Über 5.500 Erfahrungsberichte von über 400 Hosting-Anbietern

WordPress Webhosting sicher machen

Hosttest.de
Autor: HOSTTEST-Redaktion   |  24.02.2020


Im letzten Artikel WordPress Webhosting haben wir das populäre Redaktionssystem vorgestellt und sind auf die technischen Voraussetzungen eines WordPress Hostings sowie die Installation eingegangen. Dieser Artikel beschäftigt sich nun mit der weiterführenden Frage, wie man das eigene WordPress Webhosting effektiv vor unbefugten Zugriffen schützen kann.

WordPress ist das am häufigsten eingesetzte Content Management System weltweit. Aufgrund der hohen Verbreitung ist WordPress allerdings auch ein besonders beliebtes Ziel für Hacker, die sich unbefugten Zugriff auf Daten verschaffen und Schadsoftware verbreiten möchten. Vor allem wenn der Bekanntheitsgrad der eigenen Webseite steigt, können verärgerte Konkurrenten oder Störenfriede eine steigende Bedrohung für die Datensicherheit werden. In der Regel versuchen die Angreifer sich Zugang zum Administrationsbereich zu verschaffen, um dort Schadsoftware installieren zu können. Dazu werden Schwachstellen in der Hauptinstallation oder in zusätzlich verwendeten Plugins gesucht. Da es vielen Anwendern gar nicht bewusst ist oder man sich nicht ernsthaft mit dem Thema WordPress und Sicherheit beschäftigen möchte sind wichtige Bereiche oftmals nicht ausreichend geschützt, werden simple Passwörter verwendet oder das gesamte System nicht auf aktuellem Stand gehalten. All diese Umstände sorgen dafür, dass Angreifer ein leichtes Spiel haben das System zu kompromittieren.

Wir haben für Sie die 6 wichtigsten Punkte zusammengestellt, wie Sie ihr WordPress Webhosting vor unbefugtem Zugriff schützen können:

1. WordPress Webhosting aktuell halten

Die Software WordPress wird regelmäßig aktualisiert, fast jeden Monat erscheint ein Versionsupdate, das neben neuen Features und Fehlerbehebungen auch bekannt gewordene Sicherheitslücken schließt. Wer WordPress verwendet, der nutzt meist nicht nur die einfache Standardinstallation, sondern erweitert diese um ein individuelles Theme und verschiedene Plugins. Das gleiche wie für WordPress selbst gilt daher auch für diese Erweiterungen. Um möglichst wenig Angriffsfläche für Hacker und Bots zu bieten, sollte das gesamte System stets auf aktuellem Stand gehalten werden. Durch einen Login in den Administrationsbereich werden zur Verfügung stehende Updates übersichtlich angezeigt und können dort direkt vorgenommen werden. Wer eine hohe Anzahl an Webseiten betreut und sich nicht regelmäßig in jede Installation einloggt, der kann auch Hilfsmittel wie das Plugin WP Updates Notifier verwenden. Bei neuen verfügbaren Updates sendet das Plugin automatisch eine E-Mail-Benachrichtigung an den Administrator.

2. Individueller Benutzername und sicheres Passwort

Eine ganz einfache aber äußerst effektive Methode sich vor Angriffen zu schützen ist es, einen individuellen Benutzernamen zu wählen und dafür ein sicheres Passwort festzulegen. Standardmäßig lauten Benutzernamen zum Einloggen in Verwaltungsoberflächen meist Administrator, Admin oder Root. Diese Tatsache nutzen Hacker, die über sogenannte Brute-Force-Angriffe versuchen sich Zugang zum System zu verschaffen. Dafür werden bekannte Benutzernamen verwendet und lediglich verschiedene Kennwörter anhand von Wörterbuchlisten durchprobiert. Verwendet man stattdessen einen individuellen Benutzernamen, so muss nicht nur das Passwort geknackt werden, sonder gleichzeitig auch alle möglichen Kombinationen von Benutzernamen durchprobiert werden. In diesem Zusammenhang sollte darauf hingewiesen werden, wie wichtig ein sicheres Passwort ist. Ein Großteil der Nutzer bevorzugt leicht zu merkende Zeichenkombinationen, nicht selten wird einfach 123456 oder der eigene Vorname als Passwort verwendet. Derartige Zeichenketten sind anhand von Wörterbuchlisten schnell herausgefunden und geknackt. Ein wirklich sicheres Passwort sollte mindestens 12 Zeichen haben und aus Zahlen, Buchstaben und Sonderzeichen bestehen.

3. WordPress Tabellenpräfix ändern

Einige Angriffe zielen direkt auf Sicherheitslücke in der Datenbank ab, dabei spricht man von sogenannten SQL-Injections. Hacker versuchen damit einen Zugriff auf die Datenbank zu bekommen, um eigene Befehle einzuschleusen, die dort Schaden anrichten. WordPress verwendet standardmäßig das Tabellenpräfix wp_ in der Datenbank, weshalb Angriffe besonders auf dieses Tabellenpräfix ausgerichtet sind. Auch hier kann die Umbenennung in einen individuellen Namen wie up2uwp_ für mehr Sicherheit sorgen. Am einfachsten ist es die Änderung direkt bei der Installation von WordPress vorzunehmen, nachträglich kann das Tabellenpräfix nur noch aufwendig über die wp-config.php geändert werden.

4. Verschlüsselte Verbindungen nutzen

Daten, wie auch die WordPress Installation, werden per FTP Verbindung auf den Webspace geladen. Dabei sollte unbedingt auf eine verschlüsselte Übertragung geachtet werden. Webhosting Anbieter erlauben in der Regel eine sichere Verbindung über das SFTP-Protokoll. Bei einigen Webhosting Tarifen besteht auch die Möglichkeit FTP über SSH zu nutzen. Vor allem wer in öffentlichen WLAN Netzen arbeitet, sollte Zugangsdaten auf diese Weise vor dem Zugriff durch unbefugte Dritte schützen. Empfehlenswert ist auch der Einsatz eines SSL Zertifikates für den gesamten Webspace. Damit wird jede Verbindung zwischen Browser und WordPress, also auch der Zugriff auf die Administrator-Anmeldung, sicher verschlüsselt.

5. Passwortschutz per .htaccess aktivieren

Die meisten Webhoster verwenden auf ihren Servern einen Apache Webserver. Dieser unterstützt den Einsatz von .htaccess Konfigurationsdateien, womit sich individuelle Funktionen, wie unter anderem Maßnahmen zum Zugriffsschutz von Verzeichnissen umsetzen lassen. So kann der öffentliche Zugriff auf den Administrationsbereich einer WordPress Installation komplett unterbunden werden. Dazu muss lediglich die Funktion in der .htaccess Datei aktiviert und eine entsprechende .htpasswd Datei mit Passwort und Benutzernamen im Verzeichnis hinterlegt werden. Bei genauen Fragen zur Umsetzung kann der eigene Webhosting Anbieter weiterhelfen, oftmals lässt sich diese Einstellung auch bequem über die Webspace Verwaltungsoberfläche vornehmen.

6. Vorsicht bei WordPress Plugins

Dadurch, dass sich die Funktionalität von WordPress mithilfe von Plugins auf einfachste Weise erweitern lässt, installieren viele Nutzer zahlreiche Plugins für alle möglichen Funktionen. Je mehr Erweiterungen allerdings im Einsatz sind, desto mehr Angriffsfläche wird auch für Hacker geboten. Da jeder mit Programmierkenntnissen eigene WordPress Addons entwickeln und veröffentlichen kann, kann nicht ausgeschlossen werden, dass sich Fehler im Code eingeschlichen haben, die Sicherheitslücken darstellen. Vor allem Nutzer ohne Fachkenntnisse können gar nicht nachvollziehen, was die Plugins im Hintergrund überhaupt bewirken. Man sollte also zum einen vor dem Einsatz überprüfen, ob die Erweiterung von einer vertrauenswürdigen Quelle stammt. Dazu kann man sich beispielsweise vergewissern, ob ein bekannter Programmierer hinter dem Plugin steckt und ob eventuell bereits erfahrene Anwender den Quellcode eingesehen und eine Bewertung dazu veröffentlich haben. Zum anderen sollten wirklich nur zwingend notwendige Plugins verwendet werden. Wie auch beim heimischen Computer gibt es für WordPress zahlreiche Plugins, die mehr Sicherheit oder schnellere Zugriffszeiten versprechen, aber oftmals mehr Schaden als Nutzen bringen. Nur wenige Plugins haben sich als wirklich hilfreich erwiesen. Dazu zählt beispielsweise Limit Login Attempts, zur Limitierung der fehlerhaften Anmeldeversuche oder WP Anti Virus als Virenscanner für die Webseite.



Weitere Webhoster


Weitere interessante Artikel

Was ist das PHP Memory Limit und wie lässt es sich verändern?

PHP ist eine Programmiersprache, die optimale Voraussetzungen für Webanwendungen bietet. Sie wird von nahezu allen ...

5 Möglichkeiten, um Problemen mit einem schlechten Webhoster aus dem Weg zu gehen

Die stetige Erreichbarkeit der eigenen Webseite ist für Webmaster essenziell. Dafür spielt vor allem ein zuverlässiger W...

Aktuelle Ausschreibungen
Neueste Bewertungen
Philipp O. hat HostPress GmbH bewertet
MArkus hat Millennium Arts ISP bewertet
Thomas hat Alfahosting GmbH bewertet
Bam B. hat Febas bewertet
Dirk K. hat Rapid Host bewertet
Noya S. hat manitu bewertet
Ulf S. hat Onyxhosting.de bewertet
Roman P. hat Hoststar bewertet
Tom T. hat Webspace4All bewertet
Tina W. hat ServMedia.de bewertet
Dieter K. hat 1&1 IONOS SE bewertet
Michael B. hat lima-city bewertet
Karl-Heinz D. hat ServMedia.de bewertet
Thorsten U. hat KP-Networks GbR bewertet
Eliza M. hat checkdomain GmbH bewertet
Theresa hat 1&1 IONOS SE bewertet
Vitali hat 1&1 IONOS SE bewertet
Louis hat lima-city bewertet
Ian M. hat G-Core Labs S.A. bewertet

Mediapartner:
Webmaster Eye
hosttalk.de
Wir konnten bereits Hunderttausenden Webmastern helfen den passenden Hosting-Anbieter zu finden.
Über Hosttest.de

Im Jahr 2006 riefen wir hosttest ins Leben, um den Webhosting Markt im DACH-Raum transparenter zu machen. Mit derzeit über 400 Webhostern und über 10.000 Angeboten bieten wir dir die beste Grundlage, den für dich passenden Anbieter für Hosting-Leistungen zu finden.

Seit 2015 küren wir zudem alljährlich unsere Webhoster des Jahres und würden uns in Zukunft auch über deine Stimme freuen.
Mehr über uns...