Wordpress-Sicherheitsmaßnahmen

✉ info@netz-gaenger.de 📞 +49 151 / 28859057

Hinweis Partnerlinks*

Wordpress ist als das beliebteste Content Management System weltweit häufig unter Beschuss durch Hacker und sogenannte Script-Kiddies. In dieser Kategorie finden Betreiber von Wordpress-Webseiten eine Zusammenstellung von Best-Practices zum Thema Wordpress-Sicherheit. Wie sollten Wordpress-Webseiten abgesichert werden und was sollte man tun, wenn dann doch mal die eigene Wordpress-Webseite gehackt wurde?

All Inkl versendet Mails wegen der Contact Form 7 Sicherheitslücke

Kunden des Webhosters All-Inkl erhalten derzeit eine Mail mit dem Hinweis, dass eine Sicherheitslücke oder ein Virus auf deren Webhosting-Server gefunden wurde. Dazu der Hinweis im KAS (Kontrollcenter) von All-Inkl weitere Infos einzuholen, wie das Problem behoben werden kann. Was es damit aufsich hat erkläre ich dir kurz.

Sicherheitswarnung und Formular-Blockierung in Chrome (und Firefox) für Webseiten ohne SSL

Google hat ab dem 23. Juli 2018 Webseiten ohne SSL Verschlüsselung (TLS) mit einem „unsicher“ oder „nicht sicher“ Hinweis in Google Chrome Browser (Version 68) markiert und somit Webseitenbetreiber unter Druck gesetzt, dass langfristig so viele Webseiten wie möglich verschlüsselt werden. Nur so sind z.B. Loginformulare oder auch Kontaktformulare geschützt. Aber auch Newsletter-Anmeldeformulare sind hiervon betroffen und jegliche andere Form der Datenerfassung im Web. Webseitenbetreiber sollten zeitnah handeln, die Umstellung (gerade von WordPress-Webseiten) ist in der Regel kein Hexenwerk. Mit der Version 86 blockiert Chrome nun auch HTTP Formulare.

Google Chrome blockiert Mixed Content – Wie du das in WordPress lösen kannst

Google hat schon angekündigt ab Ende 2019 / Anfang 2020 die Auslieferung von Webseiten mit Mixed Content zu blockieren. In einem ersten Schritt wird versucht die Inhalte per SSL zu laden, die per http:// angefordert werden sollen, danach wird direkt komplett blockiert und der User hat die Möglichkeit die Inhalte manuell nachzuladen. Generell alles sehr unschön. Die Site wird natürlich als „unsicher“ markiert. Bereits jetzt blockiert Google Scripte und andere Ressourcen, die auf eigentlich SSL verschlüsselten Webseiten per http:// geladen werden sollen. Was du tun kannst, damit deine Site nicht blockiert wird, liest du hier.

Kritische Sicherheitslücke in WordPress < 5.0.1 bekannt geworden - Jetzt aktualisieren!

Wie heute bekannt wurde, weist WordPress diverse kritische Sicherheitslücken in der neuesten und auch in früheren Versionen des beliebten Content Management Systems auf. Wichtig ist nun zu prüfen, ob die eigene Webseite betroffen wurde und gegebenenfalls offene Updates einzuspielen.

WordPress konfigurieren für mehr Sicherheit

Firmen kümmern sich bei ihrer ersten Webseite um günstige Anbieter, ein gutes Konzept, Suchmaschinenoptimierung, Konversionen und viele andere wichtige Dinge. Oft geht allerdings das vermeintlich wichtigste Thema unter: Wie optimiere ich die Sicherheit meiner Webseite? Ich möchte hier die wesentlichen Maßnahmen darstellen, die eine WordPress-Installation sicherer machen können.

WordPress auf SSL umstellen

Aktuell ist es in aller Munde (zumindest wenn es um Webseiten geht), dass Webseiten auf SSL Verschlüsselung und somit https:// umgestellt werden sollten. Am Beispiel WordPress zeige ich auf, wie man das macht und wie man http:// URLs auf https:// URLs weiterleitet. (Stand 03.01.2021)

101 ultimative Tipps für WordPress Webseiten

WordPress ist ein tolles CMS um Webseiten und Blogs auf die Beine zu stellen. Nahezu alles ist möglich und vieles kann man tun, damit die WordPress Webseite sicher, schnell und erfolgreich wird. Aber nicht jeder weiß um jeden Kniff und jede Technik. Geschweige denn um jede Notwendigkeit, damit der eigene Webauftritt zum Erfolg werden kann. Meine jahrelange Erfahrung teile ich mit dieser Liste an Maßnahmen, die ich in der täglichen Arbeit mit WordPress, treffe. Wenn es tatsächlich noch mehr Ideen geben sollte, wie man eine WP Webseite optimieren kann, lasst es mich wissen. Ansonsten gibt es eigentlich keinen Grund wieso nicht jeder die folgende Liste umsetzen sollte (im Übrigen sind einige Punkte der Liste für Webseiten, die nicht auf WP aufsetzen, ebenso interessant!). 😉

Infografik 5 Wege um WordPress sicherer zu machen

WordPress wird leider sehr oft gehackt. Meist, weil Webseitenbetreiber keinerlei Maßnahmen treffen um eine WordPress-Webseite abzusichern. Das geschieht, da sie oder deren Webdesigner entweder aus eigener Unkenntnis oder aber aus nicht Einhaltung der Sorgfaltspflicht es vermissen lassen, diese Maßnahmen zu treffen.. Dabei gibt es schon mit ein paar relativ einfachen Schritten die Möglichkeit, WordPress in der Basis abzusichern. Welche das sind, habe ich in einer Infografik zusammengestellt, welche gerne unter Verlinkung dieser Webseite auf anderen Webseiten veröffentlicht werden darf. Weiterlesen »

REST API in WordPress deaktivieren

Aus aktuellem Anlass gebe ich hier den Hinweis, dass WordPress-Webseitenbetreiber ihre Webseite auf 4.7.2 aktualisieren sollten, die derzeit 4.7 oder 4.7.1 betreiben. In WordPress 4.7.2 wird eine Sicherheitslücke geschlossen, die durch die REST API besteht und durch die unauthentifizierte Angreifer Schadcode einschleusen oder Inhalte löschen können. So kann man die API einfach deaktivieren.

WordPress Blog wurde jahrelang nicht aktualisiert. Kann man Updates einfach durchführen?

Viele Webseitenbetreiber die WordPress als CMS verwenden verschwenden leider keinen Gedanken an Updates. Jahrelang liegen diese Webseiten im Status Quo im Netz und sammeln fleißig Sicherheitslücken durch veraltete Software. Aber kann man uralte WordPress-Webseiten einfach updaten, wenn man dann doch mal seiner Webseite eine Verjüngerungskur gönnen möchte? Oder machen diese Updates gar WordPress unbrauchbar?

WordPress Blog nach Hack offline. Was tun?

Problem: Kunde XY hat das Problem, dass sein WordPress Blog durch seinen Webhoster abgeschalten wurde, weil scheinbar durch einen Hack SPAM-Mails über den Blog versendet wurden und dieser zusätzlich Schadcode an Besucher ausliefert. Möglicherweise wurde die WP-Installation durch einen Exploit infiziert. Was kann der Kunde nun tun?

Ist WordPress unsicher?

Das Gerücht WordPress sei unsicher, ist fast schon so alt wie das CMS an sich. Und es hält sich leider tatsächlich hartnäckig. Auch wenn WordPress-Profis immer wieder darauf hinweisen, dass es in der Regel nicht WordPress an sich ist, das sicherheitstechnische Probleme bereiten kann.

WordPress wurde gehackt. Was tun?

WordPress-Webseiten sind häufig unter Beschuss durch Hacker und Script-Kiddies. Und nicht selten sind sie erfolgreich und kompromittieren eine Webseite. Und ebenso nicht selten werden diese Webseiten von Google aus dem Index geworfen um den Schaden zu minimieren. Was kann man aber tun, wenn die eigene WordPress-Seite gehackt wurde? (Stand 16.09.2015)
Weiterlesen »

WordPress Plugins Ordner verschieben

In 99,9% aller WordPress Webseiten liegt der Plugins-Ordner im Ordner wp-content. Mancher mag aber gewisse Gründe haben (z.B. Security by obscurity), den Plugins-Ordner zu verschieben (so wie manche auch den wp-content-Ordner verschieben wollen. Beide Ordner separat zu verschieben macht keinen Sinn 😉 ). So geht’s…

Den Theme- und Plugin-Editor in WordPress deaktivieren

Im Admin-Backend befindet sich standardmäßig ein Editor, mit dessen Hilfe man den Code von Plugins und Themes bearbeiten kann. Das klingt auf den ersten Blick praktisch für User. Birgt aber vor allem Gefahr, wenn der User keine Ahnung hat was er tut. Daher möchte man unter Umständen beide Editoren deaktivieren.

Zugriff auf sensible Dateien in WordPress entfernen

Nach der Installation von WordPress sind Dateien übrig, die keinen weiteren Nutzen für den User oder Webseitenbetreiber haben. Theoretisch bergen sie sogar die Gefahr zu viele Informationen preis zu geben und es Hackern leichter zu machen, als nötig. Wie man damit umgehen sollte…

wp-config.php eine Ebene höher verschieben

Die wp-config.php Datei ist reines Gold für Hacker, da sie alle sensiblen Informationen Ihrer WordPress-Website, einschließlich Passwörter und Datenbank-Standorten beinhaltet. Wichtig also, diese so gut wie möglich zu schützen. Weiterlesen »

WordPress Admin mit SSL-Proxy absichern

Derzeit werden ja jede Menge Angriffe gegen Adminbereiche von WordPress gefahren. Zeit, den Adminbereich per SSL zu sichern. Wer kein eigenes SSL Zertifikat hat, kann evtl. einen SSL-Proxy seines Webhosters nutzen (wie z.B. bei all-inkl.com).

Wordpress absichern

Den Ordner wp-content in WordPress umbenennen

WordPress ist nicht von Haus auf unsicher. Aber durch die Verwendung von Plugins, ist die Sicherheit nur so weit gewährleistet, wie Plugins frei von Sicherheitslücken und aktuell sind. Gegen fiese Bösewichter wie sogenannte Script-Kiddies, die z.B. aus Langeweile während der Schulferien mit frei verfügbaren Tools nach offenen Systemen suchen, kann man aber Maßnahmen ergreifen indem man WordPress absichert. Weiterlesen »

Jetzt WordPress Newsletter in dein Postfach

Melde dich jetzt für meinen Newsletter an und du erhältst regelmäßig Tipps und Tricks zu WordPress in dein Postfach. Natürlich kannst du ihn jederzeit abbestellen.

E-Mail:

Ja, ich habe die Datenschutzerklärung zur Kenntnis genommen und bin damit einverstanden, dass die von mir angegebenen Daten elektronisch erhoben und gespeichert werden. Meine Daten werden dabei nur streng zweckgebunden zur Verwaltung und Versendung des Newsletters verwendet. Mit dem Absenden des Kontaktformulars erkläre ich mich mit der Verarbeitung einverstanden. Die Einverständniserklärung kann jederzeit per E-Mail an info@netz-gaenger.de und am Ende jedes Newsletters durch Betätigen des Abbestellen-Links widerrufen werden.

Über René Dasbeck

Seit Jahren entwickle ich leidenschaftlich gerne Webseiten und arbeite für Sie als WordPress-Entwickler. Hier blogge ich darüber und bewerbe mich für Ihre Projekte. E-Mail: info@netz-gaenger.de

Kategorien

Beliebte Artikel

Meine Empfehlung für WordPress-Themes*

Das beste Plugin für Mehrsprachigkeit*