WordPress-Sicherheit ganz einfach!

Sicherheit mit einfachen Mitteln!

Wenn Sie mit WordPress arbeiten, dann sollten sie immer an die Sicherheit Ihrer Seiten denken. WordPress ist nicht weniger sicher oder sicherer als andere Plattformen, aber die große Anzahl an Nutzern, Plugins und Dritt-Anbieter-Erweiterungen machen WordPress ein gängiges Ziel von Angriffen. Aber keine Sorge! Wir haben für Sie ein Paar grundlegende Tipps und Tricks um Ihre Seite zu schützen.

1. Benutzername

Die meisten Hackangriffe machen nichts weiter als zu Versuchen, ihren Weg in den Admin-Bereich zu finden und das Passwort herauszufinden. Vermeiden Sie deswegen gängige Nutzernamen wie Admin o.ä.

Wenn Sie bereits einen “Admin”-Nutzer haben, ist es vielleicht an der Zeit diesen zu löschen und einen sicheren zu erstellen.

2. Passwörter

Ein gutes Passwort ist der Schlüssel um Brute-Force-Attacken zu vermeiden und es ist schwerer zu erraten. Ein kleiner Tipp: KLE –> Komplex – Lang – Einzigartig.

Natürliche sind solche Passwörter auch schwierig zu merken. Dafür gibt es aber nützliche Tools wie 1Password und LastPass. Diese Tools bieten einen Passwort-Generator, somit können Sie mit einem Klick ein sicheres Passwort erstellen. Anschließend speichern Sie das Passwort und Sie können jederzeit darauf zugreifen. Wenn Sie sich das nächste Mal anmelden können Sie die Anmelde-Felder sogar automatisch ausfüllen lassen.

3. Zwei-Faktor Authentifizierung

Auch wenn Sie ein starkes Passwort haben und nicht “Admin” als Nutzernamen nutzen, sind Brute-Force-Attacken ein Problem. Die Zwei-Faktor Authentifizierung kann helfen die Sicherheit Ihrer Webseite aufrecht zu halten.

Das Prinzip ist einfach erklärt. Anstatt nur die Login-Daten einzugeben, müssen Sie die Anmeldung mit einem einmaligen Code, den Sie auf einem anderen Gerät (z.B. auf dem Smartphone) bekommen, bestätigen. Dieser Weg ist viel schwerer für Hacker zu umgehen.

Zwei beliebte WordPress-Plugin für eine Zwei-Faktor Authentifizierung sind einmal Google Authenticator und Rublon Plugin.

4. Employ Least Privileged Principles

Das Prinzip dahinter ist ganz simpel. Vergeben Sie Admin-Rechte nur an Personen:

• die es brauchen
• wenn sie es brauchen und
• nur für die Zeit in der sie es brauchen

Wenn Jemand temporäre Admin-Rechte braucht, dann ist das in Ordnung. Nach dem Task aber sollten Sie die Rechte wieder nehmen.

5. wp-config.php und .htaccess

Die wp-config.php und die .htaccess sind die wichtigsten Dateien für die Sicherheit Ihrer WordPress-Seite. Sie enthalten häufig Ihre Systemanmeldeinformationen und Informationen zur Struktur und Konfiguration Ihrer Webseite. Es ist wichtig sicherzustellen, dass Angreifer keinen Zugriff auf sie erhalten.

Das Ausblenden dieser Dateien ist relativ einfach, aber wenn Sie es falsch machen, kann Ihre Seite möglicherweise nicht mehr zugänglich sein. Erstellen Sie ein Backup und fahren Sie mit Vorsicht fort. Yoast SEO für WordPress erleichtert Ihnen diesen Vorgang etwas. Gehen Sie einfach zu “Extras > Datei-Editor”, um die .htaccess zu bearbeiten.

Für eine bessere Sicherheit müssen Sie dies zu Ihrer .htaccess-Datei hinzufügen, um die wp-config.php zu schützen:

<Files wp-config.php>
order allow,
deny deny from all
</Files>

6. Dateibearbeitungen deaktivieren

Wenn es ein Hacker geschafft hat ins Backend Ihrer WordPress-Seite zu kommen, ist der einfachste Weg die Dateien zu bearbeiten über Design > Editor. Um das zu vermeiden, müssen Sie den Editor deaktivieren. Das geht indem Sie folgenden Code in die wp-config.php:

define(‘DISALLOW_FILE_EDIT’, true);

Das Theme können Sie über den FTP trotzdem bearbeiten. Nur nicht in WordPress selber.

7. Die URL zur Anmeldemaske

Standardmäßig ist die URL zur Anmeldemaske von Ihrer WordPress /wp-admin/. Das macht es schwieriger für Brute-Force Attacken. Das WPS Hide Login Plugin ist ein gutes Tool dafür.

Noch ein nützlicher Tipp: Sie können auch die Anzahl der Login-Versuche einer bestimmten IP-Adresse begrenzen. Dazu gibt es auch viele Plugins.

8. Hosting & WordPress Sicherheit

Auch wenn Sie sorgfältig mit der Sicherheit Ihrer Webseite sind, wenn Ihr Hoster es nicht ist, dann war Ihre ganze Arbeit umsonst.

Wenn ein Hacker es schafft in Ihr Webseiten-Hosting zu gelangen, dann hat er komplette Kontrolle über Alles. Deswegen ist es sehr wichtig, dass Sie ein professionelle Webhost haben (oder zu einem wechseln). Die meisten günstigen Hostings bieten keine gute Sicherheit oder Backups an oder haben nicht mal einen Kundenservice.

Shared Hosting (des Öfteren bei günstigen Hosting-Paketen mit dabei) ist meistens sehr riskant, da Sie das System mit mehreren Seiten teilen. Angreifer können so über andere Seiten Zugriff zu Ihnen bekommen, weil Sie im gleichen System waren. Deswegen empfehlen wir ein bisschen mehr für Hosting zu investieren.