Ihre Website sieht großartig aus, Sie haben hervorragenden Traffic und sind insgesamt zufrieden. All das ist jedoch wertlos, wenn Ihre Website gehackt wird und Sie Inhalte, Kunden und den Zugang zu Ihrer Seite verlieren.
Um genau das zu verhindern, habe ich dieses umfassende Sicherheitskonzept für Ihre WordPress-Website geschrieben.
Ich habe den gesamten Artikel Hardening WordPress durchgearbeitet, um Ihnen zu zeigen, wie Sie alle Sicherheitsempfehlungen in einer einfachen Schritt-für-Schritt-Anleitung umsetzen und Ihre WordPress-Website kugelsicher gegen Hacking-Versuche machen.
Contents
Video: So sichern Sie Ihre WordPress-Website
Wenn Sie lieber ein Video anschauen, anstatt diesen Artikel zur Absicherung Ihrer WordPress-Seite zu lesen, können Sie sich dieses Video ansehen:
Ich habe diesen Artikel in drei Schritte unterteilt.
- Zunächst betrachten wir die Grundlage für eine sichere WordPress-Website: den Hosting-Anbieter.
- Im zweiten Schritt installieren wir das Plugin „WP STAGING", um beim Installieren neuer Plugins oder Themes ein Sicherheitsnetz zu schaffen. Außerdem richten wir ein Backup-Plugin ein, um die WordPress-Website im schlimmsten Fall nach einem erfolgreichen Hacking-Angriff schnell wiederherzustellen.
- Im letzten Schritt richten wir das Sicherheits-Plugin „Solid Security" ein, um Angreifer am Zugriff auf unsere Website zu hindern.
Den richtigen Hosting-Anbieter wählen
Beginnen wir mit dem Sicherheitsfundament Ihrer Website: dem Hosting-Anbieter.
Es gibt unzählige Webhoster, und die meisten erfüllen die Mindestanforderungen für WordPress. Doch einen aus der Masse herauszupicken kann zeitaufwendig sein.
- PHP-Version 7.4 oder höher.
- MySQL-Version 8.0 oder höher ODER MariaDB-Version 10.5 oder höher.
- HTTPS-Unterstützung
[Gilt für WordPress 6.7 – März 2025]
Stellen Sie auf jeden Fall sicher, dass Ihr Anbieter diese Anforderungen erfüllt.
Wenn Sie sich unsicher sind, welchen Anbieter Sie wählen sollen, entscheiden Sie sich für einen der von WordPress.org empfohlenen Hosting-Anbieter.
Wenn Sie bereits einen der empfohlenen Anbieter verwenden oder die Sicherheitskriterien Ihres Anbieters überprüft haben, können Sie Ihre Seite weiter absichern.
Sichere Updates und Erstellen eines Backups
WordPress-Core und Plugins regelmäßig zu aktualisieren wird empfohlen, um Sicherheitsprobleme und Fehler zu beheben, denn veraltete Software erhält keine Sicherheitsupdates mehr und Ihre Website wird viel anfälliger für bösartige Hacking-Versuche.
Stellen Sie also sicher, dass Sie den WordPress-Core sowie Plugins und Themes auf dem neuesten Stand halten. Öffnen Sie das WordPress-Dashboard und klicken Sie auf „Aktualisierungen". Sie erhalten eine Übersicht über die Updates des WordPress-Core-Systems, der Plugins und der Themes.
Manche WordPress-Nutzer haben Angst davor, ihre WordPress-Seiten zu aktualisieren. Sie befürchten, dass dadurch ihre Website beschädigt wird.
Wir behandeln dieses Thema in einem separaten Artikel namens „Warum & wie Sie die automatischen WordPress-Updates deaktivieren sollten."
Sicheres Aktualisieren mit „WP STAGING"
Um Schäden an Ihrer Website beim Testen und Vornehmen von Anpassungen zu vermeiden, können Sie das kostenlose Plugin „WP STAGING" verwenden.
Öffnen Sie im Seitenmenü den Bereich „Plugins" und klicken Sie auf „Installieren". Geben Sie dann „WP STAGING" in die Suchleiste ein. Installieren und aktivieren Sie das Plugin.
Öffnen Sie das WP STAGING-Plugin. Klicken Sie dann auf „Create Staging Site", vergeben Sie einen Namen und klicken Sie auf „Start Cloning". Das Plugin erstellt eine Kopie Ihrer Seite. Anschließend können Sie über die Schaltfläche „Open Staging Site" auf Ihre Staging-Seite zugreifen und alle Änderungen in einer sicheren Umgebung ausprobieren, ohne Ihre Produktivseite zu gefährden.
Ich empfehle, direkt mit der Umsetzung zu starten und die im Artikel beschriebenen Anpassungen auf einer Staging-Seite zu testen, statt direkt auf Ihrer Website zu arbeiten.
An der orangefarbenen Menüleiste erkennen Sie, dass Sie auf der von WP STAGING erstellten Staging-Seite arbeiten.
Ein Backup mit „WP Staging" erstellen
Das Backup Ihrer Website ist ein grundlegender Prozess für jede WordPress-Seite. Um nicht im schlimmsten Fall, wenn Ihre Website gehackt wird, alle Fortschritte, Daten und Bestellungen zu verlieren, müssen Sie ein Backup Ihrer WordPress-Seite haben.
Fangen wir an.
Gehen Sie zu WordPress > Plugins > Installieren und suchen Sie nach „WP STAGING"
Wenn Sie sich unsicher sind, wie man das Plugin installiert, schauen Sie sich unseren Artikel „How to install WP STAGING | PRO" an.
Klicken Sie nun auf die Schaltfläche „Backup & Migration". WP STAGING | PRO sucht nach vorhandenen Backups.
Die Optionen sind „Create Backup" und „Upload Backup".
Klicken Sie auf „Create a backup".
Sie können optional einen Namen vergeben, mit dem Sie das Backup identifizieren können.
Wenn Sie zum Beispiel planen, WooCommerce oder ein anderes Plugin zu aktualisieren, können Sie Ihr Backup „Backup before installing WooCommerce" nennen.
Wählen Sie dann die Komponenten Ihrer Website aus, die WP STAGING | PRO in das Backup einbeziehen soll. Lassen Sie alle Kästchen angehakt, es sei denn, Sie möchten einen bestimmten Test durchführen. Klicken Sie nun auf „Start Backup".
Die benötigte Zeit für die Erstellung eines Backups variiert und hängt von der Größe Ihrer Website ab, aber die Backup-Funktion von WP STAGING ist ziemlich schnell und in der Regel deutlich schneller als andere Backup-Tools. Besonders bei großen Websites werden Sie einen erheblichen Performance-Vorteil gegenüber anderen Tools bemerken.
Sobald das Backup fertig ist, finden Sie das neu erstellte Backup in der Liste „Your Backups". Die Symbole zeigen an, welche Komponenten im Backup enthalten sind.
Die Backup-Datei herunterladen
Um das Backup herunterzuladen, klicken Sie auf Actions und Download. Damit wird eine Datei mit der Endung „.wpstg" heruntergeladen.
Es wird immer empfohlen, die Backup-Datei auf einen lokalen Computer herunterzuladen, denn Sie möchten sicherstellen, dass Sie immer Zugriff auf die Backup-Datei haben. Wenn beispielsweise ein Angreifer Ihre Website hackt, könnte er die Backup-Datei von dort löschen, und Sie könnten die Seite nicht mehr wiederherstellen.
Die Backup-Datei wiederherstellen
Um das Backup im Falle einer defekten Website wiederherzustellen, können Sie entweder das Backup aus der Liste der vorhandenen auswählen oder, wie empfohlen, die Backup-Datei von Ihrem lokalen Computer hochladen.
Eine großartige Funktion ist, dass Sie die Backup-Datei sogar auf jede andere bestehende WordPress-Website hochladen und damit Ihre Website auf einen anderen Server oder eine andere Seite klonen können.
Gehen Sie zurück zu WP STAGING und klicken Sie auf die Schaltfläche „Upload Backup".
Wählen Sie das heruntergeladene Backup aus dem Datei-Explorer aus und laden Sie es hoch.
Sobald das Backup hochgeladen ist, klicken Sie auf Actions und die Schaltfläche „Restore", und ein Popup erscheint. Laden Sie Ihre Backup-Datei per Drag-and-Drop hoch, geben Sie eine „URL" ein oder laden Sie sie per „FTP" in das angegebene Verzeichnis hoch. Darin sehen Sie zwei Schaltflächen: „Cancel" und „Next". Klicken Sie auf „Next", um fortzufahren.
Nachdem Sie auf „Next" geklickt haben, erscheint ein neues Feld. Klicken Sie dann auf „Restore", um die Wiederherstellung zu starten.
Wenn die Wiederherstellung erfolgreich ist, sehen Sie das „Finished Successfully"-Modal.
Öffnen Sie Ihre Website und testen Sie, ob die Seite wie vorgesehen funktioniert und vollständig einsatzbereit ist.
Automatische Backups planen
Mit WP STAGING können Sie Zeit und Aufwand sparen, indem Sie Backups automatisch ausführen lassen. Sie müssen sich nicht mehr daran erinnern, Ihre Seite jedes Mal zu sichern, wenn Sie eine Änderung vornehmen. Sie können sich zurücklehnen, in dem Wissen, dass Ihre Website stets gesichert und sicher ist.
Backup „Create Backup", entfernen Sie das Häkchen bei „One-Time-Only" und wählen Sie dann aus den angezeigten Optionen, wie oft Backups erfolgen, wann sie starten und wie viele Backups aufbewahrt werden sollen.
Das war’s. Mit Hilfe von WPSTAGING | PRO haben Sie ein Backup Ihrer gesamten WordPress-Website erstellt und wiederhergestellt.
Härtung Ihrer Website mit einem Security-Plugin
Zur Vorbereitung dieses Artikels habe ich die beliebtesten Security-Plugins ausprobiert: „WordFence" und „Solid Security".
Beide sind hervorragende Plugins, aber ich habe mich für Solid Security entschieden, wegen der einfacheren Einrichtung und der zusätzlichen Funktionen zur Härtung der WordPress-Website.
Das Plugin „Solid Security" installieren
Installieren und aktivieren Sie das Plugin. Nun können wir den neuen Tab „Security" im Seitenmenü öffnen, indem wir auf „Settings" klicken.
Eine initiale Sicherheitsprüfung starten
Der Solid Security „Security Check" öffnet sich. Dieser „Security Check" ist ein Ein-Klick-Tool, das die auf jeder WordPress-Seite erforderlichen Module installiert. Dazu gehören zum Beispiel die „Brute Force Protection" oder die Durchsetzung von „Strong Passwords". Ich werde die Funktionen der verschiedenen Module direkt nach dem „Security Check" erläutern.
Wählen Sie „Security Check Scan" aus, um fortzufahren.
Zwei weitere Klicks sind erforderlich, um den Vorgang abzuschließen.
Solid Security: SSL, Network Bruteforce Protection
Der eine Klick bestätigt die „Umleitung von HTTP-Anfragen auf HTTPS-Anfragen". Diese Funktion stellt sicher, dass Ihren Besuchern keine unverschlüsselten Seiten zur Verfügung stehen.
Der andere Klick aktiviert die „Network Brute Force Protection".
Ein Brute-Force-Angriff ist eine Methode, die versucht, Passwörter oder Schlüssel durch automatisiertes, zufälliges Ausprobieren herauszufinden. Solid Security schützt die Website mit „Local Brute Force Protection" und durch ein Netzwerk von „Brute Force Protection". Sie fügen Ihre WordPress-Seite dem Netzwerk hinzu, und Security schützt Ihre Website vor Angriffen, die bereits auf einer anderen Seite stattgefunden haben.
Die Admin-E-Mail-Adresse ist hier standardmäßig ausgewählt.
Sie können mich auch autorisieren, über die Neuigkeiten informiert zu werden; ich lasse diese Option auf „No".
Bestätigen Sie die Aktivierung und schließen Sie den Security Check.
Malware-Scanner
Wie viele Plugins bietet Solid Security eine kostenlose und eine Pro-Version. Sie können im Laufe des Artikels entscheiden, ob Sie die Pro-Version für nützlich halten. Wenn eine Funktion aus der Premium-Version für Sie sinnvoll ist, werde ich sie erwähnen.
Zuerst werfen wir einen Blick auf den Malware-Scan.
WordPress.org weist darauf hin, dass es wichtig ist, nicht die gesamte Sicherheitsverantwortung auf den Webhoster abzuwälzen, sondern dies selbst in die Hand zu nehmen. Dabei beziehen sie sich insbesondere auf die installierten Anwendungen.
Wir nutzen den Solid Security Malware-Scanner, um zu prüfen, ob installierte Anwendungen von Solid Security als bösartig eingestuft werden.
Dazu scrollen wir nach unten und finden den Scanner auf der rechten Seite. Die kostenlose Version von Solid Security hat ebenfalls einen Malware-Scanner, allerdings einen manuellen. Die Pro-Version verfügt über einen automatischen Malware-Scanner.
Klicken Sie auf „Run Scan", um Ihre Website zu scannen. Gehen Sie anschließend zur „logs page", um die Ergebnisse zu prüfen.
Installieren Sie Plugins nur aus vertrauenswürdigen Quellen, um bösartigen Anwendungen keine Chance zu geben, auf Ihre Website zu gelangen.
Die empfohlenen Module von „Solid Security"
Nun kommen wir zu den einzelnen Modulen von Solid Security. Es gibt zwei Darstellungsansichten, die „block view" und die „list view". Es ist einfacher, die verschiedenen Module Schritt für Schritt in der Listenansicht durchzugehen; wir ändern die Anzeige oben links von „block-" auf „list view".
Security Check
Das Modul „Security Check" listet lediglich die Standard-Vorkehrungen auf, die wir zu Beginn der Einrichtung bestätigt haben.
Globale Einstellungen
„Write to Files": Wenn Sie diese Option deaktivieren, müssen Sie die Konfigurationsoptionen manuell in die Dateien „wp-config.php" und „.htaccess" einfügen. Daher empfehle ich nicht, dieses Häkchen zu entfernen.
Da wir die Dateiberechtigungen später anpassen werden, werden wir die Schreibrechte für diese Dateien ohnehin entziehen, sodass es sinnvoll ist, Solid Security die Anpassungen bis zu diesem Zeitpunkt vornehmen zu lassen.
„Lockout messages" werden dem Host, Benutzer oder der Community angezeigt, wenn Solid Security sie aus Ihrer WordPress-Seite aussperrt oder ihre IP-Adresse als bösartig markiert. Sie können diese Nachrichten bearbeiten, um sie freundlicher zu gestalten, falls Sie Kundenkonten auf Ihrer Website haben.
Darunter befinden sich die spezifischen Einstellungen für die Sperren. Die „Lockout Period" gibt an, wie lange WordPress den Benutzer / die IP-Adresse nach Erreichen des maximalen Limits an falschen Anmeldeversuchen sperrt.
Die „Ban Lookback Period" regelt, wie lange Solid Security die Sperren merkt und aufsummiert. „Ban Threshold" bestimmt, wie viele Sperren ein Benutzer oder eine IP-Adresse erhalten darf, bevor er dauerhaft gesperrt wird.
Solid Security: Lockout-Einstellungen, um festzulegen, wie viele Anmeldeversuche ein Benutzer / eine IP-Adresse hat, bevor er gesperrt wird. Wir scrollen zum Modul „Local Brute Force Protection".
„Minutes to Remember Bad Login" gibt an, wann Solid Security die falschen Anmeldeversuche addiert. Solid Security zählt zwei Versuche, wenn der Benutzer / die IP-Adresse falsche Anmeldedaten um 17:05 und 17:07 Uhr eingibt. Wenn der Angreifer den nächsten falschen Anmeldeversuch um 18:00 Uhr macht, beginnt der Zähler wieder bei 1.
Im Bereich „Max Login Attempts Per User" können Sie festlegen, wie viele Versuche ein Benutzername hat, bevor er gesperrt wird.
„Max Login Attempts Per Host" klingt sehr ähnlich. Dieser Bereich kommt zum Tragen, wenn ein Angreifer mehrere Computer innerhalb einer IP-Adresse verwendet. Die IP-Adresse wird gesperrt, sobald der Angreifer diesen Wert erreicht.
Passen Sie die Einstellungen in „Local Brute Force Protection" und „General settings" an Ihre Website an. Wenn Sie Kundenkonten auf Ihrer Website haben, können Sie den maximalen Wert für falsche Anmeldeversuche etwas höher setzen oder die Sperrdauer verkürzen. Für Websites, auf denen nur Sie sich anmelden, können Sie weniger Anmeldeversuche zulassen.
Beispiel: Ein Benutzer versucht, sich innerhalb von fünf Minuten fünfmal in Ihre WordPress-Seite einzuloggen. „Local Brute Force Protection" sperrt den Benutzer für 15 Minuten. Solid Security sperrt den Benutzer dauerhaft, wenn sich diese Sperre innerhalb von sieben Tagen zweimal wiederholt.
Lassen Sie uns mit dem Modul „Global Settings" fortfahren.
Die „Authorized Hosts List" ermöglicht es Ihnen, Hosts hinzuzufügen, die Solid Security nicht von der WordPress-Seite ausschließt. Diese Option verhindert, dass Sie den Zugriff auf Ihre Seite verlieren, falls Sie eine Sperre auslösen sollten.
Klicken Sie dazu auf „Add my current IP to the Authorized Hosts List".
WordPress.org empfiehlt, sich tiefer mit dem Logging Ihrer WordPress-Website zu beschäftigen, um Probleme zu beheben oder herauszufinden, was passiert ist, und Ihre Seite nach einem Hack wiederherzustellen.
Solid Security kann sowohl „File Logs" als auch „Database Logs" speichern. Wie im Modul „Site Scan" erwähnt, können Sie über das Seitenmenü auf die Logs zugreifen, indem Sie auf „Logs" klicken.
Wenn Sie bereits viele Plugins verwenden und Ihr WordPress-Menü aufgeräumt halten möchten, können Sie dies tun, indem Sie das Kästchen unter „Hide Security Menu in Admin Bar" anhaken.
Notification Center
Scrollen Sie im Modul „Notification Center" nach unten zu „Site Lockouts". Diese Einstellung ist standardmäßig aktiviert, was bedeutet, dass Sie jedes Mal eine E-Mail-Benachrichtigung erhalten, wenn ein Benutzer oder Host gesperrt wird. Die Konfiguration hängt individuell von Ihrer Website ab. Es wäre am besten, diese Option für Websites zu deaktivieren, auf die Kunden oder viele WordPress-Benutzer zugreifen, da häufig jemand sein Passwort vergisst. Wenn Sie diese Seite jedoch nur selbst nutzen, können Sie sie mit ruhigem Gewissen aktivieren, da Sie direkt über einen möglichen Hack-Angriff informiert werden können.
User Groups
Wir müssen keine Einstellungen unter „User Groups" anpassen.
Away Mode
Ich empfehle, den „Away Mode" mit Vorsicht zu aktivieren, da dies das WordPress-Dashboard für alle Benutzer für eine ausgewählte Zeit unzugänglich macht.
Banned User
Unter dem Tab „Banned User" können Sie die IP-Adressen bestimmter Benutzer oder Hosts sperren. Diese Option bedeutet, dass Sie dieser IP-Adresse sofort und vollständig den Zugriff auf Ihre Website verweigern. Die Liste funktioniert wie die „Authorized Hosts List", nur umgekehrt. Statt bestimmte IP-Adressen niemals zu sperren, sperrt diese Liste sie vollständig.
Database Backup
Sie können die Funktion „Database Backup" deaktivieren, da wir bereits ein Backup-Plugin installiert haben, das sowohl Datenbank- als auch Datei-Backups erstellt.
File Change Detection
Ich empfehle, „File Change Detection" zu aktivieren. Wenn zum Beispiel ein Angreifer den Server Ihres Hosting-Anbieters gehackt hat und versucht, Ihre WordPress-Core-Dateien zu ändern oder zu löschen, erhalten Sie eine E-Mail-Benachrichtigung. WordPress.org empfiehlt, das Monitoring von Dateiänderungen zu aktivieren.
File Permission
Das Modul „File Permission" bietet uns interessante Einblicke in den Kern unserer WordPress-Seite. Es wird empfohlen, die Dateiberechtigungen zu überprüfen.
Öffnen Sie das Modulfenster und klicken Sie auf „Load File Permission Details". Solid Security zeigt nun die Dateipfade der sicherheitsrelevanten WordPress-Dateien sowie die Zugriffsrechte auf die Dateien oder Ordner an. Sowohl der Ist-Wert als auch der Soll-Wert werden angezeigt. In meinem Fall schlägt Solid Security an zwei Stellen eine Änderung vor: bei den Dateien „wp-config.php" und „.htaccess".
Eine dreistellige Zahl regelt die Dateiberechtigung. Die erste Zahl regelt die Berechtigungen für den „user"; das ist der Administrator der Website. Mehrere Personen können Administratorrechte haben. Die zweite Zahl regelt die Berechtigungen für die „Group"; dazu gehören die anderen Benutzer Ihrer Website, zum Beispiel Editoren, Autoren oder andere Benutzerrollen. Die letzte Zahl beschreibt die Rechte für „World", was jeden im Internet einschließt, der auf Ihre Seite zugreift.
Die wp-config.php ist die Konfigurationsdatei Ihrer WordPress-Anwendung. Da dies eine der kritischsten Dateien ist, müssen Sie sicherstellen, dass Sie sie angemessen geschützt haben.
Solid Security empfiehlt hier die „444"; jeder hat Lesezugriff, aber niemand kann schreiben.
WordPress.org empfiehlt, die Datei mit „400" / „440" zu schützen. Beim Wert „440" haben Sie als Administrator und der Benutzer Lesezugriff, aber kein Besucher. Bei „400" haben nur Sie als Administrator Lesezugriff; dies ist die sicherste Option.
Es ist wichtig zu verstehen, dass sich diese Dateiberechtigungen auf die eigentliche Website beziehen; Sie als Inhaber der Seite können diese Berechtigungen jederzeit über FTP / cPanel anpassen und verlieren niemals den tatsächlichen Zugriff.
Welchen Wert man wählt, hängt von der Server-Konfiguration ab. WordPress.org empfiehlt, Ihre Dateiberechtigungen so streng wie möglich zu sperren und diese Einschränkungen nur zu lockern, wenn Sie Schreibzugriff zulassen müssen. Das heißt: Beginnen Sie mit der Berechtigung „400" oder „440" und erhöhen Sie den Wert von dort aus, bis WordPress funktioniert. Verwenden Sie maximal „600" oder „640".
Jetzt verstehen Sie, wie die Dateiberechtigungen aufgebaut sind und welche Berechtigungen wir anpassen müssen.
Es wäre jedoch kontraproduktiv, die Anpassung der Dateiberechtigungen sofort umzusetzen, denn dann würden wir Solid Security die Schreibrechte entziehen, was bedeuten würde, dass wir die Änderungen am Ende der Einrichtung manuell in die Datei „wp-config.php" einfügen müssten.
Wir passen die Dateiberechtigungen an, während wir das Modul „System Tweaks" behandeln.
Local Brute Force Protection
Das nächste Modul ist „Local Brute Force Protection". Diese Einstellungen haben wir bereits in den allgemeinen Einstellungen vorgenommen.
Network Brute Force Protection
Auch die Einstellungen zu „Network Brute Force Protection" haben wir am Anfang beim „Security Check" vorgenommen.
Password Requirements
Die Verwendung eines sicheren Passworts ist ein weiterer entscheidender Aspekt, um potenzielle Schwachstellen zu vermeiden.
Sie sollten bei der Wahl eines Passworts Folgendes vermeiden:
Das Modul „Strong Password" hilft, diese Anforderungen umzusetzen.
Standardmäßig aktiviert Solid Security diese Einstellung für alle Benutzerrollen. Sie sollten diese Einstellungen basierend auf Ihrer Website anpassen. Zum Beispiel können Sie starke Passwörter nur für die Benutzerrolle Administrator erzwingen.
Zwei-Faktor-Authentifizierung wird ebenfalls empfohlen.
Die Zwei-Faktor-Authentifizierung verlangt von Benutzern, sich über eine zweistufige Authentifizierungsmethode anzumelden. Der erste Schritt ist Benutzername und Passwort, und der zweite Faktor ist eine Authentifizierung mittels eines Codes, der von einem separaten Gerät oder einer App stammt.
Dieses Feature ist in der Pro-Version von Solid Security verfügbar. Alternativ können Sie nach dem kostenlosen Zwei-Faktor-Authentifizierungs-Plugin „WP2FA" im Plugin-Repository suchen.
Zuerst müssen Sie das Two-Factor-Authentication-Plugin installieren und aktivieren. Klicken Sie nach der Aktivierung in den WordPress-Plugins unter „WP 2FA – Two-factor authentication for WordPress" auf „Configure 2FA Settings". Dies führt Sie zum „Setup-Wizard".
Installieren Sie als Nächstes eine 2FA-App auf Ihrem Telefon. Ich empfehle den „Google Authenticator".
Öffnen Sie Ihre Authentifizierungs-App und scannen Sie den QR-Code im „Setup wizard".
Geben Sie den in der App auf Ihrem Smartphone angezeigten Code ein.
Wenn Sie weitere Hilfe beim Einrichten der App benötigen, klicken Sie auf „For detailed guides for your desired app, click below".
Das war’s; Ihre Authentifizierungs-App speichert nun den einmalig von „WP2FA" gesendeten Code. Nehmen Sie nun die Einstellungen vor, die zu Ihrer WordPress-Seite passen.
Beim nächsten Login auf Ihrer Website fragt das Plugin nach Eingabe Ihres Passworts nach dem Zwei-Faktor-Authentifizierungscode.
Öffnen Sie dazu erneut die Authentifizierungs-App auf Ihrem Telefon und geben Sie den dort angezeigten Code ein.
Gehen wir zurück zu Solid Security.
SSL
Das Modul „SSL" leitet alle „HTTP"-Anfragen an HTTPS-Anfragen weiter, sofern ein SSL-Zertifikat verfügbar ist. Solid Security hat dieses Modul im „Security Check" aktiviert.
System Tweaks
Öffnen Sie „System Tweaks" und klicken Sie auf „Enable". Wir müssen einige Kästchen anhaken. Die Module „System Tweaks" und „WordPress Tweaks" enthalten mehrere Optimierungen, um die Sicherheit Ihrer WordPress-Seite weiter zu verbessern. Einige dieser Optionen können jedoch mit Ihrer Website in Konflikt geraten; es hängt von Ihrer Website ab. Überprüfen Sie daher bitte nach jeder Aktivierung die volle Funktionalität, indem Sie das Kästchen anhaken, auf „Save Settings" klicken und das Frontend der Seite neu laden.
Directory browsing: Hacker können das Durchsuchen von Verzeichnissen nutzen, um herauszufinden, ob es auf Ihrer WordPress-Seite Dateien mit bekannten Schwachstellen gibt, sodass die Angreifer diese Dateien nutzen können, um Zugriff auf Ihre Website zu erhalten.
Das Durchsuchen von Verzeichnissen kann auch verwendet werden, um in Ihre Dateien zu schauen, Bilder zu kopieren, Ihre Verzeichnisstruktur herauszufinden und andere Informationen über die Website zu erhalten. Aus diesem Grund empfehle ich dringend, „disable directory browsing" zu aktivieren.
Um zu testen, ob das Directory Browsing Ihrer Seite bereits deaktiviert ist, geben Sie example.com/wp-content ein. Wenn Sie eine leere Seite erhalten, ist alles in Ordnung, aber wenn Ihre Website Besuchern Zugriff auf das Verzeichnis erlaubt, liegt ein erhebliches Sicherheitsproblem vor.
File write permissions: Wie im Modul „File Permission" erwähnt, erlaubt Solid Security nur, Dateiberechtigungen auf den Wert „444" zu setzen.
Da WordPress.org jedoch empfiehlt, „400" oder „440" zu verwenden, ändern wir dies manuell per FTP.
Ich nutze „FileZilla", um über FTP auf die Datenbank der WordPress-Installation auf dem Server des Hosting-Anbieters zuzugreifen. Alternativ können Sie dies auch über cPanel tun.
Verbinden Sie sich mit dem Server; „Host", „Username" und „Password" erhalten Sie von Ihrem Hosting-Anbieter.
Es wird empfohlen, SFTP-Verschlüsselung bei der Verbindung zu Ihrem Server zu verwenden. Wenn Sie sich unsicher sind, ob Ihr Webhoster SFTP anbietet, fragen Sie nach. Die Nutzung von SFTP ist die gleiche wie FTP, mit dem Unterschied, dass Ihr Passwort und andere Daten verschlüsselt und zwischen Ihrem Computer und Ihrer Website übertragen werden.
Öffnen Sie den Ordner „HTML". Dort finden Sie die Datei wp-config.php.
Wählen Sie die Datei „wp-config.php" aus und klicken Sie mit der rechten Maustaste darauf, um das Kontextmenü zu öffnen. Klicken Sie auf „file permission".
Nun können Sie die gewünschten Dateiberechtigungen vergeben. Ich entziehe „public" und „group" die Leserechte und entziehe dem „owner", auch bekannt als „admin", die Schreibrechte.
Klicken Sie auf OK, und FileZilla speichert die neuen Berechtigungen.
Nehmen Sie dieselben Änderungen erneut für die Datei „.htaccess" vor. Entziehen Sie „public" und „group" die Leserechte und entziehen Sie dem „owner" die Schreibrechte.
Ändern Sie nicht die anderen Dateipfade, zum Beispiel den Pfad „wp-content"; andernfalls funktioniert WordPress nicht mehr korrekt.
Kehren wir zum Modul „System Tweaks" in Solid Security zurück.
„PHP in uploads, PHP in plugins, PHP in themes." Wenn jemand versucht, eine PHP-Datei ins Frontend Ihrer Website hochzuladen, einschließlich der Bereiche Medien, Plugins und Themes, ist dies fast immer ein möglicher Angriff. Diese Option verbietet daher das „PHP"-Dateiformat für diese Verzeichnisse.
WordPress Salts
„WordPress Salts" schützen die Passwörter, die Sie im Browser speichern. Wenn Sie Ihr Passwort beim Einloggen im Browser speichern, speichert WordPress dieses Passwort in zwei Cookies. Hätte WordPress Ihr Passwort jedoch im Klartext gespeichert, könnten Angreifer es schnell entschlüsseln.
Sicherheitsschlüssel und Salts vermeiden dieses Problem, indem sie zusammenarbeiten, um dieses Klartext-Passwort kryptografisch in ein zufälliges Zeichenwirrwarr zu verwandeln.
Sie finden diese Sicherheitsschlüssel und Salts in der Datei wp-config.php; vier Schlüssel und vier Salts.
Durch Bestätigen von „Change WordPress Salts" und Speichern der Einstellungen ändert Solid Security die WordPress-Salts. Das bedeutet jedoch auch, dass alle Benutzer aus ihrer aktuellen Sitzung ausgeloggt werden und sich erneut anmelden müssen. Überlegen Sie also, wann Sie diese Änderung vornehmen. Solid Security empfiehlt, die WordPress-„Salts" mindestens einmal pro Monat zu ändern.
WordPress tweaks
Wie bei den System Tweaks können wir auch bei den „WordPress Tweaks" relevante Änderungen vornehmen, indem wir einige Kästchen anhaken. Wie bei den „System Tweaks" stellen Sie sicher, dass Sie die volle Funktionalität Ihrer Website nach jeder Aktivierung überprüfen.
Zuerst haken wir das Kästchen neben „Comment Spam" an; dies reduziert Spam im Kommentarbereich.
Wir stellen außerdem sicher, dass der File Editor deaktiviert ist; dies ist eine weitere Empfehlung. WordPress bietet standardmäßig die Möglichkeit, sowohl Plugins als auch Designs zu bearbeiten. Dieser Editor eröffnet eine weitere Möglichkeit für Angreifer, auf Ihre Seite zuzugreifen.
Genauso ist es mit „XML-RPC". „XML-RPC" ist eine Funktion von WordPress, die Sie oder Plugins nutzen können, um Daten zu übertragen. „XML-RPC" bietet Angreifern auch die Möglichkeit, sich Zugang zu Ihrer Seite zu verschaffen. Diese Schnittstelle ist relevant für die Nutzung der WordPress-App, Trackbacks, Pingbacks und des JetPack-Plugins. Wenn Sie eine dieser Funktionen nutzen, können Sie die „XML-RPC"-Schnittstelle nicht deaktivieren; andernfalls wählen Sie „Disable XML-RPC".
Klicken Sie auf „Save Settings".
Die erweiterten Module von „Solid Security"
An diesem Punkt sind wir mit den „Recommended"-Modulen von Solid Security durch.
Es gibt jedoch auch „Advanced"-Module, die helfen, mit einfachen Ein-Klick-Änderungen über diese Module Dinge umzusetzen, die wir sonst manuell tun müssten.
Wie erwähnt
möchte ich Sie daran erinnern, alle Änderungen auf einer Staging-Seite auszuprobieren. Andernfalls könnte es zu Komplikationen auf Ihrer Website kommen.
Admin User
Das erweiterte Modul „Admin User" hakt eine weitere WordPress.org-Empfehlung ab.
WordPress.org empfiehlt, an zwei Stellen das Prinzip „Security through obscurity" anzuwenden.
Erstens den Administrator-Account umbenennen, zweitens den „table_prefix" ändern. Solid Security bietet die Möglichkeit, beide Anpassungen vorzunehmen; die Änderung des „table_prefix" erfolgt im übernächsten Schritt.
Bei der Installation von WordPress lautet der Admin-Benutzername standardmäßig „admin". Diese Standardeinstellung wird oft nicht geändert, besonders bei Ein-Klick-WordPress-Installationen des Hosting-Anbieters. Aber auch wenn Sie WordPress selbst installiert hätten, hätten Sie den Benutzernamen vielleicht nicht geändert, weil Sie es nicht besser wussten. Das macht es Angreifern viel leichter, sich Zugang zur Website zu verschaffen, da sie nicht Name und Passwort knacken müssen, sondern nur das Passwort.
Wenn Ihr Administrator-Benutzername „admin" ist, sehen Sie das Feld „New Admin Username". Wenn Sie das Feld nicht sehen, weist dies darauf hin, dass Sie bei der Installation alles richtig gemacht haben.
Ich überspringe an dieser Stelle das Feld „Change User ID 1", da es bei der Verwendung von Plugins zu Komplikationen führen kann.
Change Content Directory
Dasselbe gilt für das nächste Modul, „Change Content Directory". Wie die Warnung besagt, sollten Sie dieses Modul nur bei der WordPress-Installation verwenden.
Change Database Table Prefix
Wir kommen nun zum zweiten Punkt, an dem WordPress.org das Prinzip „Security through obscurity" empfiehlt; das Modul „Change Database Table Prefix" nimmt diese Anpassung vor.
Viele WordPress-spezifische SQL-Injection-Angriffe gehen davon aus, dass der „table_prefix" den Standardwert „wp_" hat. Eine Änderung dieses Präfixes kann einige SQL-Injection-Angriffe blockieren.
Wenn Ihr Tabellenpräfix „wp_" ist, sehen Sie die folgende Nachricht mit dem Rat, das Präfix zu ändern. „wpstg0_" wird als Tabellenpräfix angezeigt, weil ich mich auf der Staging-Seite befinde und WP STAGING dieses Tabellenpräfix erstellt hat.
Sie können die Datenbank über das Plugin „PhpMyAdmin" einsehen. Wie die vorherigen Plugins können Sie es über „Plugin" und „Add New" herunterladen. Öffnen Sie es dann über das Seitenmenü.
Nun sehen Sie die Tabellen mit „wpstg0"; das sind die Tabellen der Staging-Seite. Darunter befinden sich die Tabellen der Produktivseite mit dem Präfix „wp_".
Ich gehe zurück zu Solid Security. Durch Auswahl von „Yes" und „Save Settings" weist Solid Security den Tabellen ein neues, komplexeres Präfix zu.
Ich wechsle erneut zum „PhpMyAdmin"-Tab und sehe nach dem Aktualisieren der Seite das neue Präfix vor den Tabellen.
Hide Backend
Das Modul „Hide Backend" erschwert Angreifern den Zugriff auf den WordPress-Login-Bereich. Jeder kann die Login-Seite standardmäßig über „example.com/wp-admin" und „example.com/wp-login.php" erreichen.
Da diese Konfiguration für alle WordPress-Seiten identisch ist, können Angreifer den Login-Bereich sofort identifizieren, wo sie ihren Brute-Force-Angriff starten.
Bevor ich die Login-Berechtigung erkläre, möchte ich erwähnen, dass ich das Modul nicht aktiviert habe, da es bei der Verwendung bestimmter Plugins zu Login-Problemen führen kann.
Unter „Login Slug" sehen Sie Ihre aktuelle Login-Erweiterung, ändern die Erweiterung und notieren sie sich. Beim nächsten Zugriff auf Ihre Website geben Sie „example.com/neue Erweiterung" ein.
Das Modul kann nützlich sein, um billige Brute-Force-Angriffe zu verhindern. Wenn Sie möchten, probieren Sie aus, ob das Modul zu Komplikationen führt.
wp-config.php Rules
Im letzten Modul, „wp-config.php Rules", kann Solid Security prüfen, ob alle Module korrekt arbeiten können.
Wenn Solid Security keine erforderlichen Änderungen findet, erhalten Sie die Meldung „There is nothing that needs to be written to your wp-config.php file".
Andernfalls erhalten Sie die Meldung „The following rules need to be written to your wp-config.php".
Solid Security: „wp-config.php"-Regeln. Diese Meldung erscheint, wenn keine „Write"-Dateiberechtigung für die Datei „wp-config.php" besteht.
Wir verwenden FileZilla, um über FTP erneut auf die Datenbank der WordPress-Seite zuzugreifen, um die von Solid Security geforderten Regeln in die Datei „wp-config.php" zu schreiben. Wie Sie bereits vom Anpassen der Dateiberechtigungen wissen, befindet sich die Datei „wp-config.php" direkt im Ordner „HTML". Klicken Sie mit der rechten Maustaste, um „View / Edit" auszuwählen, und öffnen Sie dann den Texteditor.
Kopieren Sie die von Solid Security aufgelisteten Regeln und fügen Sie sie direkt unter „<? PHP" in die Datei „wp-config.php" ein.
Zur Erläuterung: Die Regel „DISALLOW_FILE_EDIT" stellt sicher, dass die Deaktivierung des File Editors, die wir im Modul „WordPress tweaks" vorgenommen haben, wirksam wird.
„FORCE_SSL_ADMIN" bedeutet, dass die SSL-Verschlüsselung auch auf der Admin-Ebene wirksam ist. Solid Security hat diese Einstellung zu Beginn im „Security Check" angewendet.
Speichern Sie die Änderungen, schließen Sie die Datei und bestätigen Sie dann den neuen Datei-Upload via FileZilla.
Nachdem Sie diese Regeln in die Datei „wp-config.php" eingefügt haben, prüfen Sie bitte, ob die Staging-Seite Ihrer WordPress-Site noch funktionsfähig ist. Klicken Sie im WordPress-Dashboard auf „View Site".
Nach dem Testen der Änderungen pushen Sie Ihre Staging-Seite auf die Produktivseite mit WP STAGING PRO oder wiederholen Sie die Einstellungen auf der Produktivseite.
Wow, das waren viele Anpassungen! Schön, dass Sie es bis zum Ende geschafft haben.
Nun ist Ihre Website hinsichtlich der Sicherheit hervorragend aufgestellt — durch die Wahl des richtigen Hosting-Anbieters, das automatische Erstellen eines Backups und die Anpassung des Plugins „Solid Security".
Verwandte Artikel
