WordPress ist eines der populärste Content-Management-System für alle, die einen Blog oder schnell und einfach ihre eigene Internetpräsenz einrichten wollen. Aber leider ist WordPress immer wieder auch Zielscheibe für Angriffe aus dem Netz. Eine der wichtigsten Maßnahmen sind z.B. regelmäßige Updates (inklusive Updates der eingesetzten WordPress-Plug-Ins). In einem früheren Artikel habe ich bereits einige wichtige Hinweise zum Schutz vor Hacking zusammengestellt.
Auch die Wahl eines professionellen und zuverlässigen Hosting-Anbieters mit klar definierten Service-Level-Agreements, wie Host Europe, trägt zum Schutz Ihrer Seite bei. Doch Sie können noch mehr tun. In diesem Artikel möchte ich Ihnen 5 weitere Möglichkeiten vorstellen, wie Sie Ihre WordPress-Seiten schützen können.
Viele Hacker gehen bei Ihren Attacken sehr simpel vor, um sich Zugang zu einer fremden Webseite zu verschaffen. Sie nutzen die Brute-Force-Methode (das einfache Ausprobieren). Dieses Vorgehen ist in der Praxis häufig immer noch erfolgreich, da die Angreifer meist nur zwei Variablen zu „knacken“ haben.
- Das Passwort
- Den Benutzernamen für den Administrationsbereich
Schon mit einem normalen PC und der entsprechenden Software lassen sich innerhalb von Sekunden Millionen unterschiedlicher Varianten ausprobieren. Noch leichter wird es für Hacker, wenn die beiden Variablen so leicht zu erraten sind, dass sie praktisch gar keine Barriere darstellen
Tipp 1: Verwenden Sie sichere Passwörter
Einfache, kurze und unsichere Passwörter sind ein echtes Sicherheitsrisiko. Nicht nur für den Login zu Ihrem WordPress-Dashboard, sondern auch generell sollten Sie immer sichere Passworte verwenden. Die Minimalvoraussetzungen für ein sicheres Passwort sind:
- Ein Passwort sollte aus mindestens acht bis zehn Zeichen bestehen – gerne auch länger.
- Die gewählte Zeichenkette darf in keinem Wörterbuch vorkommen und auch kein Bestandteil eines Begriffs sein.
- Verwenden Sie möglichst Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen (! “ ? $ % ^ & ).
Jetzt werden Sie vielleicht einwenden, dass sich komplexe Passwörter nur schwer merken lassen.
Verwenden Sie einfach folgenden kleinen Trick: Denken Sie sich einen Satz aus und entwickeln Sie daraus Ihr persönliches Passwort. So wird zum Beispiel aus den beiden Sätzen:
Wie merke ich mir ein “Passwort“? Ich mache einen Satz daraus!
das sichere Passwort:
Wmim1“P“?Im1Sd!
Tipp 2: Ändern Sie generische Benutzernamen
Mindestens ebenso sorglos legen viele WordPress-Anwender Ihren Benutzernamen fest. Sehr häufig wird als Benutzername mit Administrationsrechten einfach eine Standard-Bezeichnung wie Admin, Administrator, Redaktion oder die Kontakt-E-Mail-Adresse etc. verwendet.
So leicht sollten Sie es einem Hacker nicht machen. Ziehen Sie Schutzmauer um Ihre Webseite lieber etwas höher und ändern Sie unsichere Benutzernamen in sichere.
Loggen Sie sich dazu in das Dashboard Ihrer WordPress-Installation ein.
-
- Klicken Sie unter Benutzer auf den Menüpunkt Neu hinzufügen.
- Geben Sie einen neuen, sichereren Benutzernamen an und weisen Sie diesem neuen Benutzer die Rolle eines Administrators zu.
- Testen Sie den neuen Zugang und löschen Sie dann alle alten und unsicheren Benutzer mit Administrationsrechten.
Tipp 3 – Ändern Sie die Login-URL zum Administrationsbereich Ihrer WordPress-Seite
In der Regel ist der Login zu Ihrer WordPress-Seite spielend leicht zu finden, denn die Standard-URL wird von WordPress nach folgendem Muster angelegt: www.IHREDOMAIN.XX/wp-admin/. Eine clevere Möglichkeit, um sich vor Hacking-Attacken zu schützen, besteht darin, den Standard-Pfad durch eine individuelle Login-URL zu verschleiern. Sie benötigen dafür lediglich ein entsprechendes Plugin.
Unter wordpress.org/plugins finden Sie dazu eine reiche Auswahl an Plug-Ins, mit denen Sie die wp-login.php einfach umbenennen können. Zum Beispiel: Rename WP-Login.php, Custom Login URL, Protect Your Admin, Good Bye wp-admin oder ein anderes Plug-In.
Zum Download von Protect Your Admin
Zum Download von Good Bye wp-admin
Für die folgende Darstellung habe ich Rename WP-Login.php genutzt.
Zum Download von Rename wp-login.php
Zum Download von Custom Login URL
Installieren Sie zuerst das Plug-In und aktivieren Sie dieses. Anschließend können Sie über das Menü Einstellungen benutzerfreundliche URL-Strukturen für Permalinks und Archive anlegen sowie unter anderem auch Ihre Login URL individuell umbenennen.
Mit diesem kleinen Trick haben Sie eines der wichtigsten Angriffsziele für Hacker versteckt.
Tipp 4 – Richten Sie einen Verzeichnisschutz für den Administrationsbereich ein
Ein weiterer sehr wirksamer Hacking-Schutz besteht darin, den Administrationsbereich Ihrer WordPress-Installation durch einen Verzeichnisschutzes abzusichern. Mit Hilfe der .htaccess Datei, die standardmäßig von WordPress angelegt wird, können Sie den Zugriff auf die wp-login.php sowie das WordPress-Verzeichnis absichern.
Dazu müssen Sie der in Ihrem WordPress-Verzeichnis befindlichen .htaccess-Datei lediglich den weiter unten beschriebenen Code hinzufügen sowie eine .htpasswd-Datei erstellen.
Beginnen Sie mit der .htpasswd-Datei. Verwenden Sie für die Erstellung der .htpasswd-Datei einen Editor wie zum Beispiel den Windows Editor, Wordpad oder Notepad++. Legen Sie zunächst eine leere Datei an, die Sie .htpasswd nennen. Zum Upload benötigen Sie einen FTP-Zugang zu Ihrem Hosting-Produkt.
Hinterlegen Sie dieser Datei nun die Benutzernamen und Passwörter derjenigen Personen, die auf das WordPress-Verzeichnis zugreifen dürfen. Die Kommandozeile sieht dann folgendermaßen aus:
Selbstverständlich sollten Sie Passwörter verschlüsseln, bevor Sie diese abspeichern. Eine komfortable Möglichkeit für die Verschlüsselung bietet Ihnen der Htpasswd Generator.
Geben Sie einfach in der ersten Zeile den Benutzer und in der zweiten Zeile das entsprechende Passwort ein. In meinem Beispiel:
Beispiel-User
Mein!P@ssw0rD
Klicken Sie anschließend auf Create .htpasswd.file
Beispiel-User:$apr1$8yyUwP/x$KIjdU72dlF8WdjKIuYZwo1
Das Tool erstellt für Sie automatisch die komplette Kommandozeile inkl. des verschlüsselten Passworts. Sie brauchen diese Zeile nun nur noch in Ihre .htpasswd- Datei zu kopieren. Tragen Sie auf diese Weise alle Benutzer ein, die Zugang zum Administrationsbereich Ihrer WordPress-Installation erhalten sollen.
Zum Upload in das WordPress-Verzeichnis benötigen Sie einen FTP-Account zu auf Ihrem Hosting-Paket.
Öffnen Sie nun die .htaccess-Datei in Ihrem WordPress-Verzeichnis mit einem Editor und ergänzen Sie folgenden Code.
Wichtig: Geben Sie den vollständigen Pfad zu der von Ihnen erstellten htpasswd-Datei an. Sie können diese Datei im Hauptverzeichnis Ihrer WordPress-Installation oder – noch versteckter – in einem beliebigen Unterverzeichnis ablegen.
Die Pfadangabe setzt sich aus zwei Teilen zusammen:
-
- Der Pfadangabe zu Ihrem Hosting-Produkt (Sie können diese in unserem Kunden-Informations-System (KIS) einsehen). Wählen Sie dazu Ihr Produkt aus. Klicken Sie auf konfigurieren und wählen Sie dann unter Allgemeines den Menüpunkt Allgemeine Informationen – Pfad.
- Als zweiter Teil folgt die Pfadangabe zu dem Verzeichnis auf Ihrem Hosting-Produkt, in dem Sie die htpasswd-Datei abgelegt haben.
Der vollständige Pfad folgt diesem Muster: AuthUserFile /is/htdocs/wpxxxxxxxx_xxxxxxxx/ [Pfad zum Produkt]xxxx/xxxx/.htpasswd[Pfad zur Datei]
Sie können auch ein Tool wie How to find the full path to a file using PHP verwenden, um sich direkt den kompletten Pfad anzeigen zu lassen.
Speichern Sie nun die erweiterte .htaccess-Datei im WordPress-Verzeichnis Ihres Hosting-Produkts.
Wichtiger Hinweis! Um Updates Ihrer WordPress-Installation durchführen zu können, muss der Verzeichnisschutz zuvor deaktiviert sein.
Tipp 5 – Erstellen Sie regelmäßig Backups für den Worst Case
Trotz aller Sicherheitsmaßnahmen sollten Sie immer auf den Worst Case vorbereitet sein. Denn es kann immer etwas schief gehen. Erstellen Sie daher regelmäßig Backups Ihrer WordPress-Seiten. Das ist sehr wenig Aufwand im Vergleich zu der Zeit, die Sie für den Neuaufbau Ihres Contents brauchen würden. WordPress bietet Ihnen dafür standardmäßig eine Backup-Funktion. Unter dem Menüpunkt Werkzeuge Daten exportieren können Si e wählen, ob Sie alle oder bestimmte Inhalte Ihrer WordPress-Seiten zum Beispiel auf Ihrem PC bzw. einem externen Speichermedium sichern möchten.
Darüber hinaus haben Sie natürlich auch die Möglichkeit, die Datensicherung mit speziellen WP-Backup-Plug-Ins vorzunehmen, zum Beispiel mit UpdraftPlus oder einem anderen Tool.
Zum Download von UpdraftPlus
Fazit
WordPress ist eine hervorragende Möglichkeit, um schnell und einfach einen Blog, ein Forum oder eine Webseite zu erstellen. Mit den fünf genannten Tipps lässt sich das Sicherheitsrisiko, Ziel einer Hacking-Attacke zu werden, deutlich minimieren und WordPress sicherer machen. So können Sie sich zukünftig in aller Ruhe auf den Aufbau und die Pflege Ihre Website-Inhalte konzentrieren.