Keine Ahnung, welches Hosting-Paket zu dir passt? Zum Webhosting-Berater

WordPress Webhosting sicher machen

Autor: Hosttest Redaktion   |24.02.2020

Im letzten Artikel WordPress Webhosting haben wir das populäre Redaktionssystem vorgestellt und sind auf die technischen Voraussetzungen eines WordPress Hostings sowie die Installation eingegangen. Dieser Artikel beschäftigt sich nun mit der weiterführenden Frage, wie man das eigene WordPress Webhosting effektiv vor unbefugten Zugriffen schützen kann.

WordPress ist das am häufigsten eingesetzte Content Management System weltweit. Aufgrund der hohen Verbreitung ist WordPress allerdings auch ein besonders beliebtes Ziel für Hacker, die sich unbefugten Zugriff auf Daten verschaffen und Schadsoftware verbreiten möchten. Vor allem wenn der Bekanntheitsgrad der eigenen Webseite steigt, können verärgerte Konkurrenten oder Störenfriede eine steigende Bedrohung für die Datensicherheit werden. In der Regel versuchen die Angreifer sich Zugang zum Administrationsbereich zu verschaffen, um dort Schadsoftware installieren zu können. Dazu werden Schwachstellen in der Hauptinstallation oder in zusätzlich verwendeten Plugins gesucht. Da es vielen Anwendern gar nicht bewusst ist oder man sich nicht ernsthaft mit dem Thema WordPress und Sicherheit beschäftigen möchte sind wichtige Bereiche oftmals nicht ausreichend geschützt, werden simple Passwörter verwendet oder das gesamte System nicht auf aktuellem Stand gehalten. All diese Umstände sorgen dafür, dass Angreifer ein leichtes Spiel haben das System zu kompromittieren.

Wir haben für Sie die 6 wichtigsten Punkte zusammengestellt, wie Sie ihr WordPress Webhosting vor unbefugtem Zugriff schützen können:

1. WordPress Webhosting aktuell halten

Die Software WordPress wird regelmäßig aktualisiert, fast jeden Monat erscheint ein Versionsupdate, das neben neuen Features und Fehlerbehebungen auch bekannt gewordene Sicherheitslücken schließt. Wer WordPress verwendet, der nutzt meist nicht nur die einfache Standardinstallation, sondern erweitert diese um ein individuelles Theme und verschiedene Plugins. Das gleiche wie für WordPress selbst gilt daher auch für diese Erweiterungen. Um möglichst wenig Angriffsfläche für Hacker und Bots zu bieten, sollte das gesamte System stets auf aktuellem Stand gehalten werden. Durch einen Login in den Administrationsbereich werden zur Verfügung stehende Updates übersichtlich angezeigt und können dort direkt vorgenommen werden. Wer eine hohe Anzahl an Webseiten betreut und sich nicht regelmäßig in jede Installation einloggt, der kann auch Hilfsmittel wie das Plugin WP Updates Notifier verwenden. Bei neuen verfügbaren Updates sendet das Plugin automatisch eine E-Mail-Benachrichtigung an den Administrator.

2. Individueller Benutzername und sicheres Passwort

Eine ganz einfache aber äußerst effektive Methode sich vor Angriffen zu schützen ist es, einen individuellen Benutzernamen zu wählen und dafür ein sicheres Passwort festzulegen. Standardmäßig lauten Benutzernamen zum Einloggen in Verwaltungsoberflächen meist Administrator, Admin oder Root. Diese Tatsache nutzen Hacker, die über sogenannte Brute-Force-Angriffe versuchen sich Zugang zum System zu verschaffen. Dafür werden bekannte Benutzernamen verwendet und lediglich verschiedene Kennwörter anhand von Wörterbuchlisten durchprobiert. Verwendet man stattdessen einen individuellen Benutzernamen, so muss nicht nur das Passwort geknackt werden, sonder gleichzeitig auch alle möglichen Kombinationen von Benutzernamen durchprobiert werden. In diesem Zusammenhang sollte darauf hingewiesen werden, wie wichtig ein sicheres Passwort ist. Ein Großteil der Nutzer bevorzugt leicht zu merkende Zeichenkombinationen, nicht selten wird einfach 123456 oder der eigene Vorname als Passwort verwendet. Derartige Zeichenketten sind anhand von Wörterbuchlisten schnell herausgefunden und geknackt. Ein wirklich sicheres Passwort sollte mindestens 12 Zeichen haben und aus Zahlen, Buchstaben und Sonderzeichen bestehen.

3. WordPress Tabellenpräfix ändern

Einige Angriffe zielen direkt auf Sicherheitslücke in der Datenbank ab, dabei spricht man von sogenannten SQL-Injections. Hacker versuchen damit einen Zugriff auf die Datenbank zu bekommen, um eigene Befehle einzuschleusen, die dort Schaden anrichten. WordPress verwendet standardmäßig das Tabellenpräfix wp_ in der Datenbank, weshalb Angriffe besonders auf dieses Tabellenpräfix ausgerichtet sind. Auch hier kann die Umbenennung in einen individuellen Namen wie up2uwp_ für mehr Sicherheit sorgen. Am einfachsten ist es die Änderung direkt bei der Installation von WordPress vorzunehmen, nachträglich kann das Tabellenpräfix nur noch aufwendig über die wp-config.php geändert werden.

4. Verschlüsselte Verbindungen nutzen

Daten, wie auch die WordPress Installation, werden per FTP Verbindung auf den Webspace geladen. Dabei sollte unbedingt auf eine verschlüsselte Übertragung geachtet werden. Webhosting Anbieter erlauben in der Regel eine sichere Verbindung über das SFTP-Protokoll. Bei einigen Webhosting Tarifen besteht auch die Möglichkeit FTP über SSH zu nutzen. Vor allem wer in öffentlichen WLAN Netzen arbeitet, sollte Zugangsdaten auf diese Weise vor dem Zugriff durch unbefugte Dritte schützen. Empfehlenswert ist auch der Einsatz eines SSL Zertifikates für den gesamten Webspace. Damit wird jede Verbindung zwischen Browser und WordPress, also auch der Zugriff auf die Administrator-Anmeldung, sicher verschlüsselt.

5. Passwortschutz per .htaccess aktivieren

Die meisten Webhoster verwenden auf ihren Servern einen Apache Webserver. Dieser unterstützt den Einsatz von .htaccess Konfigurationsdateien, womit sich individuelle Funktionen, wie unter anderem Maßnahmen zum Zugriffsschutz von Verzeichnissen umsetzen lassen. So kann der öffentliche Zugriff auf den Administrationsbereich einer WordPress Installation komplett unterbunden werden. Dazu muss lediglich die Funktion in der .htaccess Datei aktiviert und eine entsprechende .htpasswd Datei mit Passwort und Benutzernamen im Verzeichnis hinterlegt werden. Bei genauen Fragen zur Umsetzung kann der eigene Webhosting Anbieter weiterhelfen, oftmals lässt sich diese Einstellung auch bequem über die Webspace Verwaltungsoberfläche vornehmen.

6. Vorsicht bei WordPress Plugins

Dadurch, dass sich die Funktionalität von WordPress mithilfe von Plugins auf einfachste Weise erweitern lässt, installieren viele Nutzer zahlreiche Plugins für alle möglichen Funktionen. Je mehr Erweiterungen allerdings im Einsatz sind, desto mehr Angriffsfläche wird auch für Hacker geboten. Da jeder mit Programmierkenntnissen eigene WordPress Addons entwickeln und veröffentlichen kann, kann nicht ausgeschlossen werden, dass sich Fehler im Code eingeschlichen haben, die Sicherheitslücken darstellen. Vor allem Nutzer ohne Fachkenntnisse können gar nicht nachvollziehen, was die Plugins im Hintergrund überhaupt bewirken. Man sollte also zum einen vor dem Einsatz überprüfen, ob die Erweiterung von einer vertrauenswürdigen Quelle stammt. Dazu kann man sich beispielsweise vergewissern, ob ein bekannter Programmierer hinter dem Plugin steckt und ob eventuell bereits erfahrene Anwender den Quellcode eingesehen und eine Bewertung dazu veröffentlich haben. Zum anderen sollten wirklich nur zwingend notwendige Plugins verwendet werden. Wie auch beim heimischen Computer gibt es für WordPress zahlreiche Plugins, die mehr Sicherheit oder schnellere Zugriffszeiten versprechen, aber oftmals mehr Schaden als Nutzen bringen. Nur wenige Plugins haben sich als wirklich hilfreich erwiesen. Dazu zählt beispielsweise Limit Login Attempts, zur Limitierung der fehlerhaften Anmeldeversuche oder WP Anti Virus als Virenscanner für die Webseite.

Schreibe einen Kommentar



Weitere Webhoster


Weitere interessante Artikel

Linux Server sichern - wie kann ein Webserver vor Hacker-Attacken abgesichert werden?

Hacker haben es auf schlecht gesicherte Server abgesehen, diese Rechner werden infiltriert und zu eigenen Zwecken missbr...

Automatische Updates in WordPress - sollten sie aktiviert werden?

Wir zeigen euch ob automatische Updates in WordPress aktiviert oder lieber per Hand durchgeführt werden sollten.

Offene IT-Stellen
Linux Systemadmin...
dogado GmbH
Inhouse techn. Ku...
dogado GmbH
IT-Systemadminist...
IP-Projects GmbH & Co. KG
Linux-Systemadmin...
Domain-Offensive
Aktuelle Ausschreibungen
cpanel Webhosting...
Vor kurzem Beendet
Webhosting für Up...
Vor kurzem Beendet
Übernahme/Umzug v...
Vor kurzem Beendet
Online Galerie
Vor kurzem Beendet
Neueste Bewertungen
Mert hat dogado GmbH bewertet
Thomas S. hat dogado GmbH bewertet
Roland F. hat goneo bewertet
Michael Z. hat LA Webhosting bewertet
Fr. S. hat IONOS bewertet
Jörg R. hat dogado GmbH bewertet
Stephan hat lima-city bewertet
Ertmar R. hat IONOS bewertet
Manfred hat Rainbow-Web.com bewertet
Klaus N. hat MKQ Internetservice bewertet
Anna hat dogado GmbH bewertet
Constantin hat 1fire Hosting bewertet
Andreas W. hat ServMedia.de bewertet
Martin M. hat IP-Projects GmbH & Co. KG bewertet
Prime D. hat Hostinger bewertet
Hellmut hat LA Webhosting bewertet
Andreas M. hat LA Webhosting bewertet
Ingmar hat dogado GmbH bewertet
Richard B. hat Alfahosting GmbH bewertet
Marco hat w4h.shop bewertet

Wir konnten bereits Hunderttausenden Webmastern helfen den passenden Hosting-Anbieter zu finden.
Über Hosttest.de

Im Jahr 2006 riefen wir hosttest ins Leben, um den Webhosting Markt im DACH-Raum transparenter zu machen. Mit derzeit über 400 Webhostern und über 10.000 Angeboten bieten wir dir die beste Grundlage, den für dich passenden Anbieter für Hosting-Leistungen zu finden.

Seit 2015 küren wir zudem alljährlich unsere Webhoster des Jahres und würden uns in Zukunft auch über deine Stimme freuen.
Mehr über uns...