WordPress Sicherheit: Grundlagen zum Härten einer Installation

Warum Standardinstallationen gefährdet sind

WordPress ist das meistgenutzte CMS der Welt. Genau das macht es zum bevorzugten Angriffsziel. Automatisierte Scanner durchforsten das Netz kontinuierlich nach bekannten Schwachstellen in veralteten Plugins, Standard-Konfigurationen und unsicheren Zugangsdaten. Eine frische WordPress-Installation ohne weitere Härtung ist kein sicheres System.

Die gute Nachricht: Der größte Teil der erfolgreichen Angriffe auf WordPress nutzt bekannte, behebbare Schwachstellen aus. Wer die Grundlagen der Härtung kennt und umsetzt, schließt einen erheblichen Teil der Angriffsfläche.

Zugangsdaten und Benutzerverwaltung

Der erste Angriffspunkt ist fast immer der Login. Mehrere Maßnahmen greifen hier ineinander.

Starke Passwörter erzwingen: WordPress erlaubt schwache Passwörter, wenn der Nutzer die Warnung ignoriert. Über das Plugin Password Policy Manager oder Code in der functions.php lässt sich eine Mindestpasswortlänge und Komplexität erzwingen.

Standard-Benutzernamen vermeiden: Der Benutzername admin ist der erste Versuch jedes automatisierten Angriffs. Wer noch mit diesem Namen arbeitet, sollte einen neuen Administratoraccount anlegen und den alten löschen.

Anzeigename vom Benutzernamen trennen: In WordPress sind Benutzername und Anzeigename standardmäßig identisch. Der Anzeigename erscheint öffentlich unter Beiträgen und in der REST API. Beide Felder sollten unterschiedliche Werte haben.

Anzahl der Loginversuche begrenzen: Ohne Begrenzung können Angreifer unbegrenzt Passwörter durchprobieren. Plugins wie Limit Login Attempts Reloaded oder eine Firewall-Regel auf Serverebene unterbrechen diesen Angriff.

Dateisystem und Berechtigungen

WordPress benötigt spezifische Dateisystemberechtigungen. Zu offene Rechte ermöglichen es Angreifern, Dateien zu überschreiben oder auszulesen.

Die empfohlenen Werte:

• Verzeichnisse: 755
• PHP-Dateien: 644
• wp-config.php: 440 oder 400

Die wp-config.php enthält Datenbankzugangsdaten, geheime Schlüssel und Salts. Sie sollte außerdem in das übergeordnete Verzeichnis außerhalb des Webroot verschoben werden, sofern der Hoster das erlaubt.

wp-config.php absichern

Einige Einträge in der wp-config.php erhöhen die Sicherheit direkt.

Datei-Editierung über das Dashboard deaktivieren:

define('DISALLOW_FILE_EDIT', true);

PHP-Ausführung im Uploads-Verzeichnis verhindern lässt sich über eine .htaccess-Datei im Ordner wp-content/uploads/:

<Files *.php>
deny from all
</Files>

Das verhindert, dass hochgeladene PHP-Dateien als Schadcode ausgeführt werden, selbst wenn es einem Angreifer gelingt, eine solche Datei einzuschleusen.

Sicherheitsrelevante HTTP-Header

Browser werten bestimmte HTTP-Header aus und schützen Nutzer damit vor verschiedenen Angriffsklassen. Folgende Header sollte jede WordPress-Installation senden:

• X-Content-Type-Options: nosniff verhindert MIME-Sniffing
• X-Frame-Options: SAMEORIGIN schützt vor Clickjacking
• Content-Security-Policy begrenzt erlaubte Ressourcenquellen
• Referrer-Policy: strict-origin-when-cross-origin kontrolliert, welche Referrer-Informationen weitergegeben werden

Diese Header lassen sich in der .htaccess, über die Nginx-Konfiguration oder per Plugin setzen.

Datenbankschutz

Das Standard-Tabellenpräfix wp_ ist allgemein bekannt. Ein individuelles Präfix wie x7k_ erschwert SQL-Injections, die gezielt auf WordPress-Tabellen abzielen. Das Präfix sollte vor der Installation festgelegt werden. Eine nachträgliche Änderung ist aufwendiger, aber möglich.

Außerdem sollte der Datenbankbenutzer nur die tatsächlich benötigten Rechte haben. Für den regulären Betrieb reichen SELECT, INSERT, UPDATE und DELETE. Administrative Rechte wie DROP oder ALTER werden nur bei Updates benötigt.

Was der Analyzer prüft

Der Analyzer erkennt eine Reihe der hier beschriebenen Konfigurationsschwachstellen automatisch. Dazu gehören offene Benutzerlisten über die REST API, fehlende Sicherheits-Header und erkennbare Standard-Konfigurationen. Das Ergebnis gibt einen ersten Überblick, welche Bereiche dringenden Handlungsbedarf haben.

Plugin- und Theme-Hygiene

Jedes Plugin und jedes Theme ist potenziell ein Einfallstor. Die wichtigsten Regeln:

• Nur aktiv genutzte Plugins behalten, alle anderen deinstallieren
• Keine Plugins aus inoffiziellen Quellen installieren
• Regelmäßige Updates durchführen (mehr dazu im Ratgeber zu WordPress-Updates)
• Premium-Themes und Plugins nur aus vertrauenswürdigen Quellen beziehen

Deaktivierte Plugins erhalten weiterhin keine Sicherheitsupdates und können trotzdem Schwachstellen enthalten, da ihr Code auf dem Server verbleibt.

Fazit

WordPress-Sicherheit ist kein einmaliger Schritt, sondern ein laufender Prozess. Die hier beschriebenen Maßnahmen decken die häufigsten Angriffsvektoren ab. Wer systematisch vorgeht, Zugangsdaten absichert, Berechtigungen korrekt setzt und HTTP-Header konfiguriert, reduziert das Risiko einer erfolgreichen Kompromittierung erheblich.