Wie kann ich meine WordPress Seite vor Hacker-Angriffen schützen?

WordPress an und für sich ist nicht aussergewöhnlich anfällig für Hackangriffe. Die weite Verbreitung macht Webseiten auf WordPress Basis aber zu einem beliebten Ziel für solche. Die meisten erfolgreichen Angriffe funktionieren wegen der Nichtbeachtung einiger Sicherheitsregeln:

  • Updates für WordPress, Plugins und/oder Themes wurden nicht installiert
  • schwache Passwörter
  • unverschlüsselte FTP-Verbindungen
  • Malware auf dem eigenen Computer

Beim Aufsetzen Ihrer WordPress-Installation durch switchplus wurden bereits verschiedene Sicherheitsmassnahmen getroffen, z. B.:

  • Löschen des Standard-Admin Kontos
  • Limitierung der Login-Versuche
  • Filtern von Kommentar-Spam
  • Änderung des Datenbank-Prefixes

Um die Sicherheit Ihres Internet-Auftritts hoch zu halten sollten Sie:

  • Für jeden Benutzer ein einmaliges, starkes Passwort verwenden (mind. 8 Zeichen lange Kombination aus grossen und kleinen Buchstaben, Zahlen und Sonderzeichen)
  • Keine Themes oder Plugins installieren, die nicht von vertrauenswürdigen Quellen stammen
  • Themes, Plugins und WordPress selber immer auf dem aktuellsten Stand halten

Als Sofortsicherheitsmassnahmen für bestehende WordPress-Auftritte empfehlen wir diese Schritte:

  1. ins Backend einloggen
  2. bei Benutzer „Neu hinzufügen“ einen neuen Benutzer mit Administratorrechten erstellen und dabei ein sicherers Passwort erstellen
  3. ausloggen
  4. mit dem neuen Benutzer anmelden
  5. den „alten“ admin löschen. WordPress fragt nach, was mit den diesem Benutzer zugeordneten Beiträgen geschehen soll. Wählen Sie „Eigenschaften aller Beiträge an [den neuen Administrator]“ und „Löschen bestätigen“.

Allein mit dieser einfachen Massnahme sorgen Sie dafür, dass Sie gegen die allermeisten Hackversuche gewappnet sind.
Als weitere Aktion zum Schutz Ihrer WordPress Installation empfehlen wir die Installation des Plugins „Limit Login Attempts„. Damit lässt sich die Anzahl erlaubter Anmeldeversuche limitieren, eine automatische Sperre einrichten sowie eine Mailbenachrichtigung an den Administrator auslösen, sobald die eingegebene Anzahl Sperrungen erreicht wurde.

Im Normalfall ist dies völlig ausreichend.

Die nun folgenden Tipps sollten nur von versierten WordPress Administratoren angewendet werden.

Die Änderung des Datenbank-Prefixes bietet zusätzlichen Schutz, ist aber nur bei der Installation völlig problemlos einzurichten.
Die nachträgliche Änderung ist zwar möglich (zum Beispiel mit Hilfe des Plugins „iThemes Security (früher: Better WP Security)„),  birgt aber Potential die funktionierende Installation zu zerschiessen.
Zusätzlich lässt sich das Login ins Backend und die Administration Ihrer WordPress-Installation über eine verschlüsselte Verbindung erzwingen. Dazu müssen Sie in Ihrer wp_config.php Datei folgende Zeile irgendwo vor

/* That's all, stop editing! Happy blogging. */

einfügen:

     define('FORCE_SSL_ADMIN', true);

Beim Aufruf dieser verschlüsselten Seite weist Sie eine Warnmeldung des Browsers darauf hin, dass dem Sicherheitszertifikat dieser Seite nicht vertraut wird.

Diese Meldung rührt daher, dass das SSL-Zertifikat nicht spezifisch für Ihre DOMAIN ausgestellt wurde (was kostenpflichtig möglich wäre). Sie müssen trotzdem weiterfahren bzw. eine Ausnahme hinzufügen, damit diese Seite im Browser geladen wird. Die Warnmeldung wird dann bei künftigen Besuchen nicht mehr erscheinen. Besucher Ihres Web-Auftritts erhalten diese Meldung nicht.

Hat Ihnen dieser Artikel weitergeholfen?

Ja, das hat er Nein, leider nicht