Tür zu! Sieben Tipps für mehr WordPress Sicherheit in eurem Blog
WordPress Sicherheit? Habt ihr euch als Blogger jemals über darüber Gedanken gemacht?
Wenn nicht, dann wird es aber einmal höchste Zeit!
WordPress ist das größte kostenlose CMS-System der Welt und wird von Laien und von Profis für Blogs und Internetseiten genutzt.
Für Hacker aller Art ist das Knacken dieses Systems eine sehr willkommene Aufgabe. Dabei ist es egal, ob ihr einen nach eurer Ansicht ganz unwichtigen Blog führt oder die Firmenhomepage eines großen Unternehmens führt.
Die meisten können euren Blog sowieso nicht lesen oder beurteilen, weil sie in irgendeiner Bude auf den Philipinen oder Litauen hocken.
Inhalt:
Warum hacken Hacker überhaupt?
Man schätzt, dass täglich weltweit über 30.000 Webseiten gehackt werden. Die basieren natürlich nicht alle auf WordPress, aber dennoch geben sich da anscheinend eine Menge Leute sehr viel Mühe.
Aber warum hackt ein Hacker eigentlich andere Internetseiten?
Ich bin ja kein Psychologe und kann hier nur mutmaßen. Vielleicht ist so ein Hacker ganz einfach bescheuert, hat eine schwere Persönlichkeitsstörung, leidet unter Zerstörungswut und/oder leidet unter mittelprächtigen Machtfantasien.
Wahrscheinlich verschafft ihm ein gelungener Hack auf den entsprechenden Hackerforen eine gewisse Reputation. Vielleicht winkt ihn bei ganz besonders guten Ergebnissen ein Job bei der Firma Kaspersky, den Entwicklern der berühmten Anti-Viren-Software. (Von der ich gar nicht viel halte … )
Egal. Wir können folgendes festhalten:
Mit Sicherheit hackt ein Hacker deswegen, weil er das eben kann!
Tatsache ist, dass wenn ihr zu wenig auf die Sicherheit eures Blogs achtet, ihr den Hackern in aller Welt Tür und Tor öffnet.
Wie verschafft sich ein Hacker Zutritt zu eurem Blog?
In jedem Code gibt es Sicherheitslücken und so eine WordPress-Installation steckt voller Codierungen und somit auch Lücken. Hacker suchen und finden hier ein Eintrittstor.
Manchmal schaffen sie es auch mit Hilfe von Spam-Kommentaren. Und manchmal macht der Blogbeitreiber selber dem Hacker Tür und Tor auf.
Sieben Tipps für mehr WordPress Sicherheit
Benutzername und Passwort
Standardmäßig erteilt euch WordPress immer den Benutzernamen „admin“. Das wissen andere natürlich auch, also müsst ihr diesen Benutzernamen sofort ändern.
Legt dafür im Dashboard einen neuen Benutzer mit Admin-Rechten an, der neue Name sollte natürlich nicht eurem Vornamen oder dem Namen eures Blogs entsprechen. Bei der Gelegenheit verpasst ihr euch noch ein möglichst sicheres Passwort. Verwendet am besten einen Passwort-Generator. Die Handhabung eines solchen Passworts ist zwar ein bisschen umständlich. Aber das ist es dann für potentielle Hacker auch.
Wenn unter dem neuen Benutzernamen alles so klappt, wie es sein soll, könnt ihr dann den admin löschen.
Kein Meta-Widget in der Sidebar!
Merkt euch einfach, wie die URL heißt, mit der ihr ins Dashboard kommt und schmeißt das Meta-Widget raus. Ich weiß gar nicht, warum das überhaupt noch angeboten wird. Aber man sieht dieses Teil immer wieder in der Sidebar
Regelmäßige Sicherungen anlegen
Sichert bei eurem Blog regelmäßig die Datenbank und den Inhalt auf dem Server. Ihr könnt das zu Fuß machen oder ihr verwendet ein Tool. Das klappt zum Beispiel ganz hervorragend mit dem Plugin Updraft Plus.
So seid ihr im Falle eines Falles gerüstet.
Regelmäßige Updates machen
WordPress als System, samt aller Themes und Plugins sollten immer auf dem neuesten Stand sein. Denn mit diesen Updates werden immer auch neu entdeckte Sicherheitslücken geschlossen.
Wichtig: Macht vorher einem Update eine Datenbanksicherung! (siehe oben)
Geeignete Plugins für die Sicherheit von WordPress:
Einen Blog sichert man ganz ähnlich ab, wie seinen (internetfähigen) Computer. Es gibt gerade für WordPress viele Plugins, die unerlässlich für die WordPress-Sicherheit sind.
Meine Favoriten sind:
- Antispam Bee filtert euch den ganzen Spamkommentare-Dreck weg. Manchmal filtert dieses Plugin aber auch echte Kommentare raus. Das ist dann sehr bedauerlich, aber leider nicht zu vermeiden.
- AntiVirus sorgt dafür, dass niemand versucht, euch mit Malware zu bedienen
- Limit Login Attempts sperrt Robots (oder deren IP-Adresse) raus, wenn sie vergeblich versuchen, sich bei euch einzuloggen. Es besteht leider die Gefahr, dass man selbst von diesem Programm gesperrt wird, weil man sein super sicheres Passwort nicht mehr weiß
- Wie bei eurem PC auch hilft euch eine Firewall für mehr WordPress-Sicherheit.
- Wenn ihr nach einer Komplettlösung strebt, dann kann ich euch iThemes Security oder meinen Favorit en All in One WP Security empfehlen. Mit beiden Plugins sichert ihr eure ganze WordPress-Seite rundherum ab.
WordPress Sicherheit mit SSL
Falls ihr es noch nicht getan habt, solltet ihr euren Server und eure Seite unbedingt auf Https umstellen. Inzwischen bieten die meisten Hoster kostenlose SSL-Skripte an.
Meine Lieblingsanweisung für einen reibungslosen Umbau findet ihr HIER auf Blogmojo.
Nur sichere Themes und Plugins für WordPress installieren
Installiert euch nur Plugins und Themes aus sicheren Quellen, die auch von den Entwicklern regelmäßig upgedatet werden. Solche Plugins findet ihr zum Beispiel im offiziellen WordPress-Katalog, der Link für die Themes ist gleich daneben im Menu.
Worst Case: Wenn es doch passiert ist …
Wenn ihr nun doch Opfer eines Hackerangriffs geworden seid, dann atmet erst mal tief durch.
Macht eine Sicherung von Serverinhalt und Datenbank und nehmt den Blog vom Netz. Ändert alle eure Passwörter und baut den Blog neu auf. Wenn ihr eine saubere Sicherung habt, dann seid ihr fein raus, unter Umständen kann euch da auch euer Hoster helfen.
Ihr könnt auch mich fragen …. ;-)
Fazit:
Es gibt noch weitere Maßnahmen, mit denen man WordPress absichern kann. Aber mir ging es bei diesem Artikel lediglich um einen Basisschutz. Tiefgreifendere Maßnahmen erklärt euch zum Beispiel der Netz-Gänger sehr gut in seinem Artikel.
Wenn ihr noch andere Möglichkeit für mehr WordPress Sicherheit kennt, dann lasst es mich doch mal wissen!
Ansonsten wünsche ich euch natürlich sehr viel Spaß und Freude mit eurem tollen WordPress-Blog!
Ich gehöre leider zu den eher Ahnungslosen. Wie ich den Bloginhalt insgesamt irgendwo sichern bzw speichern könnte, würde mich schon interessieren, aber Stunden über Stunden möchte ich damit auch nicht verbringen …
Da schließe ich mich mal den anderen an, ich bin, was diese Themen betrifft, total außen vor. Nicht nur, dass ich keine Ahnung hab, das macht mich immer sofort richtig aggressiv. Dann lass ich mir lieber 100 x den Blog hacken, als dass ich mich in solche Sachen vertiefe… Lach… Man muss ja nicht alles können…
LG Sabine
Hallo Sabine,
super Idee zum Thema. Ich habe auch immer zu wenig für das Thema übrig, ich gestehe, aber ein paar Punkte die du oben genannt hast laufen auf meinen Blogs zumindest schon. Warum man Blogs von Normalos überhaupt hackt, ist mir so was von schleierhaft und ich werde es einfach bei die spinnen einordnen. Wo man etwas holen kann, ist es ja noch etwas nachvollziehbarer, aber eben auch nur etwas.
Liebe Grüße und bis Freitag, ich freu mich :-).
Sandra
Gute Idee, dieser Post.
Das ist sehr nützlich und hilfreich für diejenigen die wenig Ahnung von Programmierung haben.
Ich war ja “IT” Mensch beruflich..
Liebe Grüsse
Elke
@Daggi: Keine Ahnung und Angst, was falsch zu machen. Aber ein paar Plugins sollte jeder mal installieren können. Auf die Änderungen in der config und .htaccess bin ich extra nicht eingegangen.
LG Sabienes
@Myriade: Doch. Das kannst du auch bei einem Blog auf WordPress.com. Und zwar im Dashboard unter Einstellungen – Export sollte das gehen.
;-)
LG Sabienes
@Teamworkart: Keine Panik! Bei erledigt Blogspot – also Google – die Arbeit und kämpft gegen die Hacker. ;-)
LG Sabienes
@Sandra: Ich betreue ein Kundenprojekt, bei dem das Thema nur für eine verschwindend kleinen Prozentsatz der Bevölkerung in Deutschland relevant sein dürfte.
Und ich registriere so dermaßen viele Versuche, sich ohne Erlaubnis auf diese Seite einzuloggen, du glaubst es kaum. Das geht an manchen Tagen im Sekundentakt. Ungelogen. Und wenn dann in Moldawien (Estland, Indonesien, Russische Föderation) der Strom ausfällt, ist der Spuk vorbei ;-)
LG Sabienes
@Elke: Man muss zwar auch bei den Plugins mal aufpassen, aber die Installation sollte wirklich kein Problem sein, wenn man einen selbstgehosteten Blog hat.
LG Sabienes
Sehr wichtiges Thema! Ich habe auch dieses ‘Limited Login Attempts’- Plugin. Das ist schon mal schön, aber dadurch konnte ich sehen, dass permanent versucht wurde, mein Passwort zu knacken…..zuerst nur alle paar Tage mal, aber dann steigerten sich die Versuche auf teilweise einmal pro Minute. Das hat mich schwer beunruhigt, zum Glück hatte ich aber einen sehr versierten Kursleiter bei der Volkshochschule, bei dem ich auch meinen WordPress-Kurs gemacht hatte, und der hat mir geraten, einen ‘Verzeichnisschutz’ für die Login-Seite einzurichten. Das Wort Verzeichnisschutz hatte ich vorher noch nie gehört, mein Provider all-inkl hat das aber ohne Zusatzkosten im Angebot. Konkret bedeutet das , dass man erstmal einen eigenständigen Benutzernamen und ein Passwort eingeben muss, bevor man überhaupt auf die WP-Anmeldeseite kommt, wo man dann den eigentlichen Benutzernamen und Passwort eingibt…..also quasi eine Doppelsicherung. Ergebnis: mein Limited Login-Plugin ist seitdem arbeitslos, weil die Hackerversuche aufgehört haben. Ich kann das nur empfehlen, das einrichten ist auch ganz leicht, wenn euer Provider das anbietet.
VG,
Anneli
@Anneli: Das ist ein guter Tipp und bestimmt auch für meine Leser interessant. Vielen Dank dafür!
LG Sabienes
Sehr gute Tipps, vielen Dank für diesen Beitrag :)
Als kleinen Plugin-Tipp hätte ich noch Bulletproof Security. Es sichert den Blog auch über die .htaccess ab. Ich nutze dieses Plugin selber auch und bin damit sehr zufrieden.
@Flo: Ich mache das mit iThemes Security – zumindest nehme ich das stark an ;-)
LG Sabienes
Hi Sabienes,
offensichtlich passte ich diesen Beitrag bei dir nicht ab und es entging mir, aber gut, dass das noch in der Sidebar angezeigt wird. Ich kann solche Plugins wie Wordfence, Username Changer und Edit Author Slug jedem Blogger ans Herz legen. Damit bist du sehr gut für die sichere Zukunft im eigenen Blog gewappnet.
Wordfence ist sogar so krass drauf, dass nicht mal mehr Adsense einfach so im Widget eingebunden werden kann. Manchmal wird gleich ein 404-Error ausgegeben. Daher bitte für Code-Einbindungen Wordfence kurz auf inaktiv stellen und danach wieder auf aktiv stellen. Wordfence sorgt fürs Abgrasen der Unterverzeichnisse deiner WordPress-Installation, sodass alles gecheckt wird.
Wenn du das Plugin Username Changer einsetzt, änderst du den Nutzernamen einfach im eigenen Nutzerprofil in WordPress, im Backend. Auch kannst du mit Edit Author Slug einfach die /url-zum-profil sonst wie gestalten und auch eben mit kryptischen Zeichen versehen.
@Alexander Liebrecht: Danke für die Tipps. Gerade Wordfence könnte ich für ein Projekt gut gebrauchen!
LG
Sabienes