So schützen Sie Ihre WordPress-Website

Ziel

WordPress ist eines der für die Erstellung von Websites am häufigsten verwendeten Content Management Systeme (CMS). Aufgrund seiner großen Verbreitung (mehr als 40 % aller Websites) sowie seines Ökosystems aus kostenlosen sowie kostenpflichtigen Erweiterungen und Themes gibt es jedoch auch einige Sicherheitslücken. Diese können ausgenutzt werden, um Daten zu stehlen, die Erscheinung der Website zu ändern (Defacement) oder die Funktionalität der Website zu beeinträchtigen.

Diese Anleitung zeigt Ihnen eine Reihe von Maßnahmen, die schnell umgesetzt werden können, um Ihre WordPress-Website abzusichern.

Voraussetzungen

•     Sie verfügen über ein Webhosting.
•     Sie haben WordPress installiert
•     Sie haben Zugriff auf das Verwaltungsinterface (über die bei Installation bereitgestellte Kennung und das Passwort).

Beschreibung
 

Wann sollten WordPress-Updates durchgeführt werden?

Es ist wichtig, immer die neuesten Versionen von CMS, Themes und Plugins zu verwenden, da Updates mögliche Sicherheitslücken beheben. Wenn Sie Hilfe bei der Installation dieser Updates benötigen, können Sie die deutsche Version der CMS-Website einsehen und die Datenbanken abfragen, in denen die mit Tools wie Exploit Database gefundenen Sicherheitslücken zusammengestellt sind.

Die Regel ist einfach: Führen Sie jedes Mal, wenn ein WordPress-Update erscheint, dieses auch durch. Wussten Sie schon ...? Sie können für Ihre Themes und Erweiterungen auch automatische Updates aktivieren!

Wichtig: Vergewissern Sie sich vor dem Update, dass Sie über genügend Speicherplatz auf Ihrem Server verfügen (mindestens 1 GB erforderlich). Wenn Ihr Speicherplatz voll ist und Sie Updates durchführen, kann Ihr CMS diese vielleicht nicht vollständig abschließen, sodass Ihre Website möglicherweise nicht mehr verfügbar ist.

Auch wenn die Updates Ihrer Themes und Erweiterungen automatisiert sind, sollten Sie dennoch auf das Datum der letzten Aktualisierung achten. Neben den Risiken einer Inkompatibilität mit einer neuen WordPress-Version kann es vorkommen, dass eine Komponente, die seit mehreren Monaten nicht aktualisiert wurde, keine Sicherheitsupdates mehr erhalten kann und somit Sicherheitslücken aufweist.

Wie konfiguriere ich automatische Updates für mein WordPress-Theme?

Die Updates für Ihre Themes zu automatisieren ist ganz einfach. Klicken Sie in der linken Spalte Ihres WordPress-Dashboards auf „Appearance“ und dann auf „Themes“. Wählen Sie Ihr Theme aus und klicken Sie auf „Enable auto-updates“ (Automatische Updates aktivieren).

Wie aktiviere ich automatische Updates für meine WordPress-Plugins?

In der linken Spalte Ihres WordPress-Dashboards können Sie das automatische Update Ihrer Plugins im Bereich „Plugins“ konfigurieren:

Warum sollte ich die PHP-Version meines Hostings aktualisieren?

Es ist auch wichtig, die neueste verfügbare PHP-Version zu verwenden (sofern Ihre installierten Themes und Plugins diese unterstützen). Bei jedem Update werden zahlreiche Leistungs- und Sicherheitskorrekturen bereitgestellt. Welche PHP-Versionen noch unterstützt werden, sehen Sie hier: https://www.php.net/supported-versions.php

Nachstehend finden Sie auch die empfohlene Konfiguration für Ihr OVHcloud Hosting:

• Laufzeitumgebung: Stable64
• PHP-Version: 8.1
• Engine: PHP
• Modus: Produktion
• Web Application Firewall: Deaktiviert

Wenn Ihr WordPress auf einer nicht mehr unterstützten PHP-Version installiert und konfiguriert wurde, vergewissern Sie sich, dass die von Ihnen verwendeten Plugins mit der neuen Version der Programmiersprache, die Sie konfigurieren möchten, kompatibel sind. Sonst kann es notwendig sein, das Plugin zu wechseln.

Wie aktualisiere ich PHP auf meinem OVHcloud Hosting?

Sie können diese Aktion direkt über Ihr OVHcloud Kundencenter durchführen. Im Folgenden finden Sie einen Screenshot aus dem letzten Schritt für diese Aktion. Dort können Sie die PHP-Version auswählen, die Sie verwenden möchten:

Wichtig: Ihr WordPress und seine Themes und Plugins müssen unbedingt auf dem neuesten Stand sein, bevor diese Änderung durchgeführt wird.

Weitere Informationen finden Sie in unserer Anleitung: https://help.ovhcloud.com/csm/de-web-hosting-change-php-version?id=kb_article_view&sysparm_article=KB0041052
 

Gibt es Plugins für den Schutz von WordPress?

Die in diesem Tutorial aufgeführten WordPress-Plugins gehören zu den am meisten verwendeten. Sie werden regelmäßig aktualisiert und haben sich bereits bewährt. Bitte beachten Sie, dass es andere, gleichermaßen interessante und leistungsstarke Plugins gibt, die in den genannten Beispielen nicht erwähnt werden.
 

Wie konfiguriere ich mein WordPress vollständig in HTTPS?

„Really Simple SSL“ erkennt automatisch Ihre Einstellungen und konfiguriert Ihre Website für die Verwendung des HTTPS-Protokolls (das von Suchmaschinen bevorzugte Protokoll).

Wichtig: Sie müssen zuerst ein SSL-Zertifikat auf Ihrem Hosting installiert und aktiviert haben. Sie besitzen kein SSL-Zertifikat?  Lesen Sie unsere Anleitung, hierzu:https://help.ovhcloud.com/csm/de-web-hosting-ssl-certificates?id=kb_article_view&sysparm_article=KB0053176

Klicken Sie in Ihrem WordPress-Dashboard auf „Plugins“ und dann auf „Add“ (Hinzufügen). Geben Sie „Really Simple SSL“ in die Suchleiste ein und klicken Sie auf „Install Now“ (Jetzt installieren). Warten Sie einige Sekunden und klicken Sie dann auf „Activate“ (Aktivieren).

Jetzt müssen Sie nur noch Ihr SSL-Zertifikat aktivieren! Dazu klicken Sie einfach auf die Schaltfläche „Activate SSL“ (SSL aktivieren) die dann erscheint:

Das SSL-Zertifikat ist jetzt standardmäßig auf Ihrer Website aktiviert. Sie müssen nur noch einige Einstellungen vornehmen, wie zum Beispiel die Aktivierung der 301-Weiterleitung über .htaccess:

Installieren Sie anschließend die für die HTTPS-Verbindung empfohlenen Sicherheitsheader, indem Sie die .htaccess-Datei über FileZilla bearbeiten.

Beachten Sie, dass dies auch über FTP Explorer möglich ist: https://help.ovhcloud.com/csm/de-web-hosting-ftp-storage-connection?id=kb_article_view&sysparm_article=KB0052705#1-via-ftp-explorer-verbinden

Wenn Sie eingeloggt sind, klicken Sie mit der rechten Maustaste auf die .htaccess-Datei und klicken Sie dann auf „View/Edit“ (Anzeigen/Bearbeiten):

Wenn die Datei in einem Texteditor geöffnet ist, genügt es, am Ende die folgenden Zeilen zu kopieren und einzufügen:

# Security Headers
Header always set Strict-Transport-Security: "max-age=31536000" env=HTTPS
Header always set Content-Security-Policy "upgrade-insecure-requests"
Header always set X-Content-Type-Options "nosniff"
Header always set X-XSS-Protection "1; mode=block"
Header always set Expect-CT "max-age=7776000, enforce"
Header always set Referrer-Policy: "no-referrer-when-downgrade"
Header always set X-Frame-Options: "SAMEORIGIN"
Header always set Permissions-Policy "geolocation=(); midi=();notifications=();push=();sync-xhr=();accelerometer=(); gyroscope=(); magnetometer=(); payment=(); camera=(); microphone=();usb=(); xr=();speaker=(self);vibrate=();fullscreen=(self);"
# End Security Headers

Sie erhalten dann in der „.htaccess“-Datei im Wurzelverzeichnis Ihrer Website folgendes Ergebnis:

Wichtig: Wenn Sie diese Zeilen kopiert haben, achten Sie darauf, die Einträge zu speichern, indem Sie auf „File“ (Datei) und dann auf „Save“ (Speichern) klicken. Gehen Sie anschließend zurück zu FileZilla, um das Pop-up-Fenster zu bestätigen, das Sie auffordert, die Datei an den Server zurückzusenden. Tun Sie das nicht, werden Ihre Änderungen nicht berücksichtigt.
 

Wie richte ich eine Zwei-Faktor-Authentifizierung ein?

Die herkömmliche Verwendung von Kennung und Passwort kann sich im Hinblick auf die Sicherheit als unzureichend erweisen. Die Schwachstellen sind gut bekannt: ein einfaches Passwort, manchmal identisch für mehrere Accounts, gelegentliche oder sogar keine Passworterneuerung oder Speicherung der Login-Daten auf einem unsicheren Datenträger. Und auch mit einem komplexen Passwort ist es jedoch immer noch möglich, Opfer eines böswilligen Angriffs zu werden, bei dem ein Hacker sein Ziel erreichen könnte.

Die Einrichtung eines Zwei-Faktor-Authentifizierungsprozesses (2FA oder Two Factor Authentication) erhöht die Sicherheit des Zugriffs auf Ihr Verwaltungsinterface. Die Funktionsweise ist einfach: Neben der herkömmlichen Verwendung von Kennung und Passwort werden Sie auch um eine Authentifizierung mit einem zusätzlichen Faktor (befristeter Code, Smartphone-Authentifizierung, SMS, Passphrase) gebeten. So schützen und sichern Sie Ihre Administrator-Zugriffe und vermeiden Kompromisse bei der Sicherheit Ihrer Website.
Selbst wenn ein böswilliger Benutzer auf irgendeine Weise Ihr Passwort erhalten könnte, wäre die Sicherheit Ihrer Zugänge nicht beeinträchtigt.

Sie können auch die Google Authenticator-App (oder eine ähnliche Anwendung) für Ihre Zwei-Faktor-Authentifizierung verwenden.
Bei der Erstellung Ihres Accounts wird ein QR-Code auf dem Bildschirm angezeigt. Scannen Sie diesen einfach mit Ihrem Smartphone per Google Authenticator. In Ihrer Anwendung erscheint ein neuer Eintrag, der einen Code generiert (standardmäßig 6 Ziffern), der alle 30 Sekunden erneuert wird. Geben Sie diesen Code zur Authentifizierung im Verwaltungsinterface ein.

Mit einem vollständigen Plugin können Sie gleich mehrere Authentifizierungsmodi für Ihre Website verwalten. Dies ist nützlich für Administratoren, aber auch für andere Benutzer mit einem Account. Das miniOrange-Plugin von Google Authenticator ist unter der folgenden Adresse verfügbar: https://de.wordpress.org/plugins/miniorange-2-factor-authentication/

So aktivieren Sie die Zwei-Faktor-Authentifizierung für den Administrator-Account (auf den Sie mit einem kostenlosen Account zugreifen können):

• Loggen Sie sich mit dem Administrator-Account auf dem dedizierten Interface ein.
• Klicken Sie auf das Plugin „miniOrange 2-Factor“.

• Klicken Sie unter der Authentifizierungsmethode „Google Authenticator“ auf „Configure“ (Konfigurieren).

• Wählen Sie im ersten Schritt des Konfigurationsprozesses die Anwendung aus, die Sie auf Ihrem Smartphone für die Generierung der Zahlenreihe verwenden. Nachdem Sie die Methode ausgewählt haben, scannen Sie den QR-Code mit Ihrem Smartphone über die Google Authenticator-App.
• Weisen Sie einen Namen zu und gehen Sie dann zu Schritt 2 der Verifizierung, indem Sie den auf Ihrer Mobil-App erzeugten Code eingeben.
• Ist die Operation erfolgreich, bestätigt Ihnen ein neues Fenster, dass der Zugriff auf Ihren Account via 2FA jetzt wirksam ist.

Wie messe ich die Gesundheit meiner Website?

Wählen Sie in der linken Spalte Ihres WordPress-Dashboards „Tools“ aus und klicken Sie dann auf „Site Health“. Dieser Abschnitt ist kein Plugin. Er ist standardmäßig in WordPress integriert und kann Sie auf Leistungs- oder Sicherheitsprobleme auf Ihrer Website aufmerksam machen.

Sie können Ihre Sicherheitsheader auch hier testen: https://securityheaders.com/

Wie konfiguriere ich Wordfence für mein WordPress?

Wordfence umfasst eine Firewall und einen Malware-Scanner, die von Anfang an für den Schutz von WordPress entwickelt wurden.

Wenn Sie auf „Activate“ (Aktivieren) klicken, müssen Sie Ihr Plugin registrieren. Wenn Sie noch keinen Wordfence-Account haben, klicken Sie auf „Get Your Wordfence License“. Sie werden dann zur Website des Plugin-Herausgebers weitergeleitet, um Ihren Account zu erstellen:

Wählen Sie auf der Website des Herausgebers die „Free“-Version aus. Klicken Sie anschließend auf „Get a Free License“. Es öffnet sich ein Dialogfenster. Klicken Sie dort auf „I'm OK waiting 30 days for protection from new threats“:

Anschließend erscheint ein neues Dialogfenster mit der URL Ihrer WordPress-Website. Geben Sie Ihre E-Mail-Adresse ein und setzen Sie ein Häkchen bei der Annahme der Allgemeinen Geschäftsbedingungen:

Eine Nachricht zeigt Ihnen dann an, dass eine E-Mail an Sie gesendet wurde:

Öffnen Sie die E-Mail und klicken Sie auf den Link, um die Erstellung Ihres Accounts abzuschließen (der Link sendet Sie direkt zum Verwaltungsinterface von WordPress). Sie können nun den in den Formularen eingetragenen Lizenzschlüssel bestätigen:

Dieser Vorgang kann auch manuell durch Kopieren des in der Registrierungsmail angegebenen Schlüssels durchgeführt werden.

Die Firewall, auch WAF (Web Application Firewall) genannt, wird in den Lernmodus versetzt. Dieser Schritt kann mehrere Dutzend Minuten dauern.

In der Zwischenzeit klicken Sie auf „Click here to configure“.

Laden Sie das Backup Ihrer .htaccess-Datei auf Ihren Computer herunter und klicken Sie dann auf „Continue“.

Wie optimiere ich meine Einstellungen für den Schutz vor Brute-Force-Angriffen?

Klicken Sie im Bereich „Firewall“ in der linken Spalte Ihres Dashboards auf „Manage Firewall“.

Klicken Sie anschließend auf "Brutto Force Protection" (am Ende der neuen Seite).

Hier die wichtigsten Einstellungen:

• Lock out after how many login failures (maximale Anzahl an Login-Versuchen, bevor der Besucher gesperrt wird): 2.
  Wir empfehlen die Verwendung eines Passwortmanagers.
• Lock out after how many forgot password attempts (maximale Anzahl an Versuchen zum Zurücksetzen eines Passworts, bevor der Besucher gesperrt wird): 2.
• Amount of time a user is locked out (Dauer der Sperrung des Benutzers): 2 months (2 Monate).
• Immediately lock out invalid usernames (Sperrung von Benutzern, die sich mit einem nicht existierenden WordPress-Benutzernamen einloggen wollen).

Wenn Sie sich beim Login auf Ihrem Dashboard aus Versehen selbst sperren, erhalten Sie eine E-Mail an die Adresse, die Sie in Wordfence angegeben haben. Mit dieser können Sie die Sperrung aufheben und erneut versuchen, sich einzuloggen.

Wenn Sie einen gleichwertigen Schutz für Ihre anderen Websites (ohne WordPress) benötigen, erfahren Sie über diesen Link alles Nötige zu den Funktionen unserer „CDN Security“-Option (Englisch).

Zum Abschluss: eine Zusammenfassung der Best Practices

• Halten Sie Ihr CMS sowie dessen Plugins und Themes stets auf dem neuesten Stand.
• Konfigurieren Sie WordPress, um diese Updates zu automatisieren.
• Stellen Sie sicher, dass alle Seiten über TLS/SSL erreichbar sind und Ihr Zertifikat gültig ist.
• Richten Sie eine Zwei-Faktor-Authentifizierung für kritische Accounts ein.
• Überprüfen Sie regelmäßig die Gesundheit Ihrer Website.