WordPress absichern!

Eine Checkliste.

Sicherheit im Netz mit WordPress

Hackerangriffe, Phishing-Mails, Sicherheitslücken.
Im Internet lauert so manche Gefahr. Erfahrt hier, wie ihr eure WordPress-Seite  sicherer machen könnt.  

WordPress ist das beliebteste Content Management System der Welt. Das macht es natürlich auch attraktiv für Angreifer. Dabei ist WordPress an sich kein unsicheres System. Doch mit einigen Tricks, könnt ihr eure WordPress-Seite noch sicherer machen und euch effektiv vor Angriffen schützen. Eine Checkliste mit den wichtigsten Maßnahmen findet ihr auf dieser Seite. 

Euch fehlt die Zeit, oder euch ist die Checkliste zu technisch? Ich mache gerne einen Sicherheits-Check für eure Website und helfe euch dabei, eure Seite abzusichern.

10 Maßnahmen, für eine sichere WordPress-Seite

1. Sichere Passwörter verwenden

Der wichtigste Tipp gleich zu Beginn. Und sein wir ehrlich: Die meisten wissen es schon. Die Verwendung von sicheren Passwörtern ist der Schlüssel für die Sichere Nutzung des Internets. Verwendet auf keinen Fall überall die gleichen Passwörter. Verwendet keine Passwörter wie 123456, den Namen eures Haustiers oder das Geburtsdatum eures Partners/eurer Partnerin. Zufällige Kombinationen aus Buchstaben, Ziffern und Sonderzeichen mit einer Länge von mindestens 10 Zeichen, machen sichere Passwörter aus. Das klingt furchtbar kompliziert, denn wie soll man sich all diese Passwörter je merken? Dabei helfen können euch Passwort-Safes. Dort können eure Passwörter sicher gespeichert werden. Meistens helfen euch Passwort-Safes auch bei der Generierung von zufälligen und sicheren Passwörtern. Meine Empfehlungen sind:

1Password oder Lastpass

2. Admin-Account umbenennen & unnötige Admin-Accounts entfernen

WordPress nennt das Adminkonto automatisch „admin“. Das wissen auch Angreifer. Deshalb probieren sie vielfach diesen Benutzernamen mit unterschiedlichen Passwortkombinationen aus. Deshalb ändert am besten den Namen eures Admin-Accounts. Gleichzeitig solltet ihr schauen, dass nur solche Nutzer einen Admin-Account bekommen, die diesen auch wirklich brauchen. Im Normalfall sollten wenige Admin-Accounts ausreichen. Nicht jeder Redakteur braucht die vollen Zugriffsrechte auf eure Seite. 

3. WordPress, Theme & Plugins regelmäßig aktualisieren. Löscht Plugins, die ihr nicht mehr braucht!

Klar, wenn Software veraltet ist, steigt die Wahrscheinlichkeit, dass sie Sicherheitslücken aufweist. Deshalb ist es so wichtig, dass ihr eure Seite regelmäßig aktualisiert. Das heißt: Sowohl WordPress, als auch das verwendete Theme und die verwendeten Plugins. Alles, was ihr nicht nutzt, z.B. alte Plugins, könnt ihr am besten direkt löschen. Achtet aber darauf, dass ihr vorher immer ein Backup (s. Maßnahme 6) eurer Seite macht. 

4. Schützt eure Seite mit HTTPS/SSL

Mit SSL wird die Verbindung zu eurer Seite verschlüsselt. Das heißt, dass die Verbindung zu ihr nicht von Dritten mitgelesen werden kann. Das ist besonders wichtig, wenn ihr Kontaktformulare verwendet oder euch auf eurer Website einloggt. Denn ohne Verschlüsselung ist diese Verbindung unsicher. Browser wie Chrome, Firefox oder Safari zeigen euch solche Seiten sogar häufig als unsicher an. Verschlüsselte Seiten werden meistens mit einem grünen Schloss markiert. Außerdem beginnen Ihre Domains mit https:// statt mit http://.

Fragt bei eurem Hosting-Anbieter nach, welche Möglichkeit er euch für die Verschlüsselung eurer Seite anbietet. Häufig gibt es in den Tarifen ein kostenloses Zertifikat inklusive. Wie ihr eure Seite mit SSL sichert, erfahrt ihr hier:

 Hier klicken

5. WordPress mit .htaccess schützen

Die .htaccess Datei ist ein vielseitig einsetzbares Tool, um eure Website schneller und sicherer zu machen. Sie kann beispielsweise Zugriffe begrenzen und Dateien vor unerlaubtem Auslesen schützen. Sie kann aber auch die Performance eurer Seite verbessern, in dem Inhalte komprimiert werden. Hier findet ihr eine super Anleitung, wie ihr eure .htaccess Datei bestmöglich nutzen könnt. 

Eine Anleitung

6. Macht regelmäßige Backups eurer Seite

Ein ist klar: Wenn es mal ein Problem mit eurer WordPress-Seite geben sollte, gibt es nichts ärgerlicheres, als wenn ihr kein Backup eurer Seite habt. Sollte etwas bei einer Konfiguration eurer Seite schief gehen, sollte eure Seite „gehacked“ worden sein oder gehen mal Daten verloren, gibt es nichts besseres als ein Backup zur Hand zu haben. Dabei gilt: Je regelmäßiger ihr Backups macht, mit desto weniger Datenverlust müsst ihr rechnen. Ich empfehle dazu das Plugin „BackWPup“.

Zum Plugin

7. Nutzt 2-Faktor-Authentifizierung

Eine der wichtigsten Maßnahmen, euch im Internet zu schützen, ist die 2-Faktor-Authentifizierung. Das Prinzip ist dabei ganz simpel: Statt sich nur mit einem Passwort zu schützen, wird noch ein zweiter, ständig wechselnder Code gebraucht, um sich für eure Seite anzumelden. Dieser Code wird meist von eurem Smartphone mit einer dazugehörigen App generiert und wechselt alle paar Sekunden. So nutzt einem Angreifer das richtige Passwort nichts, wenn er nicht auch den aktuellen Code der 2-Faktor-Authentifizierung generieren kann. Diese Form von Schutz ist auch sinnvoll für eure E-Mailpostfächer und andere wichtige Accounts, wie z.B. euren Facebook- oder PayPal-Account. Hier findet ihr eine Anleitung, wie ihr die 2-Faktor-Authentifizierung für eure Seite verwenden könnt:

Zur Anleitung

8. Schützt euch vor Bruteforceangriffen mit einer Begrenzung falscher Loginversuche

Bei Bruteforceangriffen probieren Angreifer einfach hundertausende Login-Kombinationen aus, um Zugriff auf eure Seiten zu bekommen. Natürlich nutzen sie dafür automatisierte Bots, die die Eingabe für sie übernehmen. Deshalb ist es sinnvoll die Anzahl der maximalen Loginversuche zu begrenzen. Die kann in WordPress einfach mit einem Plugin realisiert werden, welches ihr hier findet:

Hier findet ihr dazu ein praktisches Plugin

9. Schützt euren Login-Bereich mit einem zusätzlichen Passwort

Mit der .httacces-Datei ist es auch möglich eine zusätzliche Sicherheitsmaßnahme für eure Seite zu aktivieren. Ihr schützt den Login-Bereich eurer Seite zusätzlich mit einem weiteren vorgeschalteten serverseitigen Login. Dies verhindert Angriffe auf euren WordPresslogin.

Hier gehts zu einer hilfreichen Anleitung

10. Dateibearbeitung im WordPress-Dashboard deaktivieren

Wenn Ihr die Dateibearbeitung in WordPress deaktiviert, können Quelldateien für Plugins und Themes in der WordPress-Oberfläche nicht mehr direkt bearbeitet werden. Mit dieser Maßnahme werden zusätzliche Sicherheitsebenen für die WordPress-Instanz hinzugefügt. Dies ist hilfreich, wenn eines der Administratorkonten kompromittiert ist. Dabei wird verhindert, dass über kompromittierte Konten bösartiger ausführbarer Code ganz einfach in Plug-ins und Themes eingefügt werden kann. Das geht auch recht einfach, indem ihr eurer wp-config.php eine Zeile Code hinzufügt:

define(‚DISALLOW_FILE_EDIT‘, true);

Zum Abschluss: 

Klar, perfekte Sicherheit ist eine Illusion. Aber mit den oben genannten Schritten, könnt ihr eure WordPress-Seite um einiges sicherer machen. Am wichtigsten ist aber immer noch euer Verhalten im Netz. Wenn ihr eure WordPress-Seite beispielsweise sehr sicher macht, aber der E-Mail-Account zu eurem Adminkonto übernommen wird, ist es ein leichtes für einen Hacker auch Zugriff auf andere Konten zu bekommen. Deshalb ist es so wichtig, überall starke Passwörter zu benutzen und – wenn möglich – auf 2-Faktor-Authentifizierung zu setzen. 

Euch fehlt die Zeit, oder euch ist die Checkliste zu technisch? Ich mache gerne einen Sicherheits-Check für eure Website und helfe euch dabei, eure Seite abzusichern. Mit meinem Service-Paket und meinem Hosting (inkl. Service) sorge ich übrigens dafür, dass eure Seite technisch regelmäßig auf den aktuellsten Stand gebracht wird und eure Seite mit Backups vor Datenverlust geschützt wird. Ihr habt Interesse? Meldet euch einfach bei mir!  

Ihr braucht Hilfe beim Sicherheits-Check oder wollt ein Service-Paket buchen? Meldet euch gerne jederzeit. 

E-Mail

mail@deneskucuk.de

Telefon

0163/4919956

Datenschutz

*Plichtfelder

Privacy Policy Settings