WordPress ist eines der populärste Content-Management-System für alle, die einen Blog oder schnell und einfach ihre eigene Internetpräsenz einrichten wollen. Aber leider ist WordPress immer wieder auch Zielscheibe für Angriffe aus dem Netz. Eine der wichtigsten Maßnahmen sind z.B. regelmäßige Updates (inklusive Updates der eingesetzten WordPress-Plug-Ins). In einem früheren Artikel habe ich bereits einige wichtige Hinweise zum Schutz vor Hacking zusammengestellt.
Auch die Wahl eines professionellen und zuverlässigen Hosting-Anbieters mit klar definierten Service-Level-Agreements, wie Host Europe, trägt zum Schutz Ihrer Seite bei. Doch Sie können noch mehr tun. In diesem Artikel möchte ich Ihnen 5 weitere Möglichkeiten vorstellen, wie Sie Ihre WordPress-Seiten schützen können.
Viele Hacker gehen bei Ihren Attacken sehr simpel vor, um sich Zugang zu einer fremden Webseite zu verschaffen. Sie nutzen die Brute-Force-Methode (das einfache Ausprobieren). Dieses Vorgehen ist in der Praxis häufig immer noch erfolgreich, da die Angreifer meist nur zwei Variablen zu „knacken“ haben.
- Das Passwort
- Den Benutzernamen für den Administrationsbereich
Schon mit einem normalen PC und der entsprechenden Software lassen sich innerhalb von Sekunden Millionen unterschiedlicher Varianten ausprobieren. Noch leichter wird es für Hacker, wenn die beiden Variablen so leicht zu erraten sind, dass sie praktisch gar keine Barriere darstellen
Tipp 1: Verwenden Sie sichere Passwörter
Einfache, kurze und unsichere Passwörter sind ein echtes Sicherheitsrisiko. Nicht nur für den Login zu Ihrem WordPress-Dashboard, sondern auch generell sollten Sie immer sichere Passworte verwenden. Die Minimalvoraussetzungen für ein sicheres Passwort sind:
- Ein Passwort sollte aus mindestens acht bis zehn Zeichen bestehen – gerne auch länger.
- Die gewählte Zeichenkette darf in keinem Wörterbuch vorkommen und auch kein Bestandteil eines Begriffs sein.
- Verwenden Sie möglichst Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen (! “ ? $ % ^ & ).
Jetzt werden Sie vielleicht einwenden, dass sich komplexe Passwörter nur schwer merken lassen.
Verwenden Sie einfach folgenden kleinen Trick: Denken Sie sich einen Satz aus und entwickeln Sie daraus Ihr persönliches Passwort. So wird zum Beispiel aus den beiden Sätzen:
Wie merke ich mir ein “Passwort“? Ich mache einen Satz daraus!
das sichere Passwort:
Wmim1“P“?Im1Sd!
Tipp 2: Ändern Sie generische Benutzernamen
Mindestens ebenso sorglos legen viele WordPress-Anwender Ihren Benutzernamen fest. Sehr häufig wird als Benutzername mit Administrationsrechten einfach eine Standard-Bezeichnung wie Admin, Administrator, Redaktion oder die Kontakt-E-Mail-Adresse etc. verwendet.
So leicht sollten Sie es einem Hacker nicht machen. Ziehen Sie Schutzmauer um Ihre Webseite lieber etwas höher und ändern Sie unsichere Benutzernamen in sichere.
Loggen Sie sich dazu in das Dashboard Ihrer WordPress-Installation ein.
-
- Klicken Sie unter Benutzer auf den Menüpunkt Neu hinzufügen.
- Geben Sie einen neuen, sichereren Benutzernamen an und weisen Sie diesem neuen Benutzer die Rolle eines Administrators zu.
- Testen Sie den neuen Zugang und löschen Sie dann alle alten und unsicheren Benutzer mit Administrationsrechten.
Tipp 3 – Ändern Sie die Login-URL zum Administrationsbereich Ihrer WordPress-Seite
In der Regel ist der Login zu Ihrer WordPress-Seite spielend leicht zu finden, denn die Standard-URL wird von WordPress nach folgendem Muster angelegt: www.IHREDOMAIN.XX/wp-admin/. Eine clevere Möglichkeit, um sich vor Hacking-Attacken zu schützen, besteht darin, den Standard-Pfad durch eine individuelle Login-URL zu verschleiern. Sie benötigen dafür lediglich ein entsprechendes Plugin.
Unter wordpress.org/plugins finden Sie dazu eine reiche Auswahl an Plug-Ins, mit denen Sie die wp-login.php einfach umbenennen können. Zum Beispiel: Rename WP-Login.php, Custom Login URL, Protect Your Admin, Good Bye wp-admin oder ein anderes Plug-In.
Zum Download von Protect Your Admin
Zum Download von Good Bye wp-admin
Für die folgende Darstellung habe ich Rename WP-Login.php genutzt.
Zum Download von Rename wp-login.php
Zum Download von Custom Login URL
Installieren Sie zuerst das Plug-In und aktivieren Sie dieses. Anschließend können Sie über das Menü Einstellungen benutzerfreundliche URL-Strukturen für Permalinks und Archive anlegen sowie unter anderem auch Ihre Login URL individuell umbenennen.
Mit diesem kleinen Trick haben Sie eines der wichtigsten Angriffsziele für Hacker versteckt.
Tipp 4 – Richten Sie einen Verzeichnisschutz für den Administrationsbereich ein
Ein weiterer sehr wirksamer Hacking-Schutz besteht darin, den Administrationsbereich Ihrer WordPress-Installation durch einen Verzeichnisschutzes abzusichern. Mit Hilfe der .htaccess Datei, die standardmäßig von WordPress angelegt wird, können Sie den Zugriff auf die wp-login.php sowie das WordPress-Verzeichnis absichern.
Dazu müssen Sie der in Ihrem WordPress-Verzeichnis befindlichen .htaccess-Datei lediglich den weiter unten beschriebenen Code hinzufügen sowie eine .htpasswd-Datei erstellen.
Beginnen Sie mit der .htpasswd-Datei. Verwenden Sie für die Erstellung der .htpasswd-Datei einen Editor wie zum Beispiel den Windows Editor, Wordpad oder Notepad++. Legen Sie zunächst eine leere Datei an, die Sie .htpasswd nennen. Zum Upload benötigen Sie einen FTP-Zugang zu Ihrem Hosting-Produkt.
Hinterlegen Sie dieser Datei nun die Benutzernamen und Passwörter derjenigen Personen, die auf das WordPress-Verzeichnis zugreifen dürfen. Die Kommandozeile sieht dann folgendermaßen aus:
Selbstverständlich sollten Sie Passwörter verschlüsseln, bevor Sie diese abspeichern. Eine komfortable Möglichkeit für die Verschlüsselung bietet Ihnen der Htpasswd Generator.
Geben Sie einfach in der ersten Zeile den Benutzer und in der zweiten Zeile das entsprechende Passwort ein. In meinem Beispiel:
Beispiel-User
Mein!P@ssw0rD
Klicken Sie anschließend auf Create .htpasswd.file
Beispiel-User:$apr1$8yyUwP/x$KIjdU72dlF8WdjKIuYZwo1
Das Tool erstellt für Sie automatisch die komplette Kommandozeile inkl. des verschlüsselten Passworts. Sie brauchen diese Zeile nun nur noch in Ihre .htpasswd- Datei zu kopieren. Tragen Sie auf diese Weise alle Benutzer ein, die Zugang zum Administrationsbereich Ihrer WordPress-Installation erhalten sollen.
Zum Upload in das WordPress-Verzeichnis benötigen Sie einen FTP-Account zu auf Ihrem Hosting-Paket.
Öffnen Sie nun die .htaccess-Datei in Ihrem WordPress-Verzeichnis mit einem Editor und ergänzen Sie folgenden Code.
Wichtig: Geben Sie den vollständigen Pfad zu der von Ihnen erstellten htpasswd-Datei an. Sie können diese Datei im Hauptverzeichnis Ihrer WordPress-Installation oder – noch versteckter – in einem beliebigen Unterverzeichnis ablegen.
Die Pfadangabe setzt sich aus zwei Teilen zusammen:
-
- Der Pfadangabe zu Ihrem Hosting-Produkt (Sie können diese in unserem Kunden-Informations-System (KIS) einsehen). Wählen Sie dazu Ihr Produkt aus. Klicken Sie auf konfigurieren und wählen Sie dann unter Allgemeines den Menüpunkt Allgemeine Informationen – Pfad.
- Als zweiter Teil folgt die Pfadangabe zu dem Verzeichnis auf Ihrem Hosting-Produkt, in dem Sie die htpasswd-Datei abgelegt haben.
Der vollständige Pfad folgt diesem Muster: AuthUserFile /is/htdocs/wpxxxxxxxx_xxxxxxxx/ [Pfad zum Produkt]xxxx/xxxx/.htpasswd[Pfad zur Datei]
Sie können auch ein Tool wie How to find the full path to a file using PHP verwenden, um sich direkt den kompletten Pfad anzeigen zu lassen.
Speichern Sie nun die erweiterte .htaccess-Datei im WordPress-Verzeichnis Ihres Hosting-Produkts.
Wichtiger Hinweis! Um Updates Ihrer WordPress-Installation durchführen zu können, muss der Verzeichnisschutz zuvor deaktiviert sein.
Tipp 5 – Erstellen Sie regelmäßig Backups für den Worst Case
Trotz aller Sicherheitsmaßnahmen sollten Sie immer auf den Worst Case vorbereitet sein. Denn es kann immer etwas schief gehen. Erstellen Sie daher regelmäßig Backups Ihrer WordPress-Seiten. Das ist sehr wenig Aufwand im Vergleich zu der Zeit, die Sie für den Neuaufbau Ihres Contents brauchen würden. WordPress bietet Ihnen dafür standardmäßig eine Backup-Funktion. Unter dem Menüpunkt Werkzeuge Daten exportieren können Si e wählen, ob Sie alle oder bestimmte Inhalte Ihrer WordPress-Seiten zum Beispiel auf Ihrem PC bzw. einem externen Speichermedium sichern möchten.
Darüber hinaus haben Sie natürlich auch die Möglichkeit, die Datensicherung mit speziellen WP-Backup-Plug-Ins vorzunehmen, zum Beispiel mit UpdraftPlus oder einem anderen Tool.
Zum Download von UpdraftPlus
Fazit
WordPress ist eine hervorragende Möglichkeit, um schnell und einfach einen Blog, ein Forum oder eine Webseite zu erstellen. Mit den fünf genannten Tipps lässt sich das Sicherheitsrisiko, Ziel einer Hacking-Attacke zu werden, deutlich minimieren und WordPress sicherer machen. So können Sie sich zukünftig in aller Ruhe auf den Aufbau und die Pflege Ihre Website-Inhalte konzentrieren.
Schöner Beitrag – vielen Dank.
Wenn die zu ergänzenden Code-Teile in einer Textarea zum Herauskopieren zur Verfügung stehen würden, wäre der Beitrag noch schöner und es gäbe für Schreibfaule eine Fehlerquelle weniger (in der FAQ ist es leider auch nur ein Bild). 😉
Hallo Kubuntufrust,
gerne. Kann den Wunsch natürlich verstehen. Das mit dem Code als Bild ist allerdings Absicht ;-), denn der korrekte Pfad muss jeweils indiviuell angegeben werden.
Ich fürchte, die Möglichkeit des einfachen Kopierens wäre eher eine latente Fehlerquelle.
Hallo,
vielen Dank für diesen Artikel – das meiste setze ich sowieso immer um, aber der Tipp, die Login-URL umzubenennen, war mir neu.
Auf einer Kundenseite habe ich jetzt sowohl die Login-URL umbenannt als auch den htaccess-Schutz eingesetzt. Und wenn ich mich jetzt die neue Login-URL eingebe, kommt das htaccess-Eingabefenster gar nicht. Was muss ich ändern?
Hallo,
das ist allgemein schwer zu beantworten. Wenn Sie das Hosting-Produkt für Ihre Kunden bei Host Europe hosten, kann Ihnen unser Support die Sache ansehen und Ihnen gerne weiterhelfen. Teilen Sie uns dafür Ihre Kundennummer und/oder die betreffende Domain mit, auf der sich die entsprechende WordPress-Installation befindet.
Mit besten Grüßen
Wolf-Dieter Fiege
Die htaccess liegt immer im Ordner, wo auch die Login-URL liegt. Solltest Du den Verzeichnisschutz vor der URL Umleitung angelegt haben, könnte hier die Fehlerquelle liegen.
Der Verzeichnisschutz für den geänderten Login wird aufgerufen, wenn man den Namen entsprechend anpasst. Also statt – aber das wird sich inzwischen gelöst haben.
Ich habe den Pfad inzwischen geändert, mit dem doppelten Login abgesichert und dennoch läuft eine Attacke fröhlich weiter… wie kommen die da weiterhin dran? Es muss also noch einen anderen Weg geben, sich einzuloggen. Die Attacke läuft und läuft… sie kommen zwar nicht rein, aber die Nachrichten zu den User Logouts fluten mein Postfach und es nervt langsam. Zudem wird sich das auf den Traffic auswirken, und das wollte ich blockieren… leider hilft auch das nicht.
Hallo Ute,
ohne Einblick in das System ist das schwer zu sagen. Am besten wendest Du Dich an den Support, die können genauer nachschauen, woran es liegt. Wenn Du Kundin bei Host Europe bist, erreichst Du die Kollegen unter: 0800 404 5056
Mit besten Grüßen
Wolf-Dieter
Wie verhält sich die Umbennung des Logins bei einer Shop-Konfiguration mit Woocommerce? Ich habe die Erfahrung gemacht, dass bei der Umbennung des ‚wp-admin‘ mit iThemes-Security, Probleme bei den Kunden-Logins enstehen.
Hallo Karlsky,
vielen Dank für diesen Hinweis. Ja, das kann durchaus sein, in diesem Fall sollten Sie auf die Umbenennung besser verzichten. Allerdings haben wir selbst noch keine Erfahrungen mit diesem Problem gemacht.
Mit besten Grüßen
Wolf-Dieter Fiege
Es gibt auch wesentlich bessere Backup Plugin wie z.B. BackWPup von dem deutschen Hersteller Inpsyde
All in one Security ist ein sehr gutes Plugin. Das Plugin übernimmt fast alle Sicherheitseinstellungen und gibt Hinweise auf Sicherheitslücken. Ich kann dieses Plugin nur empfehlen. Auch das auslagern der wp-config.php in ein höheres Verzeichnis sollte erwähnt werden. Und natürlich den Salt Key in der wp-config.php ändern. Sowie in der Live Schaltung unbedingt wp-debug auf false stellen 😉.
Und als Backup System am besten updraft nutzen (Pro Version erlaubt auch das Backup auf Dropbox, azure, Amazon s3 oder einem anderen ftp). Außerdem ist dieses Plugin perfekt für Migrationen von Entwicklungsservern auf Live Servern.
Obwohl schon etwas älter ist der Beitrag immernoch absolut empfehlenswert. Allem Voran natürlich sichere Passwörter: oft schon erlebt, dass nach Inbetriebnahme von Projekte die Passwörter auf „einache“ Passwörter geändert wurden. Dadurch erhöht sich der Angriffswinkel enorm.
Ich persönlich nutze seit einiger Zeit ebenfalls das All In One Sec Plugin, welches hier bereits genannt wurde.
Guter Artikel, denn nicht mehr und nicht weniger braucht man für eine sichere WP Seite. Nagut, ergänzen könnte man noch die 2 Punkte:
– regelmäßige Updates
– sichere Dateirechte
Diese ganzen WordPress Security Plugins sind nur noch weitere Schwachstellen im System.
Den Verzeichnisschutz und die Änderung des Login-Verzeichnisses sollte man wirklich bei jeder Webseite umsetzen. Für die Änderung der Login-Seite ist „Webcraftic Hide login page“ einen Blick wert.
Wer bezüglich des Datenschutzes unsicher ist, findet hier eine gute Übersicht (unter Punkt 2 sind die Sicherheitsplugins): https://www.blogmojo.de/wordpress-plugins-dsgvo/