🔐

WordPress Sicherheit & Härtung

Modul 231 - Umfassende Dokumentation zur Absicherung von WordPress-Installationen

WordPress Security SSL/TLS Firewall Best Practices

Projektübersicht

Diese Dokumentation behandelt umfassend die Sicherheitsaspekte von WordPress-Installationen im Rahmen des Modul 231 (Datenschutz und Datensicherheit). Der Fokus liegt auf praktischen Sicherheitsmaßnahmen, Authentifizierung, Autorisierung und der Härtung von WordPress-Systemen.

15+
Sicherheitsmaßnahmen
5
Hauptkategorien
20+
Code-Beispiele
100%
Best Practice

Hauptthemen

🔑

Authentifizierung

  • Starke Passwort-Richtlinien
  • Zwei-Faktor-Authentifizierung (2FA)
  • Login-Versuche limitieren
  • Brute-Force-Schutz
  • Session-Management
👤

Autorisierung

  • Rollen und Berechtigungen
  • Least Privilege Prinzip
  • Benutzer-Capabilities
  • Admin-Zugriff beschränken
  • File Permissions (chmod)
🔒

SSL/TLS

  • HTTPS erzwingen
  • SSL-Zertifikate (Let's Encrypt)
  • HSTS-Header
  • Mixed Content vermeiden
  • Secure Cookies
🛡️

Firewall & WAF

  • Web Application Firewall (WAF)
  • IP-Whitelist/Blacklist
  • DDoS-Schutz
  • Rate Limiting
  • Cloudflare Integration
🔄

Updates & Monitoring

  • Automatische Updates
  • Plugin-Sicherheit
  • Security Monitoring
  • Log-Analyse
  • Malware-Scanning
💾

Backup & Recovery

  • Automatische Backups
  • Offsite-Speicherung
  • Datenbank-Backups
  • Restore-Prozess
  • 3-2-1 Backup-Regel

Praktische Implementierung

🔧 wp-config.php Härtung

Sicherheitskritische Konfigurationen in der wp-config.php:

// Security Keys (unbedingt ändern!)
define('AUTH_KEY', 'einzigartiger-wert');
define('SECURE_AUTH_KEY', 'einzigartiger-wert');
define('LOGGED_IN_KEY', 'einzigartiger-wert');
define('NONCE_KEY', 'einzigartiger-wert');

// HTTPS erzwingen
define('FORCE_SSL_ADMIN', true);

// File Editor deaktivieren
define('DISALLOW_FILE_EDIT', true);

// Automatische Updates
define('WP_AUTO_UPDATE_CORE', true);

// Revisions limitieren
define('WP_POST_REVISIONS', 3);

// Debug-Modus (nur Development!)
define('WP_DEBUG', false);

🛡️ .htaccess Absicherung

Apache-Konfiguration zum Schutz wichtiger Dateien:

# wp-config.php schützen
<files wp-config.php>
order allow,deny
deny from all
</files>

# .htaccess selbst schützen
<files ~ "^.*\.([Hh][Tt][Aa])">
order allow,deny
deny from all
</files>

# Directory Browsing verhindern
Options -Indexes

# XML-RPC deaktivieren (Brute-Force-Schutz)
<files xmlrpc.php>
order allow,deny
deny from all
</files>

📋 Security Headers

HTTP Security Headers via functions.php:

function add_security_headers() {
header('X-Frame-Options: SAMEORIGIN');
header('X-Content-Type-Options: nosniff');
header('X-XSS-Protection: 1; mode=block');
header('Referrer-Policy: strict-origin-when-cross-origin');
header('Strict-Transport-Security: max-age=31536000; includeSubDomains');
}
add_action('send_headers', 'add_security_headers');

🚫 Login-Versuche limitieren

Brute-Force-Schutz mit Limit Login Attempts Plugin oder manuell:

// Plugin-Empfehlung: Limit Login Attempts Reloaded
// Konfiguration:
// - Max. 3 Versuche pro IP
// - 20 Minuten Lockout
// - E-Mail-Benachrichtigung bei Lockout
// - IP-Whitelist für Admin-IPs

Empfohlene Security Plugins

🛡️ Wordfence Security

Umfassende Sicherheitslösung mit Firewall, Malware-Scanner und Login-Schutz.

  • ✓ Web Application Firewall (WAF)
  • ✓ Malware-Scanner
  • ✓ Real-time Threat Defense
  • ✓ Two-Factor Authentication

🔐 Sucuri Security

Security Auditing, Malware-Scanning und Härtungsmaßnahmen.

  • ✓ Security Activity Auditing
  • ✓ File Integrity Monitoring
  • ✓ Remote Malware Scanning
  • ✓ Security Hardening

🔒 iThemes Security

30+ Sicherheitsmaßnahmen zum Schutz von WordPress-Installationen.

  • ✓ Brute-Force-Schutz
  • ✓ Database Backups
  • ✓ File Change Detection
  • ✓ 404 Detection

Security Best Practices

✅ Updates durchführen

WordPress Core, Themes und Plugins immer aktuell halten.

✅ Starke Passwörter

Min. 12 Zeichen, Groß-/Kleinbuchstaben, Zahlen, Sonderzeichen.

✅ 2FA aktivieren

Zwei-Faktor-Authentifizierung für alle Admin-Accounts.

✅ Regelmäßige Backups

Täglich automatische Backups mit Offsite-Speicherung.

✅ HTTPS erzwingen

SSL/TLS für gesamte Website mit HSTS-Header.

✅ Plugins minimieren

Nur notwendige Plugins installieren, ungenutzte deaktivieren.

Best Practices & Empfehlungen

🎯 Wesentliche Sicherheitsmaßnahmen

🔄 Updates & Wartung

  • • WordPress, Themes & Plugins aktuell halten
  • • Automatische Updates aktivieren
  • • Regelmäßiges Security Monitoring

🔐 Authentifizierung

  • • Starke Passwörter für alle Benutzer
  • • Zwei-Faktor-Authentifizierung aktivieren
  • • Login-Versuche limitieren (Brute-Force-Schutz)

🛡️ Systemhärtung

  • • File Editor deaktivieren
  • • wp-config.php schützen (.htaccess)
  • • Database Prefix ändern (nicht wp_)

🔒 Verschlüsselung

  • • SSL-Zertifikat installieren
  • • HTTPS erzwingen
  • • Security Headers konfigurieren

🛠️ Tools & Plugins

  • • Security Plugin installieren (Wordfence/Sucuri)
  • • XML-RPC deaktivieren (falls nicht benötigt)
  • • Admin-Username nicht "admin" verwenden

💾 Backup & Recovery

  • • Automatische Backups einrichten
  • • Offsite-Speicherung nutzen
  • • Wiederherstellung regelmäßig testen

Weitere Projekte entdecken

Schaue dir meine anderen Projekte an oder kontaktiere mich für eine Zusammenarbeit.

Alle Projekte Kontakt aufnehmen