WordPress Sicherheit – WordPress Tutorial 2021
Nachdem wir im vorangegangen Kapitel unsere WordPress Installation durchgeführt haben, geht es nun um das erstmalige Bearbeiten unserer neuen Webseite.
Hier sichern wir zuerst unsere Basis Webseite gegen Eindringlinge ab. Für deine eigene Webseite bist du nun selbst verantwortlich und möchtest nicht, dass Kriminelle deine Webseite für ihre eigenen Zwecke missbrauchen. Wenn sie z.B. Zugriff auf deine Webseite haben, könnten sie sie für Spam missbrauchen, für Ecommerce Betrug oder schlimmeres.
In erster Linie wollen wir es den Angreifern natürlich so schwer wie möglich machen und so halten wir uns an folgende grundlegende Sicherheitsmaßnahmen.
Welches WordPress Login soll ich zur Sicherheit verwenden?
Als Administrator solltest du einen WordPress Benutzernamen wählen, der über deine Webseite nicht leicht zu erraten ist. Bitte nehme NICHT “Admin”, deinen Vornamen oder Nachnamen oder Webseitennamen. Diese Namen sind meist leicht zu erraten und werden mittels Brute Force Attacken gerne genutzt.
Du kannst den Namen, wie er später auf der Webseite angezeigt wird, immer noch ändern.
Also nimm z.B. folgender Admin Name (Bitte kopieren den jetzt hier nicht):
Lisa-108AD
Wie kann ich den angezeigten Login Namen in WordPress ändern?
1. Melde dich mit deinem Login an und gehe im Menü zu “Benutzer”
2. Gehe zu deinem entsprechenden User und ändere den “Spitznamen”.
3. Wähle nun als “Öffentlicher Namen” den bei Spitzname hinzugefügten Namen aus.
Effekt: Nun ist dein Login nicht dein Spitzname, sondern du meldest dich weiterhin mit deinem erstellten Benutzernamen an. Dein Benutzername ist nun aber nicht mehr klar sichtbar auf deiner Webseite. Dies erschwert das automatische Abgreifen oder erratens deines Loginnamens und deiner öffentlichen Informationen durch Bots.
Erstelle ein sicheres WordPress Passwort
Bitte verwende ein absolut sicheres Passwort, dass du noch bei KEINEN anderen Diensten im Internet verwendet hast. Benutze wenn möglich ein Passwort Management System z.B. Roboform.
Am besten du benutzt einen Passwort Generator und erstellst ein absolut sicheres Password. Brute Force Attacken nutzen gerne geleakte Passwort Listen und so solltest du ein Passwort wählen, dass du noch nie zuvor benutzt hattest. Am besten mit Sonderzeichen.
Gib deine Zugangsdaten nicht weiter
Gib deine Zugangsdaten für deine WordPress Webseite nicht weiter. Erstelle für einen anderen Mitbenutzer ein eigenes Konto mit einer E-Mail Adresse auf die nur Du Zugriff hast oder sende bei Support einen Autologin. Z.B. mit LoginPress.
Supportanfragen landen gerne bei ausländischen Supportcentern und erfahrungsgemäß scheinen immer wieder Passwörter zu leaken, auch wenn sie an vertrauenswürdigem Support, weiter gegeben werden. Deshalb wenn du dir von einem Support weiterhelfen lässt, achte auf folgende Dinge:
– Erstelle einen extra Administrations Account mit einer E-Mail Adresse auf die nur du Zugriff hast
– Wenn du dem Support dann darüber Zugriff gegeben hast und deine Support Anfrage abgeschlossen ist, lösche den zusätzlichen Account wieder oder ändere das Passwort. Nutze diesen Account nur für deinen WordPress Support.
– Nutze wenn möglich eine Auto Login Funktion. Mit der kannst du für bestimmte Benutzer einen Auto Login Link erstellen. Ohne Eingabe eines Passworts. Z.B. mit LoginPress.
Warum sollte man Administrator und Autoren trennen?
Mit WordPress bekommst du ein tolles Benutzer Management System mit dem du den Benutzern einzelne Rollen erteilen kannst. So kannst du z.B. zusätzlich für dich einen einfach zu merkenden User anlegen, dem du nur Autor Rechte und keine Administrationsrechte erteilst. Bitte teile keine User und Passwörter mit anderen. Du kannst jederzeit im Benutzermenü verschiedene Nutzerkonten mit unterschiedlichen Rechten auf deiner Webseite erstellen. Es erhöht die Sicherheit deiner WordPress Webseite enorm, wenn nicht jeder die Möglichkeit hat, als Administrator auf der Webseite zu arbeiten.
Warum solltest du immer aktuelle WordPress Updates installieren?
Bitte halte deine WordPress Version immer auf dem aktuellen Stand. Alte WordPress Installationen enthalten Sicherheitslücken und es ist besonders bei WordPress extrem wichtig, immer das neuste Update zu installieren. Sicherheitsupdates werden in der Regel von WordPress automatisch installiert. Doch darauf solltest du dich nicht verlassen. Installiere immer die aktuelle WordPress Version.
Installiere Updates von Plugins und Themes
Halte deine installierten Plugins und Themes auf dem aktuellen Stand durch Updates um dich vor Angriffen zu schützen. Mehr über Plugins und Themes erfährst du im nächsten Kapitel. Sicherheitslücken von WordPress entstehen meistens durch installierte Plugins oder Themes. Du kannst z.B. auch die automatische Update Funktion in WordPress für deine Plugins freischalten. Jedes Mal wenn es ein neues Update gibt, erfolgt eine automatische Aktualisierung deiner Plugins.
Gehe hierzu auf Plugins und aktiviere das automatische Update für Plugins.
Nutze niemals kostpflichtige oder nicht kostenpflichtige Plugins aus dubiosen Quellen. Sogenannte nulled scripts. Diese Plugins enthalten meistens Schadcode und du kannst sicher sein, dass deine Webseite gehackt werden wird. WordPress Plugins sind nicht teuer und gut investiertes Geld. Du erhältst Support und das Plugin wird ständig gepflegt und du kannst die Entwickler unterstützen. Das ist extrem wichtig für die Sicherheit deiner Webseite.
Nutze eine aktuelle PHP Version
Dein Hosting Anbieter stellt dir in der Regel immer eine aktuelle PHP Version zur Verfügung. Achte darauf, dass du eine aktuelle PHP Version verwendest. Frage ggf. bei deinem Hosting Anbieter nach, welche PHP Versionen zur Verfügung stehen und noch mit Sicherheitsupdates versorgt werden.
Warum Login Versuche zu Beschränken sinnvoll ist
Beschränke die Anzahl der möglichen Login Versuche mit einem zusätzlichen WordPress Sicherheits Plugin. Z.B. WordFence oder Malcare. Mit Brute Force Attacken werden Logins und Passwörter automatisch der Reihe nach durchprobiert bis es zu einem Login kommt. Die Beschränkung der Loginversuche sperrt bei z.B. 3 Versuchen den Login für eine Stunde. Es gibt offene Passwortlisten mit den meist verwendeten Passwörtern oder aus geleakten Datei Listen die verwendet werden.
Installiere Security Plugins
Installiere Security Plugins, die deine Webseite absichern. Z.B.
– WordFence – Gibt eine kostenlose und kostenpflichtige Version. Am Anfang, vorallem bei deinem ersten Webseiten Versuchen reicht dir die kostenlose Version völlig aus.
– Malcare – tolles Security Plugin mit automatischer Malware Entfernung. Auch in Verbindung mit BlogVault Gold wert.
Installiere ein Backup Plugin
Installiere ein Backup Plugin um deine WordPress Seite abzusichern, falls bei einem Update oder einer Bearbeitung deiner Webseite etwas schief läuft. Mit einem Backup bist du immer auf der sicheren Seite und kannst ggf. eine ältere Version herstellen. Auch wenn du direkt auf deiner WordPress Seite schreibst, ist es immer gut eine ältere Version herstellen zu können. Nichts ist ärgerlicher, als wenn du keinen Zugriff mehr auf deine geschriebenen Artikel hast.
Folgende Plugins können wir empfehlen und nutzen sie auch selbst auf diversen Webseiten:
– Blogvault in Verbindung mit Malcare
– Updraft Backup Plugin
– BackupGuard
– WPReset – kann bei einem Update die WordPress-Umgebung mit einem Klick kontrollieren, zurücksetzen und wiederherstellen. Genial falls mal ein Plugin oder Themes Update schief läuft. Mit einem Klick kann man wieder zur vorherigen Version zurück kehren.
Wie erfahre ich von WordPress Sicherheitslücken ?
Abbonniere z.B. den Newsletter von WordFence und du wirst immer rechtzeitig über kritische WordPress Sicherheitslücken informiert.
Wie entferne ich Viren von meiner WordPress Webseite ?
Hier kannst du z.B. das Plugin Malcare verwendet. Das Plugin bietet eine “Ein Klick Malware” Entfernung und schützt dich vor weiteren Angriffen.
Zusammenfassung der WordPress Sicherheit
In diesem Artikel über die WordPress Sicherheit aus unserem WordPress Tutorial haben wir gelernt, wie wir durch einfache Maßnahmen unsere WordPress Installation absichern können. Einen 100% Schutz werden wir nie hinbekommen, doch verschiedene Plugins erleichtern uns die Überwachung der WordPress Seite und wir können mit einem ruhigen Gewissen schlafen.