wordpress-sicherheit

Tür zu! 7 Tipps für mehr WordPress-Sicherheit für euren Blog

wordpress-sicherheit
7 Tipps, wie ihr euren Blog absichert

Ich möchte heute das Thema Türen und Eingänge bei Punkt, Punkt, Punkt zum Anlass nehmen, euch Tipps für die Sicherheit für euren WordPress-Blog zu geben.
WordPress ist das größte kostenlose CMS-System der Welt und wird von Laien und von Profis für Blogs und Internetseiten genutzt.
Für Hacker aller Art ist das Knacken dieses Systems eine sehr willkommene Aufgabe. Dabei ist es egal, ob ihr einen nach eurer Ansicht ganz unwichtigen Blog führt oder die Firmenhomepage eines großen Unternehmens führt.
Die meisten können euren Blog sowieso nicht lesen oder beurteilen, weil sie in irgendeiner Bude auf den Philipinen oder Litauen hocken.

Warum hacken Hacker?

Man schätzt, dass täglich weltweit über 30.000 Webseiten gehackt werden. Die basieren natürlich nicht alle auf WordPress, aber dennoch geben sich da anscheinend eine Menge Leute sehr viel Mühe.

Aber warum hackt ein Hacker?

Vielleicht ist er bescheuert, hat eine schwere Persönlichkeitsstörung, leidet unter Zerstörungswut und hat Machtfantasien.
Wahrscheinlich verschafft ihm ein gelungener Hack auf den entsprechenden Hackerforen eine gewisse Reputation.

Mit Sicherheit hackt ein Hacker, weil er das eben kann!

Tatsache ist, dass wenn ihr zu wenig auf die Sicherheit eures Blogs achtet, ihr den Hackern in aller Welt Tür und Tor öffnet. (Und hiermit bin ich wieder beim Thema der Blogaktion).

7 Tipps für mehr WordPress-Sicherheit

kein durchgang
Dem Hacker keine Chance
  1. Benutzername und Passwort

Standardmäßig erteilt euch WordPress immer den Benutzernamen „admin“. Das wissen andere natürlich auch, also müsst ihr diesen Benutzernamen ändern.
Legt dafür im Dashboard einen neuen Benutzer mit Admin-Rechten an, der neue Name sollte natürlich nicht eurem Vornamen oder dem Namen eures Blogs entsprechen. Bei der Gelegenheit verpasst ihr euch noch ein möglichst sicheres Passwort. Wenn unter dem neuen Benutzer alles klappt, dann könnt ihr dann den admin löschen.

  1. Kein Meta-Widget in der Sidebar!

Merkt euch einfach, wie die URL heißt, mit der ihr ins Dashboard kommt und schmeißt das Meta-Widget raus. Ich weiß gar nicht, warum das überhaupt noch angeboten wird.

  1. Sicherungen

Sichert bei eurem Blog regelmäßig die Datenbank und den Inhalt auf dem Server. Das klappt ganz hervorragend mit dem Plugin Updraft Plus.
So seid ihr im Falle eines Falles gerüstet.

  1. Updates

WordPress als System, samt aller Themes und Plugins sollten immer auf dem neuesten Stand sein, denn mit diesen Updates werden immer auch Sicherheitslücken geschlossen.
Wichtig: Macht vorher einem Update eine Datenbanksicherung!

  1. Plugins:

Einen Blog sichert man ganz ähnlich ab, wie seinen (internetfähigen) Computer. Es gibt gerade für WordPress viele Plugins, die unerlässlich für die WordPress-Sicherheit sind.
Meine Favoriten sind:

  1. Antispam Bee filtert euch den ganzen Spamkommentare-Dreck weg. Manchmal filtert dieses Plugin aber auch echte Kommentare raus. Das ist dann sehr bedauerlich, aber leider nicht zu vermeiden.
  2. AntiVirus sorgt dafür, dass niemand versucht, euch mit Malware zu bedienen
  3. Limit Login Attempts sperrt Robots (oder deren IP-Adresse) raus, wenn sie vergeblich versuchen, sich bei euch einzuloggen. Es besteht leider die Gefahr, dass man selbst von diesem Programm gesperrt wird, weil man sein super sicheres Passwort nicht mehr weiß
  4. iThemes Security sichert eure ganze WordPress-Seite rundherum ab
  5. Wie bei eurem PC auch hilft euch eine Firewall für mehr WordPress-Sicherheit.
  1. WordPress-Sicherheit mit SSL

Falls ihr es noch nicht getan habt, solltet ihr euren Server und eure Seite unbedingt auf Https umstellen. Inzwischen bieten die meisten Hoster kostenlose SSL-Skripte an.
Meine Lieblingsanweisung für den Umbau findet ihr HIER

  1. Themes und Plugins

Installiert euch nur Plugins und Themes aus sicheren Quellen, die auch von den Entwicklern regelmäßig upgedatet werden. Solche Plugins findet ihr zum Beispiel im offiziellen WordPress-Katalog, der Link für die Themes ist gleich daneben im Menu.

Worst Case: Wenn es doch passiert ist …

Wenn ihr nun doch Opfer eines Hackerangriffs geworden seid, dann atmet erst mal tief durch.
Macht eine Sicherung von Serverinhalt und Datenbank und nehmt den Blog vom Netz. Ändert alle eure Passwörter und baut den Blog neu auf. Wenn ihr eine saubere Sicherung habt, dann seid ihr fein raus, unter Umständen kann euch da auch euer Hoster helfen.

Ihr könnt auch mich fragen …. 😉

Fazit:

Es gibt noch weitere Maßnahmen, mit denen man WordPress absichern kann. Aber mir ging es bei diesem Artikel lediglich um einen Basisschutz. Tiefgreifendere Maßnahmen erklärt euch zum Beispiel der Netz-Gänger sehr gut in seinem Artikel.

Wenn ihr noch andere Möglichkeit für mehr WordPress-Sicherheit kennt, dann lasst es mich doch mal wissen!

Ansonsten wünsche ich euch natürlich sehr viel Spaß und Freude mit eurem tollen WordPress-Blog!

Alle Fotos: Tür zu! 7 Tipps für mehr WordPress-Sicherheit für euren Blog ©sabienes.de
Text: Tür zu! 7 Tipps für mehr WordPress-Sicherheit für euren Blog ©sabienes.de

14 Gedanken zu “Tür zu! 7 Tipps für mehr WordPress-Sicherheit für euren Blog

  1. Geniale Umsetzung des Themas!

    Ich denke, dass bei vielen einfach die Ahnung fehlt. Ich habe mir den Blog damals von einer befreundeten Bloggerin einrichten lassen, die etwas davon versteht und habe dann nach und nach angefangen, mich selbst einzuarbeiten.

    LG
    Daggi

    • @Daggi: Keine Ahnung und Angst, was falsch zu machen. Aber ein paar Plugins sollte jeder mal installieren können. Auf die Änderungen in der config und .htaccess bin ich extra nicht eingegangen.
      LG Sabienes

  2. Ich gehöre leider zu den eher Ahnungslosen. Wie ich den Bloginhalt insgesamt irgendwo sichern bzw speichern könnte, würde mich schon interessieren, aber Stunden über Stunden möchte ich damit auch nicht verbringen …

    • @Myriade: Doch. Das kannst du auch bei einem Blog auf WordPress.com. Und zwar im Dashboard unter Einstellungen – Export sollte das gehen.
      😉
      LG Sabienes

  3. Da schließe ich mich mal den anderen an, ich bin, was diese Themen betrifft, total außen vor. Nicht nur, dass ich keine Ahnung hab, das macht mich immer sofort richtig aggressiv. Dann lass ich mir lieber 100 x den Blog hacken, als dass ich mich in solche Sachen vertiefe… Lach… Man muss ja nicht alles können…

    LG Sabine

  4. Hallo Sabine,

    super Idee zum Thema. Ich habe auch immer zu wenig für das Thema übrig, ich gestehe, aber ein paar Punkte die du oben genannt hast laufen auf meinen Blogs zumindest schon. Warum man Blogs von Normalos überhaupt hackt, ist mir so was von schleierhaft und ich werde es einfach bei die spinnen einordnen. Wo man etwas holen kann, ist es ja noch etwas nachvollziehbarer, aber eben auch nur etwas.

    Liebe Grüße und bis Freitag, ich freu mich :-).
    Sandra

    • @Sandra: Ich betreue ein Kundenprojekt, bei dem das Thema nur für eine verschwindend kleinen Prozentsatz der Bevölkerung in Deutschland relevant sein dürfte.
      Und ich registriere so dermaßen viele Versuche, sich ohne Erlaubnis auf diese Seite einzuloggen, du glaubst es kaum. Das geht an manchen Tagen im Sekundentakt. Ungelogen. Und wenn dann in Moldawien (Estland, Indonesien, Russische Föderation) der Strom ausfällt, ist der Spuk vorbei 😉
      LG Sabienes

  5. Gute Idee, dieser Post.
    Das ist sehr nützlich und hilfreich für diejenigen die wenig Ahnung von Programmierung haben.
    Ich war ja „IT“ Mensch beruflich..

    Liebe Grüsse
    Elke

    • @Elke: Man muss zwar auch bei den Plugins mal aufpassen, aber die Installation sollte wirklich kein Problem sein, wenn man einen selbstgehosteten Blog hat.
      LG Sabienes

  6. Sehr wichtiges Thema! Ich habe auch dieses ‚Limited Login Attempts‘- Plugin. Das ist schon mal schön, aber dadurch konnte ich sehen, dass permanent versucht wurde, mein Passwort zu knacken…..zuerst nur alle paar Tage mal, aber dann steigerten sich die Versuche auf teilweise einmal pro Minute. Das hat mich schwer beunruhigt, zum Glück hatte ich aber einen sehr versierten Kursleiter bei der Volkshochschule, bei dem ich auch meinen WordPress-Kurs gemacht hatte, und der hat mir geraten, einen ‚Verzeichnisschutz‘ für die Login-Seite einzurichten. Das Wort Verzeichnisschutz hatte ich vorher noch nie gehört, mein Provider all-inkl hat das aber ohne Zusatzkosten im Angebot. Konkret bedeutet das , dass man erstmal einen eigenständigen Benutzernamen und ein Passwort eingeben muss, bevor man überhaupt auf die WP-Anmeldeseite kommt, wo man dann den eigentlichen Benutzernamen und Passwort eingibt…..also quasi eine Doppelsicherung. Ergebnis: mein Limited Login-Plugin ist seitdem arbeitslos, weil die Hackerversuche aufgehört haben. Ich kann das nur empfehlen, das einrichten ist auch ganz leicht, wenn euer Provider das anbietet.
    VG,
    Anneli

  7. Sehr gute Tipps, vielen Dank für diesen Beitrag 🙂

    Als kleinen Plugin-Tipp hätte ich noch Bulletproof Security. Es sichert den Blog auch über die .htaccess ab. Ich nutze dieses Plugin selber auch und bin damit sehr zufrieden.

Schreibe einen Kommentar

Ich muss dich darauf hinweisen, dass diese Seite - wie so viele andere auch, Cookies verwendet. Es passiert aber nix Schlimmes ;-) Mehr darüber

Diese Webseite erlaubt das Setzen von Cookies, um eine bestmögliche Anzeige im Browser zu gewährleisten. Wenn du fortfährst, auf dieser Seite zu lesen, ohne dass du für dich diese Einstellungen änderst oder auf "OK" klickst, stimmst du dem automatisch zu.

Schließen (weg damit)