Zum Inhalt springen

WordPress Security:
einfach und effektiv absichern

Übersicht

WordPress ist sehr rasch installiert, konfiguriert und mit Inhalten befüllt. Nur ist die veröffentlichte Webseite auch abgesichert? Speziell in Hinblick auf Datenverlust und Angriffe von extern. Es gibt viele Möglichkeiten WordPress sicherer zu machen. Es gibt aber eine Hand voll Verbesserungen, die mit wenig Aufwand viel an Sicherheit bringen.

Diese sind folgende:

Default Admin Login Name ändern

Den Admin User Namen zu ändern hat den Hintergrund, dass mit dem default Namen “Admin” ein Angreifer bereits einen von zwei Faktoren für einen erfolgreichen Login kennt. Somit muss nur noch ein Programm automatisiert Kennwörter mittels Brute Force bzw. Dictionary Attacke ausprobieren. Abhängig von der Rechenleistung des Angreifers kann so das Kennwort in wenigen Sekunden bis hin zu mehreren Tagen erlangt werden. Kennt der Angreifer weder Login Namen noch Kennwort, so wird der Angriff unverhältnismäßig schwieriger und zeitaufwendiger.

So ändert man den WordPress Admin:

Starkes Admin Kennwort verwenden

Die Wahl eines starken Kennwortes ist natürlich genau so wichtig, wie ein angepasster Admin Login Name. Was zeichnet ein starkes Kennwort aus? Es gilt einerseits die Länge des Kennwortes von mehr als 8 Zeichen und andererseits die Verwendung unterschiedlicher Zeichen. Bei der Länge des Kennwortes steigt die Sicherheit mit jedem Zeichen, 8 darf als absolutes Mindestmaß angesehen werden. Bei den Zeichen unterscheidet man zwischen Großbuchstaben, Kleinbuchstaben, Zahlen und Sonderzeichen. Ein definitives “NoGo” ist es, Wörter im Kennwort zu verwenden. Alibaba123 ist trotz der Länge von 10 Zeichen ein sehr schwaches Kennwort. Eine gute Möglichkeit sind Passwort Generatoren bzw. die Bildung von ganzen Sätzen, von denen man jeweils den ersten Buchstaben für das Kennwort heranzieht.

WP-Admin Backend verstecken bzw. schützen

Der Admin Backend Bereich von WordPress ist unter https://meineseite.tld/wp-admin erreichbar, das wissen auch die Angreifer. Will man diesen Bereich schützen, so gibt es zwei grundsätzliche Herangehensweisen. Das Ändern der Backend URL oder das Aktivieren eines Verzeichnisschutzes für den Admin Bereich. Letzteres bedarf einen eigenen Artikel, da der Schutz mittels .htaccess doch etwas ausführlicher erklärt werden müsste. Somit konzentrieren wir uns hier auf das Ändern der Admin Backend URL mittels Plugin.

Ein gutes Plugin mit der Funktion das Backend zu verstecken lautet WPS Hide Login.

Wichtig ist es, sich die neue Admin URL zu notieren oder als Lesezeichen zu speichern.

WP-Admin Backend Login IP einschränken

Der Admin Backend Bereich kann mittels unzähliger Plugins wie z.B. WPS Limit Login geschützt werden. Will man den Schutz des Admin Backend Bereiches auf bestimmte IP Adressen oder IP Ranges einschränken, so macht man das mittels Webserver Zugriffsschutz .htaccess. Für diese Maßnahme benötigt man ausreichenden Zugriff auf die Webserver Konfigurationsdateien. Wenn man das Recht besitzt, um einen Verzeichnisschutz zu aktivieren, dann kann man durch Hinzufügen von folgenden Code Zeilen in der .htaccess Datei den Zugriff auf das Admin Backend von WordPress auf IP Adressen einschränken. Es ist neben einer .htaccess Datei auch eine .htpasswd Datei für die Login Daten erforderlich. Für Details bitte separat eine Anleitung suchen, hier wollen wir nur grob die Möglichkeiten aufzählen und erklären.

				
					order deny,allow
# Replace the below 192.168.0.110 with your IP address
deny from all
allow from 192.168.0.110
allow from 10.130.130.7
				
			

Die beiden “allow” Zeilen enthalten jene IP Adressen, von denen man den Zugriff erlauben möchte. Jede weitere Zeile darunter könnte eine weitere IP Adresse enthalten, wenn man z.B. von unterschiedlichen Orten auf das Admin Backend zugreifen möchte. Wichtig ist, dass ihr die beiden Dateien .htaccess und .htpasswd in das WordPress Unterverzeichnis /wp-admin hochladet, denn nur dann ist auch nur das Admin Backend geschützt und nicht gleich eure ganze Webseite.

Backup Plugin verwenden

Wenn alle Sicherheitsvorkehrungen getroffen wurden, die in eurer Zeit und eurem Wissen möglich waren und trotzdem etwas mit eurer Webseite oder euren Daten passiert, dann ist man immer gut beraten, ein Backup zu haben. Diesbezüglich gibt es auch mehrere Wege, die hier kurz aufgelistet werden.

Die ersten beiden Möglichkeiten zielen darauf ab, dass man etwas mehr technisches Hintergrundwissen besitzt. Wobei sich eine Sicherung der Daten bei dem Webhoster noch einfacher darstellt, als die manuelle Variante. Beide wollen wir hier nur aufzählen und nicht näher beschreiben. Webhoster gibt es viele und somit auch unterschiedliche Lösungswege. Üblicherweise findet man Backup und Restore Routinen im Admin Dashboard des Webhosters, auf welchen die Webseite betrieben wird. Für eine manuelle Sicherungen der WordPress Dateien gibt es SFTP Programme wie FileZilla und Datenbank Admin Tools zum Exportieren der entsprechenden Datenbank. Hat man diese beiden Sicherungen, so kann WordPress im Fall der Fälle wieder manuell hergestellt werden.

Eine durchaus einfachere Methode ist das Installieren und Deaktivieren von einem Backup und Restore Plugin für WordPress. Dabei ist zu erwähnen, dass diese Methode nur so lange einfachst funktioniert, so lange das WordPress Admin Backend noch funktioniert. Ist eine WordPress Installation so stark beschädigt, dass sich der Admin nicht mehr anmelden kann, dann gestaltet sich die Wiederherstellung mittels Plugin schwieriger. Je nach Anwendungsfall sind dann trotzdem manuelle Schritte nötig, bzw. muss WordPress sogar komplett neu installiert werden. Die Vorgehensweise ist wie immer, Plugin suchen, runterladen, installieren, aktivieren, konfigurieren.

Weitere interessante Beiträge

Mit informieren Sie regelmäßig über die Neuigkeiten in den Bereichen Online-Marketing, SEO & Social-Media-Marketing.