Richtig sicher wird man WordPress nicht bekommen. Das sei gleich gesagt. Ich möchte euch nämlich nicht erst etwas versprechen, was ich nicht halten kann: Mit über 30 Prozent gehört WordPress in Deutschland zu den beliebtesten Content-Management-Systemen. Und das bedeutet, dass jede Sicherheitslücke, jedes fehlerhafte Plugin, jede noch so kleine Angriffstelle, sofort ausgenutzt werden kann und wird.

Allerdings kann man es Angreifern erschweren in das System zu kommen.

Wer greift eigentlich Systeme an, und warum?

Das Bild von dem pubertierenden Hacker, der im Keller seines Elternhauses versucht, Seiten zu knacken, könnt ihr euch gleich aus dem Kopf schlagen. Die mag es auch noch geben. Aber der Normalfall sind sie nicht. Der Normalfall ist, dass automatisiert versucht wird mit Hilfe kleiner Programme euer System zu infiltrieren. Und zwar aus einem Grund: Spammails zu versenden.

Davon müsst ihr nichts mitbekommen. Die Seite kann ganz genauso weiterlaufen wie bisher. Spätestens wenn aber euer Hoster die Seite deaktiviert, weil ihr gegen die AGB verstößt, spätestens dann wisst ihr, dass jemand Sicherheitslücken ausgenutzt hat.

Wie kommen die an eure Seite?

Die Angreifer gucken gerne, welche Systeme sich denn auf dem Server eurer Seite befinden und schauen in die IP-Nachbarschaft.

Bei Massen-Hostern können in Extremfall tausende Seiten im sogenannten Shared-Hosting liegen. Tausende Seiten, mit einer IP. Selbst könnt ihr das zum Beispiel euch hier anschauen.

Jetzt kann es passieren, dass ein Angreifer da ein unsicheres System findet, den gleichen Check durchführt, den ihr gerade ausprobiert habt, und dann weitere unsichere Installationen findet. Und das ist blöd.

Deshalb solltet ihr wirklich, also so richtig wirklich wirklich, etwas Hirnschmalz und Zeit investieren, euch abzusichern.

Installation

Das fängt schon bei der Installation an: Wenn ihr gefragt werdet, welches Tabellenpräfix ihr für die Datenbank verwenden wollt, ändert das vorgeschlagene wp_ ab. wp_ ist nämlich eine vorhersehbare Konstante, und die müssen wir unseren ANgreifern nicht freihaus liefern.

Nehmt nicht admin als Nutzername! Ebenfalls eine Konstante: Wenn ihr die euren Angreifern verratet, brauchen die nur noch versuchen, dass Passwort zu erraten.

Im Betrieb

Postet nicht mit einem Admin. Gleicher Grund wie oben: Gebt dem Angreifer nicht gleich einen von zwei Werten, die er herausfinden muss, um sich einloggen zu können.

Außerdem könnt ihr überlegen, ob ihr eure Plugins ganz automatisch updaten lassen wollt. Hier findet ihr alle Möglichkeiten, die Updates auf eure Bedürfnisse einzustellen. Ich empfehle ich, folgendes in eure functions.php des aktiven Themes einzubauen (Vorraussetzung: Regelmäßiges Backup! Es können bei dieser Methode nämlich Sachen schief laufen. Wenn man vorher sauber gearbeitet hat, halten sich die Problemchen aber in Grenzen.)

Wenn ihr euch sicher seid, könnt ihr auch das hier eintragen:

Das mit diesem richtig und regelmäßig und schnell updaten, das ist wichtig, wichtig, wichtig. Wenn nämlich in beliebten Plugins eine Sicherheitslücke aufgetan wird, dann könnt ihr euch sicher sein, dass die mit Sicherheit nie und nimmer ungenutzt bleibt.

Plugins

Das oder die Plugins sollten folgende Dinge können:

  • Dashboard-Adresse verschleiern
  • Anmeldeversuche begrenzen
  • Wichtige Dateien schützen
  • Bei Unregelmäßigkeiten laut rufen

Es gibt da so viele Plugins, dass ich mich gerade schwer tue eine echte Empfehlung abzugeben. Bei mir regelmäßig im Einsatz sind BulletProof Security oder Wordfence. BulletProof ist so ettwas wie das Microsoft Office der Security-Plugins: Sehr mächtig, großer Funktionsumpfang, für den Alltag etwas zu unübersichtlich. Das Reporting könnt ihr so einstellen, wie ihr es benötigt.

Wordfence ist gefühlt etwas schlanker und bildet wichtige Teile ab, um die Infrastruktur etwas besser abzusichern.

So richtig glücklich bin ich mit denen allerdings nicht, weil Sie (gerade für unsere Kunden) viel zu technisch und wenig eingängig sind. Wenn ihr also Empfehlungen habt: Nur her damit!

Bildnachweis: picjumbo.com