WordPress wird immer bekannter und ist daher auch ein beliebtes Angriffsziel. Daher ist es wichtig, sich vor den Gefahren aus dem Netz ausreichend zu schützen. Dazu gibt es einige wichtige und schnell umsetzbare Methoden, auf diese ich nun im folgenden Näher eingehen werde. Die hier aufgeführten Erklärungen zur Absicherung von WordPress beziehen sich auf alle 3.x Versionen von WordPress.
WordPress absichern:
– Regelmäßige Backups
– Keine Standard Benutzernamen
– Nur einen Account mit Administratorrechten
– Sichere (lange) Passwörter
– Updates
– Brute-Force Attacken verhindern
Regelmäßige Backups:
Regelmäßige Updates sind sehr wichtig, denn so kann dein Blog nach einem Angriff oder Datenverlust in wenigen Minuten wieder hergestellt werden. Dazu gibt es mittlerweile viele gute und kostenlose Plugins die neben sämtlichen Inhalten, Plugins und Co. auch direkt die Datenbank sichern. Ich empfehle dafür das Plugin BackWPup Free – dieses habe ich auch selbst bei allen meinen Projekten installiert. Das Tool fertigt in wenigen Minuten ein komplettes Backup an, dass dann direkt runtergeladen werden kann. Auf Wunsch kann das Backup aber auch in einer Dropbox oder einem anderen Cloudspeicher abgelegt werden.
Keine Standard Benutzernamen:
Bei der Installation schlägt euch WordPress den Standard-Benutzernamen „Admin“ vor. Da ihr euch den Benutzernamen aber selbst aussuchen könnt, würde ich davon absehen diesen Namen zu verwenden. Denn so müssen die Angreifer sich nur noch auf euer Passwort konzentrieren – der Benutzername ist ja schon bekannt. Sucht ihr euch einen eigenen Namen aus, wird der Angriff vermutlich schon an dieser Stelle scheitern.
Nur einen Account mit Administratorrechten:
Um den vollen Überblick zu behalten, solltet ihr euch wirklich nur einen Account mit Administratorrechten einrichten. Den restlichen Usern solltet ihr aus Sicherheitsgründen nur eingeschränkte Rechte geben.
Sichere (lange) Passwörter:
Nichts ist so wichtig wie das richtige Passwort. Dieses hat am besten mehr als 12 Zeichen und besteht aus einer Kombination von Buchstaben, Zahlen und Sonderzeichen. Einfache Passwörter können dank moderner Brut-Force-Attacken mit etwas Glück sehr schnell entschlüsselt werden. Benutzt euer Passwort am besten nur für WordPress und nicht bei anderen Websites.
Updates:
Dank der vielen WordPress-Nutzer fallen eventuell vorhandene Sicherheitslücken zum Glück meist sehr schnell auf und werden direkt behoben. Dazu ist es aber nötig, dass ihr eure WordPress Installation immer aktuell haltet. Viele Nutzer fürchten sich aufgrund eingesetzter Plugins vor einem Update. Diese Sorge ist aber eigentlich unberechtigt, da die Updatefunktion von WordPress sehr gut funktioniert. Falls ihr vorher ein Backup eurer Daten gemacht habt kann also eigentlich nichts schiefgehen!
Brute-Force Attacken verhindern
Bei einer Brute-Force-Attacke wird versucht, euer Passwort mithilfe einer Software bzw. einen Hochleistungsrechner zu knacken. Die Software probiert schlicht in schneller Abfolge verschiedene Zeichenkombinationen aus und versucht so, das Passwort des Administratoraccounts zu erraten. Um das zu verhindern, sollte ein dementsprechendes Plugin zum Schutz installiert werden. Ich empfehle dafür das Stealth-Login-Page Plugin.
Was kann ich sonst noch tun?
– Unbenötigte oder veraltete Plugins deinstallieren
– Den eigenen Rechner auf Schadsoftware überprüfen
– Den Tabellenpräfix wp_ ändern
– Eure Themes aktuell halten
Zu 100% sicher kann man leider nie sein, aber mit den hier aufgeführten Methoden reduziert ihr das Risiko, Zielscheibe eines Hackers zu werden, auf ein Minimum. Nehmt euch einige Minuten Zeit um euer WordPress richtig vor Angriffen zu schützen, damit spart ihr euch im Ernstfall viel Zeit und Sorgen!
WordPress ist von Haus aus ja eigentlich schon recht sicher. Aber etwas mehr Sicherheit kann wohl nie schaden
Als wichtig halte ich – nebst einem sicheren Passwort und Updates – lediglich ein Plugin das brute force verhindert.
Danke für die Anmerkung, ich werde den Artikel noch dementsprechend überarbeiten.
Das Stealth-Login-Page Plugin ist in meinen Augen sehr gut dafür geeignet.
Wie kann ich das Tabellenpräfix denn ändern? Finde da keine Option dazu
Wenn du deinen Blog installierst kannst du den Präfix angeben bzw in der wp-config.php bearbeiten. Danach geht das sicher auch noch, aber musst eben deine komplette Datenbank dementsprechend anpassen^^
Das sind für den Anfang gute Ratschläge und die meisten Angriffe sollten dadurch verhindert werden. Das BackWPup-Plugin kann ich ebenfalls nur jedem wärmstens empfehlen. Einfacher geht ein Backup nun einmal nicht und selbst wenn einmal die Seite gehackt wurde, sind die Daten vom Vortag schnell wieder eingespielt.
Das Plugin Limit Login Attempts ist für mich persönlich auch unverzichtbar, dort kann die maximale Anzahl an Login Versuchen eingestellt werden.
Prinzipiell stimme ich dir da zu, allerdings wurde das Plugin seit gut drei Jahren nicht mehr aktualisiert. Ich sehe so etwas immer ein bisschen kritisch.