Über 5.000 Erfahrungsberichte von über 850 Hosting-Anbietern im Vergleich!

WordPress Webhosting sicher machen

Hosttest.de
Autor: HOSTTEST-Redaktion  |  24.02.2020


Im letzten Artikel WordPress Webhosting haben wir das populäre Redaktionssystem vorgestellt und sind auf die technischen Voraussetzungen eines WordPress Hostings sowie die Installation eingegangen. Dieser Artikel beschäftigt sich nun mit der weiterführenden Frage, wie man das eigene WordPress Webhosting effektiv vor unbefugten Zugriffen schützen kann.

WordPress ist das am häufigsten eingesetzte Content Management System weltweit. Aufgrund der hohen Verbreitung ist WordPress allerdings auch ein besonders beliebtes Ziel für Hacker, die sich unbefugten Zugriff auf Daten verschaffen und Schadsoftware verbreiten möchten. Vor allem wenn der Bekanntheitsgrad der eigenen Webseite steigt, können verärgerte Konkurrenten oder Störenfriede eine steigende Bedrohung für die Datensicherheit werden. In der Regel versuchen die Angreifer sich Zugang zum Administrationsbereich zu verschaffen, um dort Schadsoftware installieren zu können. Dazu werden Schwachstellen in der Hauptinstallation oder in zusätzlich verwendeten Plugins gesucht. Da es vielen Anwendern gar nicht bewusst ist oder man sich nicht ernsthaft mit dem Thema WordPress und Sicherheit beschäftigen möchte sind wichtige Bereiche oftmals nicht ausreichend geschützt, werden simple Passwörter verwendet oder das gesamte System nicht auf aktuellem Stand gehalten. All diese Umstände sorgen dafür, dass Angreifer ein leichtes Spiel haben das System zu kompromittieren.

Wir haben für Sie die 6 wichtigsten Punkte zusammengestellt, wie Sie ihr WordPress Webhosting vor unbefugtem Zugriff schützen können:

1. WordPress Webhosting aktuell halten

Die Software WordPress wird regelmäßig aktualisiert, fast jeden Monat erscheint ein Versionsupdate, das neben neuen Features und Fehlerbehebungen auch bekannt gewordene Sicherheitslücken schließt. Wer WordPress verwendet, der nutzt meist nicht nur die einfache Standardinstallation, sondern erweitert diese um ein individuelles Theme und verschiedene Plugins. Das gleiche wie für WordPress selbst gilt daher auch für diese Erweiterungen. Um möglichst wenig Angriffsfläche für Hacker und Bots zu bieten, sollte das gesamte System stets auf aktuellem Stand gehalten werden. Durch einen Login in den Administrationsbereich werden zur Verfügung stehende Updates übersichtlich angezeigt und können dort direkt vorgenommen werden. Wer eine hohe Anzahl an Webseiten betreut und sich nicht regelmäßig in jede Installation einloggt, der kann auch Hilfsmittel wie das Plugin WP Updates Notifier verwenden. Bei neuen verfügbaren Updates sendet das Plugin automatisch eine E-Mail-Benachrichtigung an den Administrator.

2. Individueller Benutzername und sicheres Passwort

Eine ganz einfache aber äußerst effektive Methode sich vor Angriffen zu schützen ist es, einen individuellen Benutzernamen zu wählen und dafür ein sicheres Passwort festzulegen. Standardmäßig lauten Benutzernamen zum Einloggen in Verwaltungsoberflächen meist Administrator, Admin oder Root. Diese Tatsache nutzen Hacker, die über sogenannte Brute-Force-Angriffe versuchen sich Zugang zum System zu verschaffen. Dafür werden bekannte Benutzernamen verwendet und lediglich verschiedene Kennwörter anhand von Wörterbuchlisten durchprobiert. Verwendet man stattdessen einen individuellen Benutzernamen, so muss nicht nur das Passwort geknackt werden, sonder gleichzeitig auch alle möglichen Kombinationen von Benutzernamen durchprobiert werden. In diesem Zusammenhang sollte darauf hingewiesen werden, wie wichtig ein sicheres Passwort ist. Ein Großteil der Nutzer bevorzugt leicht zu merkende Zeichenkombinationen, nicht selten wird einfach 123456 oder der eigene Vorname als Passwort verwendet. Derartige Zeichenketten sind anhand von Wörterbuchlisten schnell herausgefunden und geknackt. Ein wirklich sicheres Passwort sollte mindestens 12 Zeichen haben und aus Zahlen, Buchstaben und Sonderzeichen bestehen.

3. WordPress Tabellenpräfix ändern

Einige Angriffe zielen direkt auf Sicherheitslücke in der Datenbank ab, dabei spricht man von sogenannten SQL-Injections. Hacker versuchen damit einen Zugriff auf die Datenbank zu bekommen, um eigene Befehle einzuschleusen, die dort Schaden anrichten. WordPress verwendet standardmäßig das Tabellenpräfix wp_ in der Datenbank, weshalb Angriffe besonders auf dieses Tabellenpräfix ausgerichtet sind. Auch hier kann die Umbenennung in einen individuellen Namen wie up2uwp_ für mehr Sicherheit sorgen. Am einfachsten ist es die Änderung direkt bei der Installation von WordPress vorzunehmen, nachträglich kann das Tabellenpräfix nur noch aufwendig über die wp-config.php geändert werden.

4. Verschlüsselte Verbindungen nutzen

Daten, wie auch die WordPress Installation, werden per FTP Verbindung auf den Webspace geladen. Dabei sollte unbedingt auf eine verschlüsselte Übertragung geachtet werden. Webhosting Anbieter erlauben in der Regel eine sichere Verbindung über das SFTP-Protokoll. Bei einigen Webhosting Tarifen besteht auch die Möglichkeit FTP über SSH zu nutzen. Vor allem wer in öffentlichen WLAN Netzen arbeitet, sollte Zugangsdaten auf diese Weise vor dem Zugriff durch unbefugte Dritte schützen. Empfehlenswert ist auch der Einsatz eines SSL Zertifikates für den gesamten Webspace. Damit wird jede Verbindung zwischen Browser und WordPress, also auch der Zugriff auf die Administrator-Anmeldung, sicher verschlüsselt.

5. Passwortschutz per .htaccess aktivieren

Die meisten Webhoster verwenden auf ihren Servern einen Apache Webserver. Dieser unterstützt den Einsatz von .htaccess Konfigurationsdateien, womit sich individuelle Funktionen, wie unter anderem Maßnahmen zum Zugriffsschutz von Verzeichnissen umsetzen lassen. So kann der öffentliche Zugriff auf den Administrationsbereich einer WordPress Installation komplett unterbunden werden. Dazu muss lediglich die Funktion in der .htaccess Datei aktiviert und eine entsprechende .htpasswd Datei mit Passwort und Benutzernamen im Verzeichnis hinterlegt werden. Bei genauen Fragen zur Umsetzung kann der eigene Webhosting Anbieter weiterhelfen, oftmals lässt sich diese Einstellung auch bequem über die Webspace Verwaltungsoberfläche vornehmen.

6. Vorsicht bei WordPress Plugins

Dadurch, dass sich die Funktionalität von WordPress mithilfe von Plugins auf einfachste Weise erweitern lässt, installieren viele Nutzer zahlreiche Plugins für alle möglichen Funktionen. Je mehr Erweiterungen allerdings im Einsatz sind, desto mehr Angriffsfläche wird auch für Hacker geboten. Da jeder mit Programmierkenntnissen eigene WordPress Addons entwickeln und veröffentlichen kann, kann nicht ausgeschlossen werden, dass sich Fehler im Code eingeschlichen haben, die Sicherheitslücken darstellen. Vor allem Nutzer ohne Fachkenntnisse können gar nicht nachvollziehen, was die Plugins im Hintergrund überhaupt bewirken. Man sollte also zum einen vor dem Einsatz überprüfen, ob die Erweiterung von einer vertrauenswürdigen Quelle stammt. Dazu kann man sich beispielsweise vergewissern, ob ein bekannter Programmierer hinter dem Plugin steckt und ob eventuell bereits erfahrene Anwender den Quellcode eingesehen und eine Bewertung dazu veröffentlich haben. Zum anderen sollten wirklich nur zwingend notwendige Plugins verwendet werden. Wie auch beim heimischen Computer gibt es für WordPress zahlreiche Plugins, die mehr Sicherheit oder schnellere Zugriffszeiten versprechen, aber oftmals mehr Schaden als Nutzen bringen. Nur wenige Plugins haben sich als wirklich hilfreich erwiesen. Dazu zählt beispielsweise Limit Login Attempts, zur Limitierung der fehlerhaften Anmeldeversuche oder WP Anti Virus als Virenscanner für die Webseite.


Weitere Webhoster


Neueste Bewertungen
Rolf-Martin H. hat dogado GmbH bewertet
Brit C. hat checkdomain GmbH bewertet
Jens L. hat Alfahosting GmbH bewertet
Kai S. hat LA Webhosting bewertet
Klaus hat Kingdomain e-commerce bewertet
elle hat Febas bewertet
Horst hat Alfahosting GmbH bewertet
Lena hat Rainbow-Web.com bewertet
Anne K. hat dogado GmbH bewertet
Ralf M. hat Celeros Online KG bewertet
Mario hat Servado bewertet
Thomas hat Alfahosting GmbH bewertet
Moritz B. hat Contabo GmbH bewertet
Thomas Z. hat IP-Projects GmbH & Co. KG bewertet
Thomas R. hat ServMedia.de bewertet
Claudia H. hat Celeros Online KG bewertet
Sabine M. hat MX ITS bewertet
Bernd K. hat ServMedia.de bewertet

Mediapartner:
Webmaster Eye
hosttalk.de

Du bietest Hosting Leistungen an?

Über Hosttest.de

Hosttest stellt eine Plattform rund um das Thema Webhosting Vergleich dar. Dabei können Interessenten aus mehr als 800 Webhostern den für sie passendsten Webhoster anhand von über 5.000 Erfahrungsberichten und über 6.000 Angeboten zu Themen wie Webhosting Vergleich, Root-Server Vergleich, Vserver Vergleich und anderen Hosting-Produkten auswählen.

Zudem küren wir monatlich die TOP20 Webhoster in Deutschland bereits seit 2006.