WordPress Sicherheit: So schützt Du Deinen Blog

WordPress Tutorial - So machst Du Dein WP sicher
WordPress Sicherheit – So machst Du Dein WP sicher

Viele Blogger fragen im Internet nach der WordPress Sicherheit. Wie sicher ist so eine Blog Installation eigentlich?

Zumindest lese ich solche Fragen immer wieder in einigen Facebook Gruppen, in denen ich aktiv bin.

Das Open Source Content Management System wird häufig wegen der Einfachheit halber genutzt. Sehr oft sogar, denn WordPress ist weltweit die beliebteste Blog Software.

Aber genau das ist ein Problem. Der Quellcode wird zur Hilfe bei der Weiterentwicklung veröffentlicht.

So können Programmierer daran arbeiten. Auf der anderen Seite bietet es Angriffsfläche für Hacker. Oder Personen die Anderen schaden wollen.

Mit diesem Artikel will ich Dir zeigen, wie Du deinen Blog sicherer machen kannst!

Du wirst eine Webseite nie zu 100% schützen können. Du kannst es dem potentiellen Angreifer jedoch deutlich schwerer machen.

Meine Tipps verhelfen Dir zu einer höheren WordPress Sicherheit, versprochen.

Inhaltsverzeichnis

Wieviel Sicherheit bietet WordPress?

Content Management System

Grundsätzlich ist es schon eine gute Entscheidung auf ein Content Management System zu setzen.

Falls Du Dich gerade fragst, was ein Content Management System (CMS) ist. Hier eine kleine Definition, denn der Begriff läuft Dir im Artikelverlauf noch häufiger über den Weg.

Ein Content-Management-System (kurz CMS, deutsch Inhalts Verwaltungssystem) ist eine Software zur gemeinschaftlichen Erstellung, Bearbeitung und Organisation und Darstellung von digitalen Inhalten (Content) zumeist zur Verwendung in Webseiten, aber auch in anderen Medienformen. Diese Inhalte können aus Text- und Multimedia-Dokumenten bestehen. Ein Autor mit entsprechenden Zugriffsrechten kann ein solches System in vielen Fällen ohne oder mit wenig Programmier- oder HTML-Kenntnissen bedienen, da die Mehrzahl der Systeme über eine grafische Benutzeroberfläche verfügt.

Quelle: Wikipedia zu CMS Systemen

CMS und WordPress Sicherheit

Ein CMS bietet Dir nicht nur viele nützliche Funktionen, sondern wird in der Regel von erfahrenen Programmierern erstellt.

Aus diesem Grund ist die WordPress Sicherheit im Allgemeinen sehr hoch. Zumindest wenn Du die Updates regelmäßig einspielst.

Die Entwickler versuchen mit den stetigen Updates Sicherheitslücken zu schließen, möglichst wenig Angriffsfläche zu bieten.

Mit einer selbst programmierten Webseite kann das nicht immer gewährleistet werden. Denn die Aktualisierung kostet meistens jede Menge Zeit.

Kommt allerdings etwas auf die Art und Weise, die Programmiersprache und den Umfang der Webseite an.

Wie kannst Du Deinen Blog sicherer machen?

Halte WordPress aktuell

Die größte Sicherheitslücke ist veraltete Software. Sie macht es Angreifern sehr einfach in ein System einzudringen. Warum? Weil bereits bekannte Fehlerquellen nicht geschlossen wurden.

Aus diesem Grund solltest Du WordPress stets up to Date halten. Das bedeutet nicht, dass Du eine Stunde nach einem Update, dieses bereits installieren musst.

Manchmal ist es sogar sinnvoll Updates ein paar Tage später vorzunehmen, um erste Tests anderer Webseiten abzuwarten.

Dann haben sich größere Probleme bereits gezeigt und sind durch die Entwickler der Plugins behoben.

Du solltest jedoch keine Monate warten, besonders wenn es akute Sicherheitsprobleme gab.

Meine Empfehlung für Dich:
Anzeige
Seobility SEO Software

Aktualisiere regelmäßig die Plugins und Themes

Die Plugins hatte ich zuvor bereits angesprochen. Diese sind neben der WordPress Software selbst eines der größten Angriffsflächen.

Du solltest daher Plugin Updates genauso regelmäßig wie Core Updates einspielen. Nur aktuelle Software schützt Dich richtig! Die Begründung ist hier genau dieselbe wie zuvor bei den WP Updates.

Versuche so wenig Plugins wie möglich zu nutzen

Je mehr Quellcode eine Webseite hat, desto anfälliger ist diese. Insbesondere weil die Plugins von verschiedenen Autoren erstellt werden.

Ein einziges Plugin mit einer Sicherheitslücke reicht aus, um Hackern Zugriff zu gewähren.

Das kann Schadsoftware sein die eingebunden wird. Der Angreifen kann aber auch Daten abgreifen. Zum Beispiel E-Mail Adresse von Newslettern.

Umso weniger Erweiterungen Du einsetzt, desto geringer ist die Angriffsfläche. Versuche daher nicht jede kleine Aufgabe mittels einem weiteren Plugin zu erledigen.

Frage Dich stattdessen, ob Du das geplante Vorhaben nicht auch ohne ein Plugin realisieren kannst.

Sortiere für mehr WordPress Sicherheit alte / nicht genutzt Plugins aus

Außerdem rate ich Dir von Zeit zu Zeit zu prüfen, ob Deine eingesetzten Plugins nicht veraltet sind.

Sollte das der Fall sein, wäre es sinnvoll neuere Plugins zu suchen und die alten zu deaktivieren. Wenn das neue Plugin gut läuft, lösche das alte komplett.

Erfahrungsgemäß können hier bereits 12 Monate ohne Aktualisierung gefährlich sein.

WICHTIG: Nicht genutzte Plugins solltest Du nicht nur deaktivieren! Deaktivierte Plugins sind trotzdem potentielle Schwachstellen. Aus diesem Grund solltest Du diese komplett löschen.

Installiere nur Plugins und Themes aus sicheren Quellen

Wer in WordPress Sicherheit haben möchte, darf nicht naiv sein. Gefahren lauern überall und ein Befall des eigenen Blogs, kann teuer werden.

Daher solltest Du nur Themes und Plugins aus sicheren Quellen installieren. Aber vertraue den sicheren Quellen nicht völlig blind! Hierzu im nächsten Punkt mehr.

Was heißt sichere Quelle? Nun manche Anbieter scannen vor der Veröffentlichung die Plugins auf Virenbefall. Seriöse Anbieter werden das stets tun.

Zum Beispiel alle Plugins die Du direkt im Backend Deines WordPress installieren kannst. Diese werden in die WP Plugin Datenbank aufgenommen und können im Adminbereich oder auf der Internetseite heruntergeladen werden.

Diese sind immer geprüft, was aber keine 100%ige WordPress Sicherheit gewährleistet. Du solltest dennoch Vorkehrungen treffen.

Scanne Plugins und Themes vorher mit Virenprogrammen

Meine Empfehlung: Installiere Themes und Plugins mit einer ZIP Datei über Dein FTP Programm.

Denn Du hast so die Möglichkeit die einzelnen Dateien mit einem Virenprogramm / Malwarescanner vorab zu prüfen.

Auf Chip gibt es einen umfassenden Vergleich von Virenscannern. Im Download Bereich der Computerbild findest zudem eine Vielzahl guter Malware Scanner.

Ich rate zusätzlich einen sichereren SFTP oder FTPS zu nutzen. Damit werden Deine Daten verschlüsselt übertragen. Aber nicht jeder Hoster bietet diese in den günstigen Paketen an.

Solltest Du nicht in den Genuss kommen, achte darauf, dass dein FTP Programm die Daten nicht unverschlüsselt übermittelt. Ich nutze über Filezilla zum Beispiel TLS Übertragungen.

Unverschlüsselte FTPs übertragen Daten im Klartext, auch Benutzername und Passwort. Wer sich dazwischen schalten kann, hat die Eintrittskarte auf Deinen Server.

Übrigens können die heutigen FTP Programme meistens allen verschlüsselte Daten transferieren. Du musst also nur die Einstellungen anpassen.

Newsletter Anmeldung Blog als Nebenjob

In meinen Newsletter bleibst Du stets up to Date zu Themen wie Bloggen, WordPress, SEO, Marketing und Geld verdienen mit einer Webseite. Worauf wartest Du noch? Melde Dich gleich an.

Verwende für den Admin ein sicheres Passwort

Die halbe Miete für hohe Sicherheit sind sichere Passwörter. Wenn Du eine gewisse Länge einhältst, hat es ein Angreifer richtig schwer. Übrigens wird dem regelmäßigen Ändern der Passwörter keine Sicherheit mehr nachgesagt. Vergleiche hierzu: Gdata Artikel.

Der Einfachheit halber möchte ich hier auf die allgemeinen Grundsätze für sichere Passwörter verweisen.

Die Verbraucherzentrale hat einen Leitfaden für sichere Passwörter herausgegeben. Dort findest Du jede Menge weitergehende Informationen zu diesem Thema.

Übrigens gilt das für Alle sensiblen Bereiche. Es nützt Nichts wenn WP Passwörter sicher sind, der Nutzer beim Hoster (Adminbereich, FTP etc.) aber als Passwort 123456 verwendet.

Begrenze die maximalen Login Versuche

Sogenannte Brute Force Attacken basieren auf Hochleistungsrechnern. Diese versuchen in kürzester Zeit enorm viele Nutzernamen / Passwörter Kombinationen.

Die Angreifer hoffen, dass der Webmaster zu einfache Passwörter erstellt hat. “123456”, “password” etc. sind binnen weniger Sekunden geknackt. Jedes weitere Zeichen erschwert es exponentiell.

Die Angreifer verwenden sehr gute Rechner mit hoher Leistung. Die Scripte sind zudem sehr umfangreich. Es werden Zahlenkombinationen und teilweise auch Wörter verwendet.

Aber ab einer bestimmten Länge des Passwortes wird ein guter Rechner genauso an seine Grenzen stoßen. Das A und O um sich vor solchen Attacken zu schützen ist also bereits das Passwort an sich.

Mit begrenzten Login Versuche kannst Du das zusätzlich verzögern. Dann können die Bots nach diversen Fehlversuchen für eine Zeit ausgesperrt werden.

Du gewinnst jede Menge Zeit. Der Angreifer wird das schnell bemerken und sich ein anderes Ziel suchen.

Ich empfehle Dir hier das Plugin Limit Login Attempts Reloaded. Dieses bietet zusätzlich noch XMLRPC Schutz. Die meisten Blogger verwenden XMLRPC ohnehin nicht.

Erstelle regelmäßig Backups

Regelmäßige Backups erhöhen die WordPress Sicherheit zwar nicht. Mit deren Hilfe kannst Du allerdings Daten wiederherstellen.

Ohne ein regelmäßiges Backup kann es passieren, dass Du viele Inhalte verlierst. Nicht nur Kommentare, Bilder u. Ähnliches.

Ganze Artikel könnten nicht mehr rekonstruiert werden. Das wäre doch wirklich sehr schade!

Zudem können schwerwiegende Auswirkungen eintreten, die Einfluss auf den Erfolg Deines Blogs haben. Google Rankings können sich verschlechtern oder gar gänzlich verloren gehen.

Darum täglich Backups machen. In den meisten Fällen kann Dich Dein Hoster hier unterstützen. Die meisten Hoster machen selbst Backups. Aber verlass Dich nicht darauf. Was wenn dieser gehackt wird oder die Festplatte zerstört wird?

Darum erstelle selbst ein PHP Script und lass es mit einem Cronjob in der Nacht laufen! Ich nutze dazu folgende Variante. Beachte bitte, dass Du dafür entsprechend viel Speicherplatz benötigst. Außerdem solltest Du das backup Verzeichnis gesondert mit htaccess sichern. Und Du musst die Datei regelmäßig runterladen!

<?php

######## PHP Einstellungen ########

@error_reporting(E_ALL ^ E_WARNING);
@ini_set("max_execution_time", 300);
@ini_set("memory_limit", "256M");

######## SQL Einstellungen ########

$db_name = "username";
$db_passwd = "password";
$sql_file = "namedatenbankfile.sql";

######## SQL Backup ########

if ( file_exists($sql_file) or file_exists($sql_file . ".gz") )
{
unlink('namedatenbankfile.sql.gz');
}
exec("mysqldump -u $db_name -p'$db_passwd' --allow-keywords --add-drop-table --complete-insert --quote-names $db_name > $sql_file");
exec("gzip $sql_file");
$datei = $sql_file . ".gz";

######## FTP Backup ########

$ftp_file = "nameftpfile.ftp";

if ( file_exists($ftp_file) or file_exists($ftp_file . "tar.gz") )
{
unlink('nameftpfile.ftp.tar.gz');
}

// Zu sicherndes Unterverzeichnis. Bleibt leer, wenn gesamter Account gesichert werden soll.
$verzeichnis = "";

// Auszuschließende Ressourcen, ggfs. Ordner des Hosters ausschließen
$ignorieren = array("*.sql.gz", "*.tar.gz", "*.tgz");

// PEAR-Klasse einbinden und Archiv erstellen
$pfad = preg_replace('/(\/www\/htdocs\/\w+\/).*/', '$1', realpath(__FILE__));
include "Archive/Tar.php";
$archivname = $ftp_file . ".tar.gz";
$archiv = new Archive_Tar($archivname, true);
$archiv->setIgnoreList($ignorieren);
$archiv->createModify($pfad.$verzeichnis, "", $pfad);

?>

Bitte beachte, dass dieses Script ggfs. bei Deinem Hoster nicht funktioniert. All-Inkl.* stellt dies den Kunden in der Hilfe zur Verfügung. Mitunter könnten einige Funktionen / PHP Klassen etc. bei Dir nicht funktionieren. Im Zweifel kontaktiere Deinen Provider!

Meine Leistungen im Überblick - SEO & WordPress Beratung

Verwende wenn möglich die neuste PHP / SQL Version

Nicht nur WordPress an sich bekommt regelmäßig Updates. Programmiersprachen entwickeln sich ebenfalls weiter.

Aber neue Funktionen sind nicht automatisch vorhanden. Du musst für Deinen Webspace die PHP Version festlegen.

Veraltete PHP oder SQL Versionen sind zudem anfälliger für Angriffe. Die Sicherheit steht dort genauso im Fokus.

Im Zweifelsfall kontaktiere Deinen Hoster, um zu erfahren, wie Du die PHP Version anpassen kannst.

Bei All-Inkl.com*, meinem Anbieter, kann ich das bequem im Adminbereich selbst vornehmen. Innerhalb weniger Minuten ist die Änderung vorgenommen.

Vorsicht: Nicht Alle Plugins sind mit höheren PHP Versionen kompatibel. Das kann unter Umständen zu Fehlern führen. Prüfe daher ob alle Plugins kompatibel sind.

Deaktiviere die Registrierung

Viele Blogs / Webseiten die mit dem Content Management System WordPress betrieben werden, brauchen keine registrierten Nutzer.

Kommentare können allein mit Name / E-Mail abgegeben werden. Da braucht es keine Registrierung.

Sofern Du keinen Mitgliederbereich anbieten willst, kann das Deaktivieren der Registrierung für mehr Sicherheit sorgen.

Sobald Du dann bei den Benutzern einen Neuen findest, solltest Du hellhörig werden. Das ist bei einigen Plugins bereits vorgekommen.

Verändere die URL für den Login

Der Login Bereich für WordPress ist den meisten Angreifern bekannt. Diese versuchen darüber ins System zu kommen.

Wenn Du die Loginseite jedoch verschiebst, muss ein Angreifer die “neue” Seite erst finden. Das kann daher schon eine Option sein, WordPress sicherer zu machen.

Um den Login zu verschieben kannst Du entweder die Datei manuell verlegen oder ein Plugin installieren. Sofern Du die Login Versuche beschränkst, finde ich diese Methode relativ überflüssig.

Sofern Du die Benutzerverwaltung benötigst, macht ein Plugin mehr Sinn. Zum Beispiel WPS Hide Login.

Zwei Faktor Authentifizierung

Alle großen Webseiten bzw. Unternehmen haben bereits auf die sogenannte Zwei Faktor Authentifizierung umgestellt.

Ob nun Online Shopping oder Online Banking. Dort kommt die Zwei Faktor Anmeldung bereits zum Einsatz.

Du verwendest wie gewohnt Deine Zugangsdaten, bekommst aber zusätzlich einen Code per SMS, E-Mail oder andere Weise.

Erst nach korrekter Eingabe hast Du Zugriff auf die Inhalte. Für WordPress gibt es ebenfalls entsprechende Plugins, u. A. Two-Factor, Two Factor Authentification und Google Authenticator.

Rest API beschränken

Ein neues Sicherheitsrisiko stellt die WordPress Rest API dar. Mittels dieser können sich Angreifer nicht nur die Liste aller Besucher einer Webseite anzeigen lassen. Dort steht dann unter Anderem die Benutzer ID der Datenbank. Daneben können über die Rest API noch andere Dinge angestellt werden. Für die WordPress Sicherheit also nicht so förderlich.

Das Problem, Du kannst die Rest API leider nicht einfach deaktivieren. Einige Plugins oder Funktionen bauen darauf auf. Zum Beispiel der Gutenberg Editor.

Aber wenn Du keine Benutzerregistrierung zulässt, kannst Du die API auf eingeloggte Nutzer beschränken. Das geht bequem mit diesem Code in der functions.php Datei in Deinem Theme. Aber bitte beachte, nach einem Update muss der Code erneut hinzugefügt werden!

add_filter('rest_authentication_errors', function($result) {
  if (!is_user_logged_in()) {
    return new WP_Error('rest_API_cannot_access', array( 'status' => rest_authorization_required_code()));
    return $result;
  }
});

ACHTUNG: Es gibt Webseiten bei denen es nicht möglich ist diesen Schritt durchzuführen, weil Kommunikation nach außen / innen notwendig ist.

Einen ausführlichen Beitrag zur Rest API von WordPress findest Du auf dem Blog von Kulturbanause. Dort findest Du noch andere Alternativen für die WordPress Sicherheit wegen der Rest API.

HTTPS / SSL verwenden

Eine sichere Verbindung ist nicht nur ein Ranking Faktor für Suchmaschinen. Sie ist ebenfalls extrem wichtig, um Deinen Blog sicherer zu gestalten.

Entsprechende Zertifikate werden von allen gängigen Hostern angeboten. Du musst dann nur noch dafür Sorge tragen, dass Besucher stets auf https Inhalte weitergeleitet werden.

Das kann mittels htacces verwaltet werden. Manche Hoster bieten es im Adminbereich als Einstellung an. Ansonsten kannst Du eine Weiterleitung per Plugin bewerkstelligen.

Ich würde aber eher von einem Plugin abraten. Wie einfach eine htaccess Umleitung ist zeigt Dir dieser Beitrag von reDim.

WordPress besser schützen - Code Gefahren
WordPress besser schützen – Code Gefahren

WordPress Sicherheit Plugins

Der Markt für WordPress Sicherheit Plugins boomt. Täglich werden tausende Webseiten gehackt. Es gibt sogar einen live Zähler.

Das macht die Sicherheit zu einem wichtigen Bestandteil eines Blogs. Die Anbieter eines Plugins versuchen mit diesem Boom etwas Geld zu verdienen.

Zwar gibt es einige kostenlose Plugins, die im Funktionsumfang allerdings beschränkt sind. Viele Premium Varianten umfassen sogar schon Schadsoftware Beseitigung, sind dementsprechend teuer.

Natürlich kannst Du solche einsetzen. Ich glaube das es wichtiger ist sich auf den starke Passwörter und wenig Code zu konzentrieren.

Zumal oft in Verbindung mit Sicherheits Plugins Performance Probleme berichtet werden.

Stell Dir das wie einen Livescanner beim Antivirusprogramm vor. Läuft dieser, ist Dein Computer wesentlich langsamer. Das trifft auf eine Webseite die gescannt wird ebenfalls zu.

Wenn Du Dir entsprechende Anbieter ansehen willst, hier einige gute Plugins:

Tabellen Präfix ändern

Wer das beliebteste Content Management System der Welt nutzt, hat eine Datenbank im Einsatz.

Damit die Installation schnell geht und die Wartung / Erweiterung einfacher ist, verwendet WordPress immer die selben Tabellen-Namen.

Diese können mit einem Präfix verändert werden. Wenn Du dies tust, machst Du es Angreifern schwerer. Diese müssen erst die korrekten Tabellen finden.

Aber anders betrachtet, ist das nur eine minimale Hürde. Denn wer in der Datenbank drin ist, findet das ganz schnell heraus.

Außerdem ist ein nachträgliches Ändern schwieriger. Das muss direkt bei der Installation erfolgen, wie Du meinem WordPress Tutorial entnehmen kannst.

wp-admin mit htaccess zusätzlich absichern

Eine weitere Möglichkeit WordPress sicherer zu gestalten ist eine zusätzliche Absicherung des Adminbereichs mit htaccess.

Der Nachteil an dieser Variante: Es könnte ggfs. zu Problemen mit Plugins kommen, die auf den Adminbereich zugreifen (müssen).

Für den Schutz ist es allerdings eine gute Möglichkeit. Nur sollten Benutzername / Passwort sich vom WP Admin User unterscheiden.

Ich selbst nutze es nicht, da ich der Meinung bin, dass die Sicherheit mit Aufmerksamkeit, sicheren Passwörtertn und aktueller Software ausreichend ist.

Backend Dateibearbeitung deaktivieren

Sofern sich ein Hacker Zugriff zum Admin User verschafft hat, kann er ggfs. im Backend Änderungen an Dateien vornehmen. Zumindest wäre das mein erster Versuch wäre ich Hacker.

Diese Berechtigung kann mittels der functions.php Datei gesperrt werden. Dann müsste der Angreifer noch zusätzlich Zugriff auf den FTP Server haben, um Dateien zu verändern. Dazu musst Du einfach nur folgenden Befehl in die functions.php hinzufügen.

define('DISALLOW_FILE_EDIT', true);

Du solltest aber bedenken, dass bei Theme Updates die functions.php überschrieben wird. Dieser Schutz könnte daher gelöscht werden. Ein Child Theme könnte hierfür eine Abhilfe schaffen.

Die richtige Datei- und Ordnerberechtigung

Was einen erheblichen Anteil zum WordPress Schutz beitragen kann, ist die korrekte Datei- und Ordnerberechtigung.

In vielen Hilfeforen oder Facebook Gruppen haben die Seitenbesitzer die Berechtigung 777 vergeben.

Das kann ein großes Manko sein. Derart viele Rechte braucht es in der Regel nicht.

Während Dateien lediglich 644 benötigen, sollten Ordner 755 besitzen. Die wp_config.php braucht sogar nur 400!

Was heißen diese Zahlen denn genau? Das hat Wikipedia ziemlich gut beschrieben: Chmod Rechte.

Diese Rechte kannst Du übrigens bequem mit Deinem FTP Programm setzen. Es gibt auch fertige Scripte, welche das für Dich erledigen.

Benutzung aber auf eigene Gefahr. Ich würde zur eigenen Lösung raten. Das geht mit FTP ziemlich zügig, da Du die Rechte nach unten Vererben lassen kannst! Ich habe das mal getestet. Bei meinem Blog hat die manuelle Lösung gerade einmal 5 Minuten gedauert.

Anzeige:

» Generiere regelmäßige Einnahmen mit Linkvermietung!

Bei Backlinkseller kannst Du mit Deiner Webseite monatlich Geld verdienen, in dem Du Links vermietest. Ganz einfach und lukrativ.


» Verbessere noch HEUTE Deine Rankings

Seobility hilft Dir dabei Deine Webseite zu analysieren und stetig zu verbessern. Ich nutze das SEO Tool selbst.

Die wp-config in WordPress sichern

Zuvor hatte ich die wichtigste Datei von WordPress bereits angesprochen. Die wp-config.php speichert die Datenbank Zugangsdaten. Darum braucht sie unbedingt Deine Aufmerksamkeit!

Durch setzen der richtigen chmod Rechte hast Du schon viel getan. Aber Du kannst noch mehr tun.

Verschiebe die wp-config an einen anderen Ort

Verschiebe die Datei an einen anderen Ort. Dann gehen Angriffe ins Leere, weil die Datei woanders liegt.

Das Verschieben als WordPress Sicherheits-Maßnahme wurde bereits in diesem Forum heiß diskutiert. Die Mehrheit hat dies jedoch als empfehlenswert betrachtet.

Das coole an WordPress: Das übergeordnete Ordner Element wird standardmäßig durchsucht. Dann brauchst Du Nichts verändern, lediglich die Datei eine Ebene nach oben verschieben.

Bei manchen Hostern funktioniert das leider nicht. Darum musst Du aber nicht auf diese Maßnahme verzichten, die für deutlich mehr Schutz sorgt. Stattdessen leitest Du einfach auf eine andere Datei weiter. Wie dieser Trick funktioniert wird in diesem Beitrag sehr gut beschrieben.

Schütze die wp-config.php mit htaccess

Sehr simpel und einfach: Richte einen htaccess Schutz für Deine wp-config.php ein. Wenn Du sie bereits verschoben hast, achte darauf, dass der Schutz an diesem Ort zur Wirkung kommt, sprich dass Du die htaccess Datei dort platzierst. In der htaccess kannst Du dann folgende Werte eingeben:

# Verbietet allen den Zugang zur wp-config
 <files wp-config.php>
 order allow,deny
 deny from all
 </files>

Außerdem solltest Du zusätzlich noch die htaccess Datei selbst schützen. Das macht es noch schwieriger für potentielle Angreifer bzw. erhöht die WordPress Sicherheit. Dazu einfach noch folgenden Code in der selbigen htaccess Datei einfügen.

#Zugriffe auf .htaccess verhindern
 <files ~ "^.*\.([Hh][Tt][Aa])">
 order allow,deny
 deny from all
 satisfy all
 </files>

Füge Sicherheitsschlüssel hinzu um die WordPress Sicherheit zu steigern

Außerdem solltest Du die Sicherheitsschlüssel in der wp-config anpassen. Standardmäßig sieht das etwa so aus:

wpconfig Sicherheitsschlüssel
wpconfig Sicherheitsschlüssel

Du solltest die ganzen Keys aber definitiv ändern. Nutze dazu einfach die WordPress API unter folgender URL. Die dort aufgeführten Werte kopierst Du einfach in Deine Config-Datei hinein und speicherst diese ab.

SSL Login erzwingen

Hast Du einen SSL Server? Dann solltest Du diesen auch nutzen! Mit folgenden zwei Befehlen kannst Du einen SSL Login erzwingen:

define('FORCE_SSL_LOGIN', true);
define('FORCE_SSL_ADMIN', true);

Beide Befehle einfach in die wp-config.php einfügen. Dadurch wird die Übertragung der Daten zusätzlich geschützt.

Links die im neuen Fenster öffnen absichern

Klingt etwas komisch. Aber Du kennst vielleicht Links die in etwa so aussehen:

<a href="deinlink" target="_blank">Dein Linktext</a>

Mittlerweile gibt es soviele Versuche von Angreifern Systeme zu infiltrieren. Hacker machen selbst vor simplen Links keinen Halt.

Das Problem ist, dass beim öffnen des neuen Fensters noch eine Verbindung zu Deiner Webseite besteht. Mit gezielten Angriffen kann daher Schaden angerichtet werden.

Es empfiehlt sich daher solche Links mit einem einfachen Attribut abzusichern.

rel="noopener noreferer"

Dieses unterbindet etwaige Versuche der Angreifer. Es handelt sich um zwei Attribute weil einige Browser mit noopener Nichts anfangen können.

Dein Link sollte daher im Hinblick auf höhere WordPress Sicherheit wie folgt aussehen:

<a href="deinlink" target="_blank" rel="noopener noreferer">Dein Linktext</a>

Wer zum Beispiel mit Yoast SEO arbeitet, hat im Editor die Funktion ohnehin eingebettet. Alle anderen Links musst Du manuell prüfen und ggfs. in einer Datenbank anpassen. Von einem Plugin würde ich abraten.

Weitergehende Informationen liest Du bei WPHelp.

Meine Leistungen im Überblick - SEO & WordPress Beratung

Was macht WordPress Sicherheit wirklich aus?

Die oben genannten Methoden bringen allesamt irgendwie mehr Sicherheit in Deinen Blog. Aber was davon ist wirklich wichtig für mehr WordPress Sicherheit?

Nun 100% sicher wird Dein Content Management System nie sein. In meinen Augen ist das Wichtigste sensibilisiert zu sein.

Sei Dir der Gefahren bewusst, akzeptiere diese und handle entsprechend. Vertrauen auf den ersten Blick NIEMANDEM blind.

Du solltest auf jeden Fall sichere Passwörter verwenden. Ändere regelmäßig Dein Passwort und halte WordPress und dessen Themes/Plugins aktuell. Lösche inaktive Themes und Plugins komplett.

Ich empfehle aber nicht gleich einer der ersten zu sein bei Core Updates. 1-2 Wochen warten hat sich bei mir bewährt.

Dann gab es genügend Tester und grobe Probleme sind behoben. Bei wichtigen Sicherheitsupdates solltest Du Dir jedoch nicht soviel Zeit lassen.

Lies daher die Ankündigungen zu den Updates durch. Es kann sich auch lohnen in ein paar Facebook Gruppen einzutreten. Dort gibt es oft Beiträge mit Hinweisen.

Themes und Plugins solltest Du vorher Downloaden und auf Viren prüfen. Erst dann per SFTP hochladen. Dieser verschlüsselt die Daten und schützt somit zusätzlich.

Mit einigen Plugins kannst Du Dich vor Angreifern schützen. Zum Beispiel in dem Du die Login Versuche beschränkst.

Wie sieht es mit Security Plugins aus?

Große Sicherheits Suite Plugins machen Deinen Blog “schwerer”. Die Performance kann darunter leiden.

Zwar könntest Du Scans in den Einstellungen reduzieren oder auf die Nacht verschieben. Aber ich persönlich bin der Meinung das die vorher aufgezählten Maßnahmen schon viel zur WordPress Sicherheit beitragen.

Letzteten Endes musst Du es selbst entscheiden, wieviel zusätzlichen Code Du installieren willst.

Ich versuche diesen immer so gering wie möglich zu halten. Wer zusätzlich etwas auf Sicherheit fokussiert ist, wird gut gewappnet sein.

Wie stellst Du den Schutz von WordPress in Deinem Blog sicher? Berichte mir gern in den Kommentaren dazu.

Blog als Nebenjob - Bloggen WordPress SEO Marketing Geld verdienen

Main Menu

Folge mir auf Facebook
Folge mir auf Twitter
Folge mir auf LinkedIn
Folge meinem RSS Feed
Folge meinem Newsletter
  • Startseite
  • WordPress Backups erstellen in wenigen Minuten
WordPress Tutorials - WordPress Backups erstellen

WordPress Backups erstellen in wenigen Minuten

Hast Du Dich schon mal gefragt wie häufig Du mit WordPress Backups erstellen solltest? Und warum das Ganze überhaupt?

Welchen Vorteil bringt es Dir, Deine Daten in bestimmten Abständen zu sichern? Jede Menge, darauf gebe ich Dir Brief und Siegel!

Der Sicherheitsgedanke bei einer Webseite sollte auf keinen Fall vernachlässigt werden. Ich hoffe das hat Dir mein Artikel zum sicheren Gestalten Deines Blogs aufgezeigt. Denn Risiken lauern hinter jeder Ecke.

Mit dem regelmäßigen Anlegen von Sicherungskopien trägst Du dazu bei, die Sicherheit Deines Blogs zu erhöhen. Natürlich macht das zusätzlich Arbeit. Von einem professionellen Webseitenbetreiber wird dies jedoch zunehmend erwartet.

Welche Möglichkeiten Du hast mit WordPress Backups anzulegen, soll Dir dieses Kapitel meines großen Tutorials zeigen. Neben verschiedenen Optionen zur Datensicherung, gehe ich noch auf weitere Sicherheitsaspekte ein.

Übrigens kannst Du das komplette WordPress Tutorial in der aktuellen Version auch als PDF-Dokument herunterladen!

Inhaltsverzeichnis

Was tragen regelmäßige Backups zur Sicherheit bei?

In erster Linie tragen regelmäßige Sicherungskopien Deiner Webseite zu Deiner eigenen Sicherheit bei. Du solltest immer vom Worst-Case ausgehen. Also im Grunde das Szenario, wo Deine Webseite gelöscht wird und Dein Hoster keine eigenen Backups gemacht hat.

Alle Deine Inhalte sind verloren, damit also Deine jahrelange Arbeit. Im Zweifelsfall Dein Lebenswerk. Sind die Texte nicht mehr vorhanden, verlierst Du selbstverständlich die dazugehörigen Rankings in den Suchmaschinen.

Du würdest Jahre brauchen, um die Inhalte wiederherzustellen. Wenn das überhaupt vollständig möglich ist. Übrigens klingt mein ausgedachtes Szenario völlig überzogen, dem bin ich mir bewusst. Aber es soll wirklich solche Fälle gegeben haben. Hackangriffe und sonstige Verluste kommen noch hinzu. Darum solltest Du unbedingt unabhängig von Deinem Hoster eigene Sicherungskopien anlegen.

Wie und womit Du in WordPress Backups erstellen kannst, will ich Dir heute leicht verständlich erklären. Daneben werde ich Dir noch einige Tipps mit an die Hand geben, die zur generellen Sicherheit beitragen.

Wie Du WordPress Backups erstellen kannst

WordPress ist ein sehr mächtiges Content Management System. Ein CMS mit vielen Anpassungsmöglichkeiten. Darum ist eine Sicherung der eigenen Daten gar nicht so schwer, wie Du es Dir vielleicht vorstellst. Im Gegenteil sogar. Backups bedeuten zwar Aufwand, sind mit etwas Erfahrung allerdings binnen weniger Minuten durchführbar.

Die meisten Webseitenbetreiber wollen sich jedoch nicht in die Materie einarbeiten. Was meiner Meinung nach ein Fehler ist. Es gehört zur eigenen Sicherheit dazu, regelmäßig Backups zu erstellen. Egal ob Du nun einen WordPress Blog betreibst oder eine andere Webseite.

Was „regelmäßig“ bedeutet, musst Du selbst für Deine Zwecke bestimmen. Je nachdem wie viele Inhalte Du auf Deiner Webseite veröffentlichst bzw. Daten verarbeitet werden, zum Beispiel über Eingabeformulare.

Schreibst Du wie ich 1 bis 2 Artikel die Woche, genügt wahrscheinlich eine Sicherung in der Woche. Große Portale die täglich mehrere Inhalte erstellen, dürften da wohl eher über tägliche oder gar stündliche Datensicherungen nachdenken müssen.

Lieber ein Backup zu viel als Eines zu wenig.Meine Empfehlung für Dich:Anzeige

Seobility SEO Software

Ihre Werbung hier?

Manuelle Backups (Meine Empfehlung!)

Die im Grunde einfachste Möglichkeit die Daten Deines Blogs zu sichern, ist meiner Meinung nach ein manuelles WordPress Backup.

Dazu loggst Du Dich einfach in Deinem FTP Programm ein und lädst im ersten Schritt alle physischen Dateien vom Server auf einen Datenträger, wo die Daten später gesichert werden sollen. Backups haben natürlich Nichts in einer Cloud zu suchen!

Im Bild unten siehst Du diesen Vorgang mit FileZilla. Einfach ins Hauptverzeichnis von WordPress gehen, alle Dateien in FileZilla markieren und den Datentransfer starten. Je nachdem wie viele Dateien Du auf dem Server liegen hast, kann das einige Minuten dauern.

FileZilla FTP Daten Sicherung
FileZilla FTP Daten Sicherung

Im zweiten Schritt wird dann die Datenbank exportiert und gesichert. Dazu loggst Du Dich bei Deinem Hoster in die Datenbank ein. In der Regel haben die meisten Anbieter PHPmyAdmin im Einsatz. Dort gibt es dann den Reiter im rechten Fenster, der sich exportieren nennt. Am besten Du legst die Datei ebenfalls in den Ordner wo Du den ersten Schritt abgelegt hast.

WordPress Backups erstellen PHPmyAdmin Export
WordPress Backups erstellen PHPmyAdmin Export

Der Nachteil des manuellen Backups ist die notwendige Anwesenheit. Du kommst nicht drum herum, die Schritte selbst vorzunehmen. Das kostet etwas Zeit. Je mehr Daten, desto zeitintensiver wird der Vorgang. Alternativ kannst Du diesen auch zum Beispiel im Hintergrund laufen lassen, wenn Du einen Artikel schreibst.

Die Vorteile manueller Backups

Auf der anderen Seite kannst Du mit dem Erstellen eines manuellen Backups noch zusätzliche Schutzmaßnahmen treffen. Musst Du in meinen Augen sogar. Denn Du solltest nicht vergessen, dass Du sämtliche Daten sicherst. Also mitunter sensible Kundendaten. Aber natürlich auch Passwörter und die wp-config.php. Die in den falschen Händen das Eintrittstor in alle Daten ist.

Ein manuelles Backup gibt Dir die Möglichkeit die Daten nur auf einem bestimmten Datenträger zu speichern. Du kannst außerdem eine komprimierte Datei erstellen und zusätzlich ein Passwort-Schutz einrichten.

Somit muss ein potenzieller Angreifer zunächst am Passwort-Schutz vorbei, sollte er doch mal an Deine Backups kommen. Übrigens sollten Deine selbst erstellten Backups nicht auf Deinem Server liegen. Dort bringen Sie Dir nämlich Nichts, wenn Dein Hoster ausfällt.

Darum speichere die Dateien unbedingt dort, wo sie bei einem Ausfall des Hosters sicher sind. Das kann auf Deinem Laptop sein oder auf einer externen Festplatte.

Newsletter Anmeldung Blog als Nebenjob

Hol Dir jetzt meinen Newsletter!

In meinen Newsletter bleibst Du stets up to Date zu Themen wie BloggenWordPressSEOMarketing und Geld verdienen mit einer Webseite. Worauf wartest Du noch? Melde Dich gleich an.JETZT Anmelden

Automatische Backups mit Cronjob

Die zweite Möglichkeit wie Du mit WordPress Backups erstellen kannst, ist das automatische Backup mit einem Cronjob.

Dabei handelt es sich um ein Script dass zu bestimmten Zeiten von Deinem Hoster ausgeführt werden kann. Unabhängig davon ob Du oder ein Mitarbeiter des Hosters aktiv ist. Das Script wird computergesteuert ausgeführt und gibt Dir daher auch die Möglichkeit eine Datensicherung zu machen, wenn Du gar keine Zeit dafür hast.

Ein entsprechendes Script mittels PHP hatte ich Dir bereits in einem anderen Artikel hier im Blog zur Verfügung gestellt.

<?php

######## PHP Einstellungen ########

@error_reporting(E_ALL ^ E_WARNING);
@ini_set("max_execution_time", 300);
@ini_set("memory_limit", "256M");

######## SQL Einstellungen ########

$db_name = "username";
$db_passwd = "password";
$sql_file = "namedatenbankfile.sql";

######## SQL Backup ########

if ( file_exists($sql_file) or file_exists($sql_file . ".gz") )
{
unlink('namedatenbankfile.sql.gz');
}
exec("mysqldump -u $db_name -p'$db_passwd' --allow-keywords --add-drop-table --complete-insert --quote-names $db_name > $sql_file");
exec("gzip $sql_file");
$datei = $sql_file . ".gz";

######## FTP Backup ########

$ftp_file = "nameftpfile.ftp";

if ( file_exists($ftp_file) or file_exists($ftp_file . "tar.gz") )
{
unlink('nameftpfile.ftp.tar.gz');
}

// Zu sicherndes Unterverzeichnis. Bleibt leer, wenn gesamter Account gesichert werden soll.
$verzeichnis = "";

// Auszuschließende Ressourcen, ggfs. Ordner des Hosters ausschließen
$ignorieren = array("*.sql.gz", "*.tar.gz", "*.tgz");

// PEAR-Klasse einbinden und Archiv erstellen
$pfad = preg_replace('/(\/www\/htdocs\/\w+\/).*/', '$1', realpath(__FILE__));
include "Archive/Tar.php";
$archivname = $ftp_file . ".tar.gz";
$archiv = new Archive_Tar($archivname, true);
$archiv->setIgnoreList($ignorieren);
$archiv->createModify($pfad.$verzeichnis, "", $pfad);

?>

Aber wie wird das Script nun automatisch in regelmäßigen Abständen ausgeführt? Dazu musst Du es in eine PHP Datei speichern und auf Deinen Server laden. Dort wo die Backup-Dateien gespeichert werden sollen.

Bei dieser Variante der Backups solltest Du unbedingt einen zusätzlichen Verzeichnisschutz mit Hilfe von htaccess anlegen. Der Verzeichnisschutz hilft Dir dabei, die Dateien für den Zugriff zu sperren, sofern der Aufrufende nicht die Berechtigung dazu hat.

Danach legst Du einen Cronjob im Kundenbereich bei Deinem Hoster an. Ich zum Beispiel bin bei All-Inklusive*, der mir die Möglichkeit einräumt nicht nur den Zeitrahmen des Cronjobs vorzugeben, sondern auch gleich Zugangsdaten für den Verzeichnisschutz einzugeben. Das ist wichtig, sonst kann der Cronjob wegen mangelnder Berechtigung nicht ausgeführt werden.

Nach der Ausführung eines Cronjobs wird dann die vorhandene Datei gelöscht und durch das neuere Backup ersetzt. Dieses kannst Du zum Beispiel einfach runterladen, wenn Du Zeit hast.

Meine Leistungen im Überblick - SEO & WordPress Beratung

Backups mittels Plugins

Die dritte Möglichkeit mit der Du WordPress Backups erstellen kannst, sind Plugins zur Datensicherung. Davon haben sich auf dem Markt einige etabliert.

Natürlich ist ein Plugin immer sehr bequem, weil es einfach zu installieren ist. Das Problem an der Plugin-Lösung: Deine erstellte Datensicherung liegt ebenfalls auf dem betroffenen Server. Außerdem kann es möglich sein, dass die Daten über Dritte Server transferiert werden.

Aus Datenschutzgründen solltest Du Dir das Installieren eines Backup-Plugins wirklich gut überlegen. Ich kenne zudem einige Blogger, die mit den Backup Dateien Probleme hatten und dann keinen Import der Daten machen konnten.

Das ist zwar nicht die Regel, aber kann durchaus vorkommen. Zumal ein zusätzliches Plugin immer ein weiteres Sicherheitsrisiko sein kann. Ich persönlich bin kein Freund von zu vielen zusätzlichen Pluginlösungen, wenn es auch ohne geht.

Folgende Plugins haben sich auf dem Markt etabliert:

Anzeige:

blog2social - WordPress Plugin

Ihre Werbung hier?

Fazit

WordPress Backups erstellen die meisten Blogger mittels eines Plugins. Aus Sicherheitsgründen kann ich Dir aber eigentlich nur davon abraten ein Plugin zur Datensicherung in WordPress einzusetzen.

Manuelle Backups mit WordPress sind in meinen Augen die beste Variante und daher empfehle ich diese nicht nur hier im Blog.

Du kannst die Dateien zusätzlich schützen und nur auf den notwendigsten Datenträgern speichern. Die Dateien liegen außerdem nicht auf dem betroffenen Server und können unabhängig vom Hoster jeder Zeit zum Einsatz kommen.

Natürlich bedeuten manuelle Backups für WordPress erhöhten Aufwand. Aber muss wirklich Alles immer automatisiert und mit einer Plugin-Lösung bewerkstelligt werden? Sollte es uns diese Bequemlichkeit zu Lasten der Sicherheit wert sein?

Von mir gibt es dazu ein klares NEIN. Ich glaube die manuelle Variante oder aber das Backup mittels eines Cronjobs bieten Dir genügend Spielraum, sofern Du nicht massenweise Daten verarbeitest. Große Portale werden die manuellen Backups wegen der Massen nicht umsetzen können. Aber auch dort würde ich die Plugin-Lösung nur im Notfall einsetzen. Schlechter wäre im Grunde nur noch, gar keine WordPress Backups zu machen.

WordPress Tutorial: Weitere Artikel

3 Kommentare zu „WordPress Sicherheit: So schützt Du Deinen Blog“

  1. Pingback: WordPress Updates: Vor dem Aktualisieren Daten sichern!?!

  2. Sehr, sehr gut beschrieben. Das hat mich wirklich weiter gebracht und ich setz auch direkt mal ein paar Dinge um. Ich habe in der Vergangenheit die Erfahrung gemacht, dass Backups auf verschiedenen Servern auch sehr praktisch ist. Falls der eine mal crasht, hat man noch das andere Backup.

    1. Hallo Marie,

      schön das Dir der Artikel gefällt. Ich finde es fahrlässig wie teilweise Webseiten mit den Daten und Sicherheit umgehen.

      Teilweise werden gar keine Sicherungen gemacht. Aus einer eigenen Erfahrung auf einem Blog vor einigen Jahren, kann ich jedoch nur dazu raten immer schön WordPress Backups zu machen.

      Ansonsten ist die WordPress Sicherheit ebenfalls ein Thema, dass häufig stiefmütterlich behandelt wird. Schaue ich in mein Backend und auf die täglichen Versuche von Logins (die gesperrt werden), bestätigt das mein Reden.

      Viele Grüße
      Ronny

Kommentar verfassen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Captcha loading...

Scroll to Top