Theme 2025 einrichten
Tipps zu WordPress 6.7

Standardthemes

WordPress für Anfänger

WordPress-Schriftzug auf Vorhängeschloss

WordPress absichern

WordPress absichern! WordPress ist kostenlos und populär. Doch die hohe Verbreitung macht das CMS für Hacker attraktiv! Außerdem gefährden Plugins die Stabilität deiner Website. In diesem Security-Tutorial erkläre ich dir, wie du WordPress-Katastrophen auf fünf Ebenen vermeidest.

  1. Bei der Konzeption deiner Website.
  2. Bei der Installation von WordPress.
  3. Im laufenden Betrieb.
  4. Durch Backup und Wiederherstellung (Spiegelung).
  5. Duch Aneignung von aktuellem WordPress-Knowhow.

WordPress bei der Konzeption absichern

Regel Nummer 1: Erschaffe dir kein Monster. Unproblematisch und gut für deine SEO ist die Kombination verschiedener Funktionen einer Website. Zum Beispiel:

  • Portfolio-Website plus Blog und Shop.
  • Blog mit angeschlossenem Shop.
  • Onlineshop mit angeschlossenem Blog.

Problematisch sind dagegen:

  • Plugins, die Social-Media-Beiträge auf deiner Website ausspielen.
  • Plugins, die länger nicht mehr vom Hersteller upgedatet wurden.
  • Themes, die länger nicht mehr vom Hersteller upgedatet wurden.
  • Zu komplexe Konstruktionen aus Plugins und Extensions. Beispiel: WooCommerce plus Membership-Bereich plus wiederkehrende Zahlung plus Terminbuchungs-Funktion.
  • Ein schlechter Hoster.
  • Pagebuilder, vor allem solche mit einer sterbenden Nutzerbasis. Wenn so ein Nischen-Pagebuilder nämlich in fünf Jahren vom Hersteller aufgegeben wird, hast du ein Problem.

WordPress bei der Installation absichern

Verwende ein SSL-Zertifikat

Für WordPress und erst recht für einen Shop benötigst du immer ein SSL-Zertifikat.

  • Die meisten Hoster bieten ein kostenloses SSL-Zertifikat innerhalb des Hostingpakets an.
  • Weise das SSL-Zertifikat vor der Installation von WordPress der Domain zu, auf der du WordPress installieren willst. Damit ersparst du dir später den Umzug von HTTP auf HTTPS.
  • Installiere WordPress sofort auf eine HTTPS-Domain – nicht auf eine HTTP-Domain.

Erzwinge HTTPS

Kontrolliere bei der Installation von WordPress, ob du im Kundencenter des Hosters alles richtig eingestellt hast, insbesondere die Weiterleitung aller HTTP-Anfragen auf HTTPS. Probiere es aus! Du musst bei der Eingabe der Installations-URL sofort auf eine HTTPS-Seite umgeleitet werden, auch wenn du HTTP eingegeben hast. An diesen beiden Merkmalen erkennst du eine verschlüsselte Seite:

  1. Zeichen mit Schlösschen
  2. https:// statt http://

Funktioniert die Weiterleitung von HTTP auf HTTPS nicht, dann kontaktiere deinen Hoster. Das macht vor der Installation ein bisschen Arbeit, erspart aber nachher ein ganze Menge Ärger. 😉

MySQL und PHP – neueste Versionen

Bei guten Hostern kannst du für MySQL und PHP zwischen unterschiedlichen Versionen wählen. Stelle hier die aktuellen Versionen ein. Die älteren Versionen sind nur für die Fehleranalyse gedacht!

Datenbank-Prefix ändern

Bei der Installation von WordPress musst du die Zugangsdaten zur Datenbank in die Datei config.php eintragen. Dabei hast du die Möglichkeit, das Datenbank-Prefix zu ändern. Voreingestellt ist wp_ verwende zum Beispiel wukw7_. Weil Hacker mit Standardkonfigurationen ein leichtes Spiel haben, erhöht ein individuelles Prefix die Sicherheit.

Noch ein Tipp zum sicheren Upload deiner WordPress-Dateien auf den Server des Providers: Verwende SFTP statt FTP in deinem FTP-Client. Im FTP-Client FileZilla kannst du SFTP auswählen.

Sicheres Passwort

Bei der Passwortvergabe für WordPress verwendest du natürlich NICHT 1234 oder Admin oder deinen Shopnamen! WordPress nimmt dich hier bei der Hand und blendet die Sicherheitsstufe ein. Stark ist die richtige.

Installation aufräumen

Die Datei wp-config-sample.php hat keine Funktion, außer den Hackern zu verraten, welches CMS aufgesetzt ist.

Also weg mit der wp-config-sample.php. Aber die wp-config.php bleibt auf dem Server, denn da sind ja die Zugangsdaten für deine Datenbank gespeichert! Löschen kannst du auch die Readme-Dateien und die Lizenzinformationen. Es genügt wenn du diese Dateien lokal gespeichert hast.

WordPress im laufenden Betrieb absichern

WordPress ist schon nach der Installation unter Dauerbeschuss automatisierter Hacker-Scripte. Schützen kannst du dich mit Sicherheits-Plugins. Hierbei gibt es zwei Ansätze:

Achtung: Betreibe keine Plugins parallel, die die selben Funktionen ausführen

Updates, Updates, Updates

Veraltete Software ist früher oder später gehackte Software. Diese Updates musst du durchführen, um Sicherheitslücken zu schließen:

  • WordPress Core – sicherheitstechnisch sehr relevant
  • Plugins – sicherheitstechnisch extrem relevant
  • Themes – sicherheitstechnisch sehr relevant
  • Übersetzungen – sicherheitstechnisch wenig relevant

Tipp: In deiner Plugin-Verwaltung kannst du unter in der rechten Spalte für jedes Plugin die automatische Aktualisierung aktivieren oder deaktivieren. Diese Methode hat einen Vorteil und einen Nachteil.

  • Vorteil: Du ersparst dir lästige Routinearbeit.
  • Nachteil: Wenn du deine Plugins händisch und der Reihe nach aktualisierst, bemerkst du einen Fehler sofort. Und du weißt, welches Plugin den Fehler verursacht hat. Bei der automatischen Aktualisierung kann es sein, dass du plötzlich nur noch eine weiße Seite siehst: Das schuldige Plugin ist dann schwerer zu identifizieren.

So lassen sich auch Themes lassen sich automatisch updaten (auf eigene Gefahr):

  1. Klicke auf Design/Themes.
  2. Fahre mit der Maus auf das Vorschaubild des betreffenden Themes.
  3. Klicke auf Theme-Details.
  4. Klicke auf Automatische Aktualisierungen aktivieren.

Tipp zum Themes-Updates: In WordPress sollten immer zwei Themes installiert sein.

  1. Das aktive Theme. Hier verwende ich die automatische Aktualisierung, wenn ich das nötige Vertrauen zum Theme-Hersteller habe. Bei Standardthemes ist das der Fall.
  2. Eiin passives, unversehrtes Standardtheme, auf das WordPress im Notfall zurückgreifen kann. Dieses Theme lasse ich immer automatisch aktivieren.

Core-Updates

WordPress unterscheidet Minor Updates und Major Updates.

  • Minor Updates – du erkennst Sie an der dreistelligen Nummer, zum Beispiel WordPress 6.6.1. Minor Updates sind problemlos, sie beheben nur kleinere Fehler und Sicherheitslücken
  • Major Updates – du erkennst Sie an der dreistelligen Nummer, zum Beispiel WordPress 6.7. Major Updates bringen neue Funktionen in den WordPress Core, sie können zu unliebsamen Überraschungen führen. Tipp: WordPress vorher spiegeln und Update auf Testumgebung durchführen.

PS: Die Major-Versionen von WordPress werden einfach durchgezählt. Das Update von 6.9 auf 7.0 ist also nicht spektakulärer als von 6.8 auf 6.9.

Update-Reihenfolge

Falls du die Updates manuell durchführst. Die empfohlene Update-Reihenfolge lautet:

  1. Plugins updaten
  2. Themes updaten
  3. Core update

Jedes Plugin ist ein Sicherheitsrisko

  • Verzichte auf überflüssige Plugins. Je mehr Plugins, desto instabiler und angreifbarer ist dein WordPress.
  • 10 bis 20 Plugins sind noch normal. Bei mehr als 20 Plugins solltest du überlegen, ob die wirklich alle benötigst.

Registrierungs-Haken entfernen

  • Kontrolliere bei Einstellungen / Allgemein, ob die Checkbox bei Mitgliedschaft deaktiviert ist.
  • Setze die Standardrolle eines neuen Users auf Abonnent.

Social Engineering

Zun den verblüffend erfolgreichen Angriffsmethoden zählt das Social Engineering, also das Ausschöpfen der Schwachstelle Mensch. Hier habe ich die Technik des Social Engineering in einem YouTube-Video erklärt:

Social Engineering

WordPress spiegeln und auf eine weitere Art sichern

WordPress zu spiegeln bedeutet, eine exakte Kopie deiner bestehenden WordPress-Website zu erstellen. Dies kann aus verschiedenen Gründen nützlich sein, wie z.B. für Backup-Zwecke, zum Testen von Plugins oder Änderungen in einer sicheren Umgebung oder beim Umzug auf einen neuen Server. Hier sind die beiden grundlegenden Schritte, um eine WordPress-Website zu spiegeln:

Backup erstellen

  • Erstelle ein Backup von Dateien und der Datenbank (MySQL oder MariaDB), in der alle Inhalte und Einstellungen deiner WordPress-Website gespeichert sind. Am einfachsten funktioniert die Erstellung dieses Backups nach meiner Meinung über das geniale Plugin Backup Migration.

Backup einspielen

  • Installiere auf dem neuen Server (oder auf Lokal WP) ein neues WordPress als „Stellvertreter-WordPress“.
  • Installiere Backup Migration in diesem „Stellvertreter-WordPress“.
  • Überspiele das „neu installierte „Stellvertreter-WordPress“ mit der Sicherung aus Backup Migration.

WordPress auf eine weitere Art sichern

Bei der Sicherung von WordPress gilt: Diversifizierung erhöht die Chance auf zumindest teilweise Wiederherstellung. Sichere WordPress zusätzlich auf eine (oder zwei) weitere Arten!

  • Sicherung per XML-Export.
    Klicke dazu im Backend in der schwarzen Menüleiste links auf Werkzeuge/Export. Achtung: Auch wenn da Medien dabei steht: Deine Mediathek ist damit nicht gemeint, deine hochgeladenen Bilder und Videos werden mit dem XML-Export nicht gesichert! Trotzdem ist diese Sicherung besser als keine, denn sie beinhaltet alle Beiträge, Seiten und Kommentare. Außerdem geht sie wirklich sehr schnell.
  • Sicherung per FTP und Datenbank-Export.
    Exportiere die WordPress-Dateien über ein FTP-Programm (FileZilla) und die Datenbank über phpMyAdmin. phpMyAdmin wird von 99 % aller Hoster zur Verfügung gestellt. Du kannst sowohl mySQL- wie auch MariaDB-Datenbanken mit phpMyAdmin exportieren.

Vulnerability Database

Über Sicherheitslücken in WordPress, betroffen sind vor allem Plugins, informiert die Vulnerability Database auf patchstack.com

WordPress-Knowhow aneignen

WordPress-Wissen fällt nicht vom Himmel. Aktuelles WordPress-Wissen bekommst du auf WordPress-Veranstaltungen (Meetups und WordCamps). Die zukünfigen Events werden dir in deinem Backend angezeigt.

Du kannst dabei einen Ort auswählen, im Beispiel oben ist es Frankfurt. Angezeigt werden:

  1. Ein Online-Meetup, ausgerichtet vom Meetup Mannheim (kostenlos)
  2. Ein Präsenz-Meetup, augerichtet vom Meetup Koblenz (kostenlos)
  3. Das WordCamp Karlsruhe (25 Euro pro Person)

Voraussetzung zur Teilnahme an WordPress-Events ist eine Anmeldung.

  • Anmeldung bei Meetups: Über die Meetup-App.
  • Anmeldung zum WordCamp: Über die betreffende WordCamp-Website.

Sicherheitsfragen werden auch auf dem WordPress-Support-Forum behandelt.

Ist dein WordPress sicher oder schläfst du schlecht? Mein Name ist Bernd Schmitt und ich betreibe standardthemes.de.
Wenn du eine Frage oder eine Anmerkung hast, schreib einfach einen Kommentar.


Kommentare

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert