrem komplex sein – er sollte aber so gewählt sein, dass er in keiner Wörterbuchliste oder gängigen Kombination vorkommt.
Notieren Sie sich den neuen Benutzernamen oder speichern Sie ihn in einem Passwortmanager, damit Sie ihn nicht vergessen.
Schritt 2: Einen neuen Usernamen hinzufügen
Loggen Sie sich als «Admin» ein und öffnen Sie im Dashboard den Menüpunkt «Benutzer → Neu hinzufügen».
Legen Sie nun einen neuen Benutzer mit Administrator-Rechten an. Vergeben Sie dabei ein starkes Passwort und füllen Sie alle Felder sorgfältig aus.
Anschliessend klicken Sie auf «Neuen Benutzer hinzufügen», melden sich einmal ab und direkt mit dem neuen Konto wieder an.
Schritt 3: Usernamen Admin entfernen
Nachdem Sie sich mit Ihrem neuen Konto eingeloggt haben, gehen Sie im Dashboard auf «Benutzer → Alle Benutzer».
Setzen Sie nun ein Häkchen beim bisherigen «Admin»-Konto und wählen Sie «Löschen».
Wichtig: WordPress fragt Sie im nächsten Schritt, was mit den Beiträgen und Seiten geschehen soll, die bisher unter «Admin» erstellt wurden.
Wählen Sie hier unbedingt die Option «Alle Inhalte dem neuen Benutzer zuordnen» und bestätigen Sie erst dann das Löschen. So bleiben alle Beiträge erhalten, werden aber dem neuen Konto zugeordnet.
Schritt 4: Einen neuen öffentlichen Namen wählen
Viele Themes blenden den Autorennamen bei Beiträgen ein. Das ist sinnvoll – sollte aber nicht identisch mit Ihrem Login-Benutzernamen sein, sonst geben Sie Angreifern unnötig einen Hinweis auf Ihren Login.
So ändern Sie den angezeigten Namen:
- Gehen Sie im Dashboard zu «Benutzer → Ihr Profil».
- Scrollen Sie zum Bereich «Name».
- Tragen Sie bei «Spitzname (required)» den Namen ein, der öffentlich erscheinen soll (z. B. Vor- und Nachname oder ein Pseudonym).
- Wählen Sie im Dropdown «Öffentlicher Name» genau diesen Spitznamen aus.
- Klicken Sie unten auf «Profil aktualisieren».
Damit wird bei Beiträgen Ihr öffentlicher Anzeigename ausgegeben – nicht Ihr Login-Benutzername.
Damit haben Sie den alten Standard-User «Admin» erfolgreich ersetzt und einen individuellen, sichereren Zugang eingerichtet. Zusammen mit einem starken Passwort und den anderen Tipps aus diesem Artikel haben Sie einen wichtigen Schritt gemacht, um Ihre WordPress-Installation besser vor Angriffen zu schützen.
Hinweis zu Plugins
Die in diesem Artikel genannten Plugins und Tools sind verbreitete Empfehlungen aus der WordPress-Community. Bitte beachten Sie, dass METANET für die Funktionsweise, Sicherheit oder Weiterentwicklung dieser Erweiterungen keine Verantwortung übernimmt. Prüfen Sie daher stets vor der Installation, ob ein Plugin aktuell gepflegt wird und zu Ihrer individuellen WordPress-Installation passt.
