WordPress ist ein beliebtes CMS, was es zu einem attraktiven Ziel für Angreifer macht. Vor der Veröffentlichung einer Website sollten Sicherheitsmaßnahmen ergriffen werden, um Schwachstellen und Hackerangriffe zu verhindern. Die wichtigsten Schritte sind unten aufgeführt.

1. WordPress und Plugins aktualisieren

• WordPress, Themes und Plugins regelmäßig aktualisieren.
• Nicht verwendete oder veraltete Plugins und Themes entfernen.
• Nur geprüfte Plugins aus dem offiziellen Repository nutzen.

2. Zugriff auf wp-admin und wp-login.php beschränken

wp-admin und wp-login.php umbenennen

Die Standard-Login-Seiten (/wp-admin und /wp-login.php) machen die Website anfällig für Brute-Force-Angriffe.

Wie ändert man die Login-URL?

• Mit einem Plugin (WPS Hide Login)
  • Plugin installieren und neue URL setzen (z. B. /secure-login).

• Mit .htaccess (für Apache)

RewriteEngine On
RewriteCond %{REQUEST_URI} ^/wp-login.php$ [NC]
RewriteRule ^(.*)$ /secure-login [R=301,L]

• wp-login.php mit Basic Authentication schützen

<FilesMatch "wp-login.php">
   AuthType Basic
   AuthName "Restricted Access"
   AuthUserFile /etc/apache2/.htpasswd
   Require valid-user
</FilesMatch>

Zugriff auf wp-admin auf bestimmte IPs beschränken

Um den Zugriff nur für bestimmte IP-Adressen zu ermöglichen, in .htaccess hinzufügen:

<Directory "/var/www/html/wp-admin">
    Order Deny,Allow
    Deny from all
    Allow from 192.168.1.100 203.0.113.5
</Directory>

Ersetze 192.168.1.100 und 203.0.113.5 durch deine IP-Adressen.

3. xmlrpc.php deaktivieren

Die Datei xmlrpc.php wird oft für Angriffe genutzt.

Deaktivierungsmöglichkeiten

• Über .htaccess

<Files xmlrpc.php>
   Order Deny,Allow
   Deny from all
</Files>

• Mit einem Plugin
  • Disable XML-RPC installieren und aktivieren.

4. wp-content/uploads/ absichern

Der Ordner wp-content/uploads/ sollte keine ausführbaren Skripte enthalten.

PHP-Ausführung in uploads blockieren

.htaccess in uploads erstellen oder bearbeiten

<FilesMatch ".*\.php$">
    Order Deny,Allow
    Deny from all
</FilesMatch>

Überprüfung der Erreichbarkeit von Dateien – PHP-Dateien in uploads werden nicht mehr ausgeführt.

5. admin-Benutzername ändern

Der Standardnutzer admin ist ein häufiges Angriffsziel.

Änderung des Benutzernamens

1. Einen neuen Administrator erstellen (Benutzer → Neu hinzufügen).
2. Ausloggen und mit dem neuen Konto anmelden.
3. admin löschen (vorher Beiträge einem anderen Benutzer zuweisen).

6. Login-Versuche begrenzen

Das Plugin Limit Login Attempts Reloaded installieren, um fehlgeschlagene Login-Versuche zu begrenzen.

7. HTTPS verwenden

Ein SSL-Zertifikat installieren, um sicherzustellen, dass die Website über HTTPS läuft.

8. Cloudflare WAF nutzen

Die Cloudflare Web Application Firewall (WAF) aktivieren, um Angriffe wie SQL-Injections und XSS zu verhindern.

Zusammenfassung

Die Umsetzung dieser Maßnahmen verbessert die WordPress-Sicherheit vor der Veröffentlichung erheblich.