Keine Ahnung, welches Hosting-Paket zu dir passt? Zum Webhosting-Berater

WordPress Webhosting sicher machen

Autor: Hosttest Redaktion   |24.02.2020

Im letzten Artikel WordPress Webhosting haben wir das populäre Redaktionssystem vorgestellt und sind auf die technischen Voraussetzungen eines WordPress Hostings sowie die Installation eingegangen. Dieser Artikel beschäftigt sich nun mit der weiterführenden Frage, wie man das eigene WordPress Webhosting effektiv vor unbefugten Zugriffen schützen kann.

WordPress ist das am häufigsten eingesetzte Content Management System weltweit. Aufgrund der hohen Verbreitung ist WordPress allerdings auch ein besonders beliebtes Ziel für Hacker, die sich unbefugten Zugriff auf Daten verschaffen und Schadsoftware verbreiten möchten. Vor allem wenn der Bekanntheitsgrad der eigenen Webseite steigt, können verärgerte Konkurrenten oder Störenfriede eine steigende Bedrohung für die Datensicherheit werden. In der Regel versuchen die Angreifer sich Zugang zum Administrationsbereich zu verschaffen, um dort Schadsoftware installieren zu können. Dazu werden Schwachstellen in der Hauptinstallation oder in zusätzlich verwendeten Plugins gesucht. Da es vielen Anwendern gar nicht bewusst ist oder man sich nicht ernsthaft mit dem Thema WordPress und Sicherheit beschäftigen möchte sind wichtige Bereiche oftmals nicht ausreichend geschützt, werden simple Passwörter verwendet oder das gesamte System nicht auf aktuellem Stand gehalten. All diese Umstände sorgen dafür, dass Angreifer ein leichtes Spiel haben das System zu kompromittieren.

Wir haben für Sie die 6 wichtigsten Punkte zusammengestellt, wie Sie ihr WordPress Webhosting vor unbefugtem Zugriff schützen können:

1. WordPress Webhosting aktuell halten

Die Software WordPress wird regelmäßig aktualisiert, fast jeden Monat erscheint ein Versionsupdate, das neben neuen Features und Fehlerbehebungen auch bekannt gewordene Sicherheitslücken schließt. Wer WordPress verwendet, der nutzt meist nicht nur die einfache Standardinstallation, sondern erweitert diese um ein individuelles Theme und verschiedene Plugins. Das gleiche wie für WordPress selbst gilt daher auch für diese Erweiterungen. Um möglichst wenig Angriffsfläche für Hacker und Bots zu bieten, sollte das gesamte System stets auf aktuellem Stand gehalten werden. Durch einen Login in den Administrationsbereich werden zur Verfügung stehende Updates übersichtlich angezeigt und können dort direkt vorgenommen werden. Wer eine hohe Anzahl an Webseiten betreut und sich nicht regelmäßig in jede Installation einloggt, der kann auch Hilfsmittel wie das Plugin WP Updates Notifier verwenden. Bei neuen verfügbaren Updates sendet das Plugin automatisch eine E-Mail-Benachrichtigung an den Administrator.

2. Individueller Benutzername und sicheres Passwort

Eine ganz einfache aber äußerst effektive Methode sich vor Angriffen zu schützen ist es, einen individuellen Benutzernamen zu wählen und dafür ein sicheres Passwort festzulegen. Standardmäßig lauten Benutzernamen zum Einloggen in Verwaltungsoberflächen meist Administrator, Admin oder Root. Diese Tatsache nutzen Hacker, die über sogenannte Brute-Force-Angriffe versuchen sich Zugang zum System zu verschaffen. Dafür werden bekannte Benutzernamen verwendet und lediglich verschiedene Kennwörter anhand von Wörterbuchlisten durchprobiert. Verwendet man stattdessen einen individuellen Benutzernamen, so muss nicht nur das Passwort geknackt werden, sonder gleichzeitig auch alle möglichen Kombinationen von Benutzernamen durchprobiert werden. In diesem Zusammenhang sollte darauf hingewiesen werden, wie wichtig ein sicheres Passwort ist. Ein Großteil der Nutzer bevorzugt leicht zu merkende Zeichenkombinationen, nicht selten wird einfach 123456 oder der eigene Vorname als Passwort verwendet. Derartige Zeichenketten sind anhand von Wörterbuchlisten schnell herausgefunden und geknackt. Ein wirklich sicheres Passwort sollte mindestens 12 Zeichen haben und aus Zahlen, Buchstaben und Sonderzeichen bestehen.

3. WordPress Tabellenpräfix ändern

Einige Angriffe zielen direkt auf Sicherheitslücke in der Datenbank ab, dabei spricht man von sogenannten SQL-Injections. Hacker versuchen damit einen Zugriff auf die Datenbank zu bekommen, um eigene Befehle einzuschleusen, die dort Schaden anrichten. WordPress verwendet standardmäßig das Tabellenpräfix wp_ in der Datenbank, weshalb Angriffe besonders auf dieses Tabellenpräfix ausgerichtet sind. Auch hier kann die Umbenennung in einen individuellen Namen wie up2uwp_ für mehr Sicherheit sorgen. Am einfachsten ist es die Änderung direkt bei der Installation von WordPress vorzunehmen, nachträglich kann das Tabellenpräfix nur noch aufwendig über die wp-config.php geändert werden.

4. Verschlüsselte Verbindungen nutzen

Daten, wie auch die WordPress Installation, werden per FTP Verbindung auf den Webspace geladen. Dabei sollte unbedingt auf eine verschlüsselte Übertragung geachtet werden. Webhosting Anbieter erlauben in der Regel eine sichere Verbindung über das SFTP-Protokoll. Bei einigen Webhosting Tarifen besteht auch die Möglichkeit FTP über SSH zu nutzen. Vor allem wer in öffentlichen WLAN Netzen arbeitet, sollte Zugangsdaten auf diese Weise vor dem Zugriff durch unbefugte Dritte schützen. Empfehlenswert ist auch der Einsatz eines SSL Zertifikates für den gesamten Webspace. Damit wird jede Verbindung zwischen Browser und WordPress, also auch der Zugriff auf die Administrator-Anmeldung, sicher verschlüsselt.

5. Passwortschutz per .htaccess aktivieren

Die meisten Webhoster verwenden auf ihren Servern einen Apache Webserver. Dieser unterstützt den Einsatz von .htaccess Konfigurationsdateien, womit sich individuelle Funktionen, wie unter anderem Maßnahmen zum Zugriffsschutz von Verzeichnissen umsetzen lassen. So kann der öffentliche Zugriff auf den Administrationsbereich einer WordPress Installation komplett unterbunden werden. Dazu muss lediglich die Funktion in der .htaccess Datei aktiviert und eine entsprechende .htpasswd Datei mit Passwort und Benutzernamen im Verzeichnis hinterlegt werden. Bei genauen Fragen zur Umsetzung kann der eigene Webhosting Anbieter weiterhelfen, oftmals lässt sich diese Einstellung auch bequem über die Webspace Verwaltungsoberfläche vornehmen.

6. Vorsicht bei WordPress Plugins

Dadurch, dass sich die Funktionalität von WordPress mithilfe von Plugins auf einfachste Weise erweitern lässt, installieren viele Nutzer zahlreiche Plugins für alle möglichen Funktionen. Je mehr Erweiterungen allerdings im Einsatz sind, desto mehr Angriffsfläche wird auch für Hacker geboten. Da jeder mit Programmierkenntnissen eigene WordPress Addons entwickeln und veröffentlichen kann, kann nicht ausgeschlossen werden, dass sich Fehler im Code eingeschlichen haben, die Sicherheitslücken darstellen. Vor allem Nutzer ohne Fachkenntnisse können gar nicht nachvollziehen, was die Plugins im Hintergrund überhaupt bewirken. Man sollte also zum einen vor dem Einsatz überprüfen, ob die Erweiterung von einer vertrauenswürdigen Quelle stammt. Dazu kann man sich beispielsweise vergewissern, ob ein bekannter Programmierer hinter dem Plugin steckt und ob eventuell bereits erfahrene Anwender den Quellcode eingesehen und eine Bewertung dazu veröffentlich haben. Zum anderen sollten wirklich nur zwingend notwendige Plugins verwendet werden. Wie auch beim heimischen Computer gibt es für WordPress zahlreiche Plugins, die mehr Sicherheit oder schnellere Zugriffszeiten versprechen, aber oftmals mehr Schaden als Nutzen bringen. Nur wenige Plugins haben sich als wirklich hilfreich erwiesen. Dazu zählt beispielsweise Limit Login Attempts, zur Limitierung der fehlerhaften Anmeldeversuche oder WP Anti Virus als Virenscanner für die Webseite.

Schreibe einen Kommentar


Weitere Webhoster


Weitere interessante Artikel

Linux Server sichern - wie kann ein Webserver vor Hacker-Attacken abgesichert werden?

Hacker haben es auf schlecht gesicherte Server abgesehen, diese Rechner werden infiltriert und zu eigenen Zwecken missbr...

Automatische Updates in WordPress - sollten sie aktiviert werden?

Wir zeigen euch ob automatische Updates in WordPress aktiviert oder lieber per Hand durchgeführt werden sollten.

Webhoster im Fokus Anzeige
Offene IT-Stellen
IT-Systemadminist...
IP-Projects GmbH & Co. KG
Aktuelle Ausschreibungen
Suche .io Domain
noch 6 Tage und 17 Stunden
Webspace, externe...
Vor kurzem Beendet
Domain Reselling,...
Vor kurzem Beendet
Webhosting mit Zi...
Vor kurzem Beendet
Neueste Bewertungen
Thomas R. hat RockingHoster Deutschland GmbH bewertet
Marvin H. hat Contabo GmbH bewertet
Silvio I. hat netcup bewertet
Maik hat Rainbow-Web.com bewertet
Cristiano hat SiteGround bewertet
Wolfgang B. hat SpeedIT Solutions bewertet
Frank E. hat Cloud86 bewertet
Alexander H. hat ServMedia.de bewertet
Johannes S. hat Contabo GmbH bewertet
Ralf B. hat Rainbow-Web.com bewertet
Markus W. hat lima-city bewertet
Holger W. hat LA Webhosting bewertet
Maik hat lima-city bewertet
Andrii S. hat united-domains AG bewertet
Michael K. hat IONOS bewertet
Stefan hat lima-city bewertet
Jörg B. hat Alfahosting GmbH bewertet
Philipp B. hat ServMedia.de bewertet
Silke W. hat Net-Build GmbH bewertet
Jörg W. hat STRATO AG bewertet

Wir konnten bereits Hunderttausenden Webmastern helfen den passenden Hosting-Anbieter zu finden.
Über hosttest

Im Jahr 2006 riefen wir hosttest ins Leben, um den Webhosting Markt im DACH-Raum transparenter zu machen. Mit derzeit über 400 Webhostern und über 10.000 Angeboten bieten wir dir die beste Grundlage, den für dich passenden Anbieter für Hosting-Leistungen zu finden.

Seit 2015 küren wir zudem alljährlich unsere Webhoster des Jahres und würden uns in Zukunft auch über deine Stimme freuen.
Mehr über uns...