WordPress-Webseite schützen, aber wie?
Meine WordPress-Webseiten schützen
Das Ergebnis vorab: Einen 100%-igen Schutz vor Hacker-Angriffen gibt es nicht. Zur Beruhigung sei aber auch erwähnt, dass Hacker selten SIE und Ihre Website im Visier haben, also Sie schädigen wollen. Vielmehr stehen die großen Player im Vordergrund, sprich die Server der Provider. Meist wollen Hacker auch „nur“ ihre Werbe-E-Mails (Spam) möglichst schnell und in maximaler Quantität verteilen. Dafür ist nichts effektiver als dies über die Server von Kunden der (großen) Provider zu tun. Auch wenn sicherlich nicht immer die Verteilung von Werbung im Vordergrund steht, so vielleicht die Verbreitung von Viren auf den Servern der Provider; aber wirklich sehr, sehr selten die Schädigung IHRER persönlichen Website selbst! Wie dem auch sei, es ist sehr lästig (z. B. per Mail) immer wieder darüber informiert zu werden, wie oft versucht wird/wurde auf Ihre Website von außen zuzugreifen. Sie haben gerade keine Ahnung, wovon ich spreche? Sie denken womöglich: „Eine Mitteilung über Angriffe auf meine Website habe ich noch nie erhalten! Und jetzt? Ist das nun gut oder ist meine Website womöglich nicht sicher? Oh Gott, das wäre ja schlimm!“
Meine Antwort: Es ist dann nicht schlimm, wenn Sie sonst möglichst viel unternehmen und unternommen haben, damit Ihre Website sicher ist!
Ein Beispiel: Sie haben ein Haus oder eine Wohnung. Was tun Sie, um sich vor einem Einbruch zu schützen? Sie lassen sicherlich nicht die Eingangstüre und die Fenster offen, oder?! Die Eingangstür besitzt sicherlich auch ein Sicherheitsschloss und ist nicht marode! Jedes Mal, wenn Sie die Wohnung oder das Haus verlassen, schauen Sie nach, ob alle Fenster geschlossen sind und schließen hinter sich zu. Wahrscheinlich lassen Sie auch die Fenster und die Eingangstüren regelmäßig kontrollieren und ggf. warten?! Ähnlich sollten Sie sich bei Ihrer Website verhalten! Auch hier sollten Sie die Eingangstür sicheren und immer nachschauen, ob alles in Ordnung ist! Sie werden jetzt vermutlich sagen: „Ja, beim Haus und bei der Wohnung, weiß ich das, aber wie geht das bei meiner Website?“ Das geht ganz einfach!
- Verwenden Sie zur Anmeldung auf Ihre Website NIE die Benutzernamen Admin oder Administrator und KEINE einfachen Passwörter, wie 1234… Nutzen Sie möglichst einen Namen, der nicht so leicht zu erraten ist und setzen Sie komplizierte, mind. 16-stellige Passwörter ein, die aus Buchstaben, Sonderzeichen und Zahlen bestehen! Setzen Sie z. B. einen Satz als Eselsbrücke ein, kombiniert mit Zahlen. Verwenden Sie die Anfangsbuchstaben und Zahlen des Satzes als Passwort.
- Halten Sie stets Ihre Website aktuell, das heißt, alle eingesetzten Plugins (= eingesetzte Funktions-Tools), die WordPress-Version selbst und das eingesetzte Theme (= also die Designvorlage Ihrer Website) sollten auf dem NEUSTEN Stand sein!
- Erstellen Sie in regelmäßigen Abständen ein Backup Ihrer Website! Je öfter Sie die Inhalte auf Ihrer Website aktualisieren/ändern, sollten Sie auch Backups engmaschiger durchführen. Im schlimmsten Fall, hätten Sie bei einem Schaden dann vielleicht die letzten Änderungen verloren, aber nicht die ganze Website!
- Deaktivieren und löschen Sie alle Plugins und Designvorlagen (Themes), die Sie nicht benötigen! Neben Ihrem eingesetzten Theme sollte nur das letzte Standard-Theme von WordPress installiert sein!
- Nehmen Sie weitere Sicherungsmaßnahmen vor, die sinnvoll sind und möglichst auch von Ihnen selbst verstanden und gewartet werden können!
Neben den obigen Basisschutz-Maßnahmen, können Sie sehr schnell und einfach einen weiteren kleinen Zusatzschutz einrichten. Aktuell laufen verschiedenen Statistiken zufolge fast 40% aller Internetseiten komplett auf der Basis von WordPress. Damit ist WordPress das meist genutzte CMS (= Computer-Management-System) auf der Welt und deswegen auch für Hacker ein beliebtes Angriffsziel. Erleichtert wird dies auch deshalb, weil der Loginbereich (= Anmeldung auf) dieses Systems standardmäßig unter der gleichen URL zu finden ist (https://deine-Domain/wp-login.php bzw. https://deine-Domain/wp-admin). Über diesen Weg finden auch sehr viele Angriffe statt.
Was kann ich tun, um die Anmeldung/den meiner WordPress-Webseite zu schützen?
Der häufigste Angriff auf WordPress Webseiten erfolgt über sog. Brute-Force-Attacken, also Attacken, die mit „roher Gewalt“ durchgeführt werden. Was sich dahinter verbirgt sind vor allem Angriffe auf den Zugang zum sog. Backend Ihrer WordPress Site (= Login-/Anmeldeseite). Die Angreifer kennen zwar Ihre Zugangsdaten nicht, versuchen es aber mit allen möglichen Kombinationen – meist mit Hilfe von (selbst-)programmierten Werkzeugen, bis die richtige gefunden wurde. Weil es also hier zum einen zahlreiche Variationen gibt und der Angriff über die Anmeldeseite bloß durch eine immense Anzahl an Versuchen gelingen kann, spricht man von einer Brute-Force-Attacke. Vor diesem Hintergrund erscheint es logisch, dass gerade der Eingang zu Ihrer Website besonders geschützt werden sollte und muss! Hierzu wäre es doch z. B. toll, wenn die Anmeldehäufigkeit – ähnlich wie beim Entsperren von SIM-Karten beim Smartphone –begrenzt werden würde. Vielleicht könnte man ja sogar den Haupteingang zur Website irgendwie verstecken?! Beides ist tatsächlich möglich und einfach einzurichten!
WordPress Admin-Bereich verstecken mit dem Plugin WPS Hide Login
Wie oben schon erwähnt, kann es hilfreich sein, die Standard-Einwahl über https://deine-Domain/wp-login.php bzw. https://deine-Domain/wp-admin zu verhindern. Dieser Weg hilft zwar nur bei einem Teil der möglichen Angriffe, stellt jedoch eine sinnvolle Ergänzung zur Gesamtsicherheit Ihrer WordPress-Website dar. Die Idee dahinter ist Sicherheit durch Obskurität („security by obscurity“) zu erzeugen. Es wird also versucht, die Sicherheit der Website zu gewährleisten, indem der Zugang zu ihr geheim gehalten wird. Gegen einen professionellen Angriff hilft das allein natürlich nicht, aber es verhindert eben den gängigen Standard-Zugang!
Wie geht das nun?
Hierzu benötigen Sie lediglich das Plugin „WPS Hide Login“.
-
- Loggen Sie sich zunächst auf Ihre Website ganz normal ein.
- Klicken Sie als nächstes in der linken (schwarzen) Spalte des Dashboards auf den Menüpunkt „Plugins => Installieren“. Sie gelangen nun auf der Seite der Plugin-Installation.
- Geben Sie jetzt im obigen Suchfeld das Stichwort (Namen): »WPS Hide Login« ein.
- Klicken Sie beim Plugin auf den Button „Jetzt installieren“ und danach auf „Aktivieren“.
-
- Jetzt haben Sie es fast schon geschafft.
Über den Menüpunkt „Einstellungen“ => „WPS Hide Login“ gelangen Sie nun auf die Seite des Plugins, wo Sie die finalen Eintragungen vornehmen müssen.
- Klicken Sie nach vorgenommenen Einstellungen abschließend auf den blauen Button „Änderungen speichern“. Fertig!
Wichtig: Notieren Sie sich den neuen Zugangspfad zur Anmeldung auf Ihre Website, denn ab sofort ist die Anmeldung nur noch über den neuen Pfad erreichbar!
WordPress Absicherung mit dem Plugin iThemes Security
iThemes Security ist das mit Abstand am häufigsten genutzte und gleichzeitig das beste Sicherheitsplugin für WordPress. Mehr als 1 Million aktive Installationen belegen das und die Bewertung des Plugins kann sich ebenfalls sehen lassen! Dieses Plugin ist sehr leistungsstark und bietet ein hohes Maß an Sicherheit für Ihre Website. Dabei können Sie auf eine kostenlose Version zugreifen oder gleich die kostenpflichtige Pro-Version installieren. Bereits die kostenlose Version bietet einen ziemlich starken Schutz und ist absolut zu empfehlen! Für diesen Rahmen hier reicht es vorerst aus ein paar kleine Einträge vorzunehmen, um Ihre Website gut zu schützen.
-
- Loggen Sie sich zunächst auf Ihre Website ganz normal ein.
- Klicken Sie als nächstes in der linken (schwarzen) Spalte des Dashboards auf den Menüpunkt „Plugins => Installieren“. Sie gelangen nun auf der Seite der Plugin-Installation.
- Geben Sie jetzt im obigen Suchfeld das Stichwort (Namen): »iThemes Security« ein.
- Klicken Sie beim Plugin auf den Button „Jetzt installieren“ und danach auf „Aktivieren“.
-
- Als nächstes gehen Sie in der linken (schwarzen) Spalte des Dashboards zum Menüpunkt „Sicherheit => Einstellungen“
-
- Jetzt wird Ihnen eine Sicherheitsprüfung empfohlen, die bestimmte Einstellungen vornimmt, um Ihre Website abzusichern. Klicken Sie auf den blauen Button »Secure Site« und Ihre Website wird abgesichert.
In der weiteren Sicherheitsübersicht können Sie weitere Einstellungen vornehmen:
- Als letztes aktivieren Sie das Feld: „404er-Erkennung“. Fertig!
Weitere Einstellungen brauchen Sie erst einmal nicht vorzunehmen. Natürlich kann man noch viel mehr für die Sicherheit einer Website tun, doch mit diesen Einstellungen haben Sie schon viel erreicht!
Auf zum nächsten Beitrag !