Jede populäre Software ist auch immer irgendwie dem Risiko ausgesetzt, Ziel von Angriffen durch Hacker zu werden. Da WordPress sehr bekannt und so weit verbreitet ist, werden wir als Webseiten-Betreiber natürlich nicht verschont. Diese Angriffe werden für uns aber keine Gefahr darstellen, wenn wir vernünftig vorbereitet sind und unsere Seite in den wichtigsten Punkten schützen. Um diese Maßnahmen, zum Schutz einer WordPress-Website, soll es in diesem Artikel gehen. Legen wir los !

5 Maßnahmen eine WordPress-Seite zu schützen

Benutzername und Passwort

Wenn Hacker versuchen eine Website zu knacken, geschieht das meistens durch Brute-Force-Attacken. Das heißt, ein Hacker oder eine entsprechende Software startet so lange Login-Versuche mit den gängigsten Passwörtern, bis ein davon passt. Für diese Angriffe, wird meisten vom Benutzernamen „Admin“ ausgegangen.

Wenn Sie WordPress installieren, verwenden Sie auf keinen Fall den Namen „Admin“ für Ihren Login, sondern wählen Sie einen Benutzernamen mit möglichst vielen verschiedenen Zeichen, Groß- und Kleinbuchstaben und Zahlen. Auch von Ihrem Firmennamen, einem Klarnamen oder Ihrer E-Mail-Adresse sollten Sie unbedingt Abstand nehmen. Diese sind einfach zu schnell zu erraten und werden meist als Erstes ausprobiert.

Im nächsten Schritt, geht es an die Wahl eines Passwortes. Schwache Passwörter sind für Brute-Force-Attacken eine Einladung, die dankend angenommen wird. Die schlechtesten Passwörter, die man wählen kann, sind wohl 1234567, die eigene Mailadresse oder sogar der eigene Benutzername. Verwenden Sie, bei der Wahl des Passworts, möglichst kryptische Zeichenfolgen, bestehend aus großen und kleinen Buchstaben, Sonderzeichen und Zahlen.

Je mehr unterschiedliche Ziffern oder Zeichen ein Passwort enthält, desto unknackbarer ist es.  Klar, komplizierte Passwörter sind schwer zu merken, aber versuchen Sie es doch mit folgendem Trick. Wir machen aus einem, einfach zu merkenden, Satz unser Passwort.

Das sieht beispielsweise so aus:

Ich habe letzte Woche ein Paar Schuhe für 40 und 95 Cent gekauft.

Passwort: IhlWePSf40€u95Cg.

 

Das Passwort wird aus den Anfangsbuchstaben der Wörter, den Zahlen und Sonderzeichen zusammengesetzt. Wenn Sie dann noch einen Satz nehmen in dem viele Sonderzeichen vorkommen, ist so ein Passwort unknackbar.

Das Gleiche gilt übrigens auch für das Passwort Ihres FTP-Zugangs. Brute-Force-Attacken laufen nicht nur über den Login von WordPress, sondern versuchen alle Bereiche einer Website anzugreifen, um sich Zugang zu verschaffen.

Ergänzung zum Benutzernamen:

Sobald Sie einen Benutzernamen und ein Passwort gewählt haben, sollten Sie sich ins Backend einloggen und Ihrem Profil einen Namen geben. Standardmäßig wird bei WordPress der Benutzername als Profilname verwendet, wenn kein anderer angegeben ist.

Dieser Profilname wird bei vielen Themes sichtbar, wenn Sie Blogartikel veröffentlichen und der Autor des Artikels angezeigt wird. Wenn dann der Profilname der Selbe, wie der Benutzername ist, braucht ein Hacker keine 3 Sekunden, um diesen zu „erraten“.

Downloads

Laden Sie WordPress nie von einer anderen Seite, als http://wordpress.org herunter. Diese Seite ist die offizielle Quelle für das CMS, aber auch für Erweiterungen ( Plugins ), die Sie eventuell benötigen. Jede externe Quelle von Themes oder Plugins, ist mit einem potenziellen Risiko behaftet und sollte vor dem Download auf Vertrauenswürdigkeit überprüft werden.

wordpress.org_

Sichere Quellen:

https://wordpress.org/themes/

https://wordpress.org/plugins/

https://wordpress.org/

Backups

Damit Sie aber auch auf der sicheren Seite sind, wenn Ihre Seite, wider Erwarten, Opfer eines Angriffs wird, sollten regelmäßig Backups der gesamten Website angelegt werden. Nichts wäre schlimmer, als wenn all die Arbeit, die Sie in Ihre Website gesteckt haben, mit einem Schlag, verloren ist.

Mit regelmäßigen Sicherheitskopien, des Desings, der Datenbank, der Plugins und Einstellungen, haben Sie, sollte Ihre Seite tatsächlich geknackt worden sein, im Zweifel die Möglichkeit, die gesamte Seite zu löschen und anschließend mit neuen Benutzerdaten neu aufzuspielen.

Ein solches Backup können Sie sehr einfach und automatisiert mit dem WordPress-Plugin Updraftplus https://wordpress.org/plugins/updraftplus/ machen und die Dateien direkt auf Ihrem Webserver oder in einem Cloud-Dienst speichern.

updraftplus-download

Übrigens:

ALL-INKL. Ist ein Hoster, der regelmäßig selbstständig Backups von den Projekten seiner Kunden anlegt. Die Dateien stellt ALL-INKL. Auf Anfrage auf dem eigenen Webserver zur Verfügung.

Updates

Ein sehr wichtiger Faktor, für die Sicherheit einer Seite, ist die Aktualität dieser und all Ihrer Komponenten. Aktualisieren Sie bitte immer sofort, wenn eine neue Version von WordPress zur Verfügung steht, um durch bestehende Sicherheitslücken nicht angreifbar zu sein.

Vor Allem auch Themes und Plugins bergen immer ein gewisses Risiko, einem Angreifer die Tür zu öffnen, wenn bekannte Lücken nicht unverzüglich geschlossen werden. Die Entwickler solcher Themes und Plugins arbeiten immer fieberhaft daran, Ihre Programme sicher zu halten und bieten regelmäßig Updates an. Wenn ein solches Update zur Verfügung steht, installieren Sie es sofort.

Der Grund: Zu jedem Update, gibt es immer ein sogenanntes Changelog, eine Liste von Sicherheitsrisiken, die mit der neuen Version beseitigt wurden. Die Changelogs geben aber natürlich auch Angreifern Hinweise, auf bestehende Sicherheitslücken der Vorgängerversion eines Themes oder Plugins. Machen Sie sich nicht angreifbar und aktualisieren Sie. Nicht verwendete Plugins, empfehle ich zu deaktivieren oder direkt zu löschen.

Login-Bereich von WordPress sicher machen

Mit 3 verschiedenen Maßnahmen können wir den Login-Bereich von WordPress sicher machen. Sie müssen sich nicht unbedingt für eine entschieden, sondern können und sollten auch ruhig alle 3 anwenden.

Captcha gegen Bots

Los geht’s, mit dem Einsatz eines Captchas, beim Login. Ein Captcha ist eine Kombination aus Buchstaben und Zahlen, die auf Ihrer Login-Seite angezeigt wird und zusätzlich zu Benutzername und Passwort eingegeben werden muss. Dieses Captcha wird als Bilddatei angezeigt oder als Rechenaufgabe verpackt und ist so für Schadprogramme nicht auslesbar oder lösbar. Das verhindert das automatisierte „Abklappern“ von ‘zigtausenden Passwörtern, via Software.

wordpress-login

Eine Person, die es gezielt auf Ihre Seite abgesehen hat, könnte diesen Captcha-Code natürlich auch lesen, aber dieser ändert sich nach jedem Login-Versuch. So wird auch das manuelle Ausprobieren von Passwörtern enorm behindert und erschwert.

Um eine solche Funktion zu installieren, können Sie folgendes Plugin nutzen: https://wordpress.org/plugins/captcha/

Login Versuche begrenzen

Im nächsten Schritt verhindern wir, dass überhaupt jemand wie am Fließband ‘zigtausend Login-Versuche, auf unserer Website, starten kann. Mit dem Plugin Limited Login Attempts https://wordpress.org/plugins/limit-login-attempts/  können wir eine Sperre einstellen, wenn sich jemand zu oft mit den falschen Daten versucht einzuloggen. Sie installieren das Plugin, aktivieren es und bestimmten wie viele Fehlversuche erlaubt sein sollen.

Wird diese Anzahl dann erreicht, ist der Login für eine gewisse Zeit, meist 20 Minuten gesperrt. Außerdem erhalten Sie Benachrichtigung, per Email, wenn es zu ungewöhnlichen Login-Versuchen auf Ihrer Seite kommt. Diese Erweiterung ist wirklich eine riesen Hilfe, wenn es darum geht Brute-Force-Attacken den Gar aus zu machen.

Link zum Login umbenennen

Mit der dritten Maßnahme, verhindern wir, dass überhaupt erstmal jeder auf den Login-Bereich zugreifen kann. Und zwar, indem wir die Adresse, unter der dieser zu erreichen ist, verändern. Standardmäßig ist der Login einer WordPress-Seite unter www.website.de/wp-admin , www.website.de/wp-login oder www.website.de/login zu erreichen. Das ist natürlich bekannt.

Durch die Installation des Plugins renamewplogin  https://wordpress.org/plugins/rename-wp-login/ kann die URL zum Login-Bereich aber, nach Wunsch, verändert werden und schiebt Angreifern, schon vor dem ersten Versuch, einen Riegel vor.

_________

Wenn Sie die 5 Maßnahmen, die in diesem Beitrag behandelt wurden, anwenden, sollte Ihre Website vor den meisten Angriffen sicher sein. Mit am wichtigsten, sind diesbezüglich wirklich das Backuppen einer Seite. Viel zu oft wird das, aus Schusseligkeit, vergessen. Automatisieren Sie Ihre Backups also nach Möglichkeit, damit böse Überraschungen in Zukunft ausbleiben.

Sie sind derzeit offline. Aktivieren Sie Ihre mobile Datenverbindung.