WordPress sicherer machen mit diesen 5 Maßnahmen

Jede populäre Software ist auch immer irgendwie dem Risiko ausgesetzt, Ziel von Angriffen durch Hacker zu werden. Da WordPress sehr bekannt und so weit verbreitet ist, werden wir als Webseitenbetreiber natürlich nicht verschont.

Diese Angriffe sollten für uns aber keine Gefahr darstellen, wenn wir vernünftig vorbereitet sind und unsere Seite in den wichtigsten Punkten schützen.

5 Maßnahmen zum Schutz der eigenen WordPress-Website möchte ich in diesem Artikel zeigen. Also Los geht’s!

 

WordPress sicher machen #1 – Benutzername und Passwort

Wenn Hacker versuchen eine Website zu knacken, geschieht das meistens durch Brute-Force-Attacken. Das heißt, ein Hacker oder eine entsprechende Software startet so lange Login-Versuche mit den gängigsten Passwörtern, bis eines davon passt. Für diese Angriffe gehen die meisten Softwares vom einem Benutzernamen „admin“ aus und versuchen es damit.

Wenn Sie WordPress installieren, verwenden Sie also bitte auf keinen Fall den Standardnamen „admin“ für Ihren Login, sondern wählen Sie stattdessen einen Benutzernamen mit möglichst vielen verschiedenen Zeichen, Groß- und Kleinbuchstaben und Zahlen. Auch von Ihrem Firmennamen, einem Klarnamen oder Ihrer E-Mail-Adresse sollten Sie Abstand nehmen. Diese sind einfach zu schnell zu erraten und werden meist als Erstes ausprobiert.

Im nächsten Schritt geht es an die Wahl eines Passworts. Schwache Passwörter sind für Brute-Force-Attacken eine Einladung, die dankend angenommen wird. Die schlechtesten Passwörter, die man wählen kann, sind wohl „1234567“, die eigene Mailadresse oder sogar der eigene Benutzername selbst. Verwenden Sie also auch bei der Wahl des Passworts möglichst kryptische Zeichenfolgen, bestehend aus großen und kleinen Buchstaben, Sonderzeichen und Zahlen.

Je mehr unterschiedliche Ziffern oder Zeichen ein Passwort enthält, desto unknackbarer ist es.  Klar, komplizierte Passwörter sind schwer zu merken, aber versuchen Sie es doch mal mit folgendem Trick.

Und zwar basteln wir uns aus einem einfach zu merkenden Satz ein Passwort.

Das sieht dann beispielsweise so aus:

Ich habe letzte Woche ein Paar Schuhe für 40und 95Cent gekauft.

Passwort:  IhlWePSf40€u95Cg.

Das Passwort wird aus den Anfangsbuchstaben der Wörter, den Zahlen und Sonderzeichen zusammengesetzt. Wenn Sie dann noch einen Satz nehmen, in dem viele Sonderzeichen vorkommen, ist so ein Passwort  quasi unknackbar.

Das Gleiche gilt übrigens auch für das Passwort Ihres FTP-Zugangs und Ihrer Datenbanken. Brute-Force-Attacken laufen nicht nur über den Login von WordPress, sondern versuchen alle Bereiche einer Website anzugreifen, um sich Zugang zu verschaffen.

 

Ergänzung zum Benutzernamen:

Sobald Sie einen Benutzernamen und ein Passwort gewählt haben, sollten Sie sich ins Backend Ihrer Seite einloggen und Ihrem Profil einen Namen geben. Standardmäßig wird bei WordPress nämlich der Benutzername als Profilname verwendet, wenn kein anderer angegeben wird.

Dieser Profilname wird bei vielen Themes sichtbar, wenn Sie zb. Blogartikel veröffentlichen und der Autor des Artikels angezeigt wird. Wenn dann der Profilname mit dem Benutzernamen des Logins identisch ist, benötigt ein Hacker keine 3 Sekunden, um diesen zu „erraten“.

 

WordPress sicher machen #2 – Downloads

Laden Sie WordPress nie von einer anderen Seite, als https://de.wordpress.org/  herunter. Diese Seite ist die offizielle Quelle für das CMS in deutsch, aber auch für Erweiterungen ( Plugins ), die Sie eventuell benötigen. Andere Quellen von Themes oder Plugins sollten vor dem Download immer auf Vertrauenswürdigkeit überprüft werden.

wordpress.org_

Sichere Quellen:

https://de.wordpress.org/themes/

https://de.wordpress.org/plugins/

https://de.wordpress.org/

 

WordPress sicher machen #3 – Backups

Damit Sie auch auf der sicheren Seite sind, wenn Ihre Seite wider Erwarten Opfer eines Angriffs wird, sollten regelmäßig Backups der gesamten Website angelegt werden. Nichts wäre schlimmer, als wenn all die Arbeit, die Sie in Ihre Website gesteckt haben, mit einem Schlag verloren geht.

Mit regelmäßigen Sicherheitskopien des Designs, der gesamten Datenbank, Ihrer Plugins und Einstellungen haben Sie – sollte Ihre Seite tatsächlich geknackt worden sein oder ein technisches Problem vorliegen – im Zweifel die Möglichkeit, die gesamte Seite zu löschen und anschließend mit neuen Benutzerdaten erneut aufzuspielen.

Ein solches Backup können Sie sehr einfach und automatisiert mit einem Plugin wie Updraftplus https://wordpress.org/plugins/updraftplus/ durchführen und die Dateien ohne Umweg auf Ihrem Webserver oder in einem Cloud-Dienst speichern.

updraftplus-download

Übrigens:

Der Hoster ALL-INKL, den ich auch für meine Webprojekte nutze, legt regelmäßig selbständig Backups von den Projekten seiner Kunden an. Die Dateien stellt ALL-INKL auf Anfrage auf dem eigenen Webserver zur Verfügung.

WordPress sicher machen #4 – Updates

Ein sehr wichtiger Faktor für die Sicherheit einer Seite ist die Aktualität dieser und all Ihrer Komponenten. Aktualisieren Sie bitte immer sofort, wenn eine neue Version von WordPress zur Verfügung steht, um durch bestehende Sicherheitslücken nicht angreifbar zu sein.

Vor Allem auch Themes und Plugins bergen immer ein gewisses Risiko einem Angreifer die Tür zu öffnen, wenn bekannte Lücken nicht unverzüglich geschlossen werden. Die Entwickler solcher Themes und Plugins arbeiten immer fieberhaft daran, ihre Programme sicher zu halten und bieten regelmäßig Updates an. Wenn ein solches Update zur Verfügung steht, installieren Sie es.

Der Grund:
Zu jedem Update gibt es immer ein sogenanntes Changelog. Das ist eine Liste von Sicherheitsrisiken, die mit der neuen Version beseitigt wurden. Die Changelogs geben aber natürlich auch Angreifern Hinweise auf bestehende Sicherheitslücken der Vorgängerversion. Machen Sie sich also nicht unnötig angreifbar und aktualisieren Sie. Nicht verwendete Plugins, empfehle ich generell zu deaktivieren oder ganz zu löschen.

WordPress sicher machen #5 – Login-Bereich

Mit 3 verschiedenen Maßnahmen können wir den Login-Bereich von WordPress sicher machen. Sie müssen sich nicht unbedingt für eine entschieden, sondern können und sollten auch ruhig alle drei anwenden.

 

WordPress sicher machen mit Captcha gegen Bots

Los geht’s mit dem Einsatz eines Captchas, beim Login. Ein Captcha ist eine Kombination aus Buchstaben und Zahlen, die auf Ihrer Login-Seite automatisch generiert und angezeigt wird und zusätzlich zu Benutzername und Passwort eingegeben werden muss. Dieses Captcha wird als Bilddatei angezeigt oder als Rechenaufgabe verpackt und ist so für Schadprogramme nicht auslesbar oder lösbar. Das verhindert das automatisierte „Abklappern“ von ‘zigtausenden Passwörtern, via Software.

wordpress-login

Eine Person, die es gezielt auf Ihre Seite abgesehen hat, könnte diesen Captcha-Code natürlich auch lesen, aber dieser ändert sich nach jedem Login-Versuch. So wird auch das manuelle Ausprobieren von Passwörtern enorm behindert und erschwert.

Um eine solche Funktion zu installieren, können Sie folgendes Plugin verwenden: https://wordpress.org/plugins/captcha/

 

WordPress sicher machen indem Sie Login-Versuche begrenzen

Im nächsten Schritt verhindern wir, dass überhaupt jemand wie am Fließband ‘zigtausend Login-Versuche auf unserer Website starten kann. Mit dem Plugin „Limited Login Attempts“ https://wordpress.org/plugins/limit-login-attempts/  können wir eine Sperre auslösen lassen, wenn sich jemand zu oft mit den falschen Daten versucht einzuloggen.

Sie installieren das Plugin, aktivieren es und bestimmten wie viele Fehlversuche erlaubt sein sollen. Wird diese Anzahl dann erreicht, ist der Login für eine gewisse Zeit, meist 20 Minuten, gesperrt. Außerdem erhalten Sie Benachrichtigung per Email, wenn es zu ungewöhnlichen Login-Versuchen auf Ihrer Seite kommt. Diese Erweiterung ist wirklich eine riesen Hilfe, wenn es darum geht Brute-Force-Attacken den Gar aus zu machen.

 

WordPress sicher machen durch Umbenennung des Login-Pfads

Mit der dritten Maßnahme verhindern wir, dass schon den Zugriff auf den Login-Bereich. Und zwar, indem wir die Adresse, unter der dieser zu erreichen ist, verändern. Standardmäßig ist der Login einer WordPress-Seite unter http://www.meinedomain.de/wp-login.php  zu erreichen. Das ist natürlich bekannt.

Durch die Installation eines Plugins wie renamewplogin  https://wordpress.org/plugins/rename-wp-login/ kann die URL zum Login-Bereich nach Wunsch verändert werden und schiebt Angreifern, schon vor dem ersten Versuch, einen Riegel vor.

_________

Wenn Sie die 5 Maßnahmen zum Sichern Ihrer WordPress-Seite aus diesem Artikel anwenden, sollte Ihre Website vor den meisten Angriffen sicher sein. Mit am wichtigsten ist hier wohl tatsächlich das Backuppen einer Seite. Viel zu oft wird das aus Schusseligkeit einfach vergessen. Automatisieren Sie Ihre Backups also nach Möglichkeit, damit böse Überraschungen in Zukunft ausbleiben. So haben Sie, auch wenn das Kind schon in den Brunnen gefallen scheint, immer noch einen Rettungsschirm.

 

Viele Grüße und viel Erfolg,

Yannick Twickler

Endlich nicht mehr nur zuschauen, sondern selbst neue Kunden im Internet gewinnen?

Dann holen Sie sich die Hilfe eines Profis und rufen Sie mich an unter 0157 760 31 621 oder schreiben Sie mir unkompliziert per Mail an kontakt@yannicktwickler.com !

Telefon

0157 760 31 621

Standort

Im Gillesbachtal 20, 52066 Aachen

Jetzt Kontaktformular ausfüllen

Sie wollen mehr Umsatz und neue Kunden übers Internet gewinnen? Haben nur eine allgemeine Frage? Egal was es ist, wir sind nur eine E-Mail weit entfernt.

Hinweis gemäß DSGVO

Designed by yannicktwickler.com  – Copyright 2018 | Impressum | Datenschutz | Kontakt | Kostenloses Ebook