Sicherheitstips für WordPress

WordPress ist gilt mittlerweile als „Betriebsystem des Internets“. Etwa 20% aller Internetseiten laufen mit dieser Software. Da verwundert es nicht, wenn im grossen Stil versucht wird Lücken aufzuspüren und auszunutzen.

2013 gab es weltweit mehrere Angriffswellen auf WordPressinstallationen. Dabei wurde versucht in das System einzudrinngen und Schadcode zu platzieren. Besucher solch präparierter Seiten wurden dann infiziert. Momentan ist es wieder ruhiger geworden. Kein Grund die Sicherheit zu vernachlässigen.

Sicherheit ist ein Prozess

Es klingt so einfach, ist es aber nicht. Um WordPress abzusichern muss der Eigentümer immer wachsam bleiben. Generell sind folgende Themen wichtig.

  1. immer die neuste Version der Software verwenden
    • ohne den aktuellen WordPress-Core gibt es keine Sicherheit
    • regelmässig kontrollieren, Updatefunktion benutzen
    • WP-Updatservice nutzen
  2. kein Benutzer sollte admin heissen
    • bei Angriffen werden zuerst Standardbenutzer probiert
    • gute Idee: Initialen des Benutzers, plus WP
    • inaktive Benutzer löschen
  3. sicheres Passwort verwenden
    • 22% der Hacks gehen auf zu leichte Passwörter zurück
    • Passwortgeneratoren benutzen, Passwörter nicht doppelt verwenden
    • sicheren Passwortspeicher nutzen, z.B. 1Password
  4. Verzeichnis wp-admin schützen
    • mit doppeltem Passwortschutz kein Brute Force möglich
    • gute Kontrollmöglichkeit von Loginversuchen
    • Communityfunktionen werden beeinträchtigt
  5. unbenutze Plugins und Themes vom Server löschen
    • 29% der Hacks gehen auf Fehler in Templates zurück
    • regelmässig Pluginupdatefunktion benutzen, Vorsicht bei Plugins die länger als 1 Jahr unaktualisiert bleiben
    • sofort handeln wenn es Aktualisierungen gibt

Weitere Möglichkeiten per Plugin

2 Kommentare
  1. Alex L
    Alex L sagte:

    Ich werde nicht verraten, was ich alles nutze, aber etliches ist auf meinen WordPress-Blogs im Einsatz. Limit Login Attempts und WordFence habe ich seit einer Weile in Verwendung und hoffe, dass es mal ausreicht. Bisher wurde ich auch schon mehrmals von den beiden Plugins per Mail benachrichtigt, dass da jemand was versuchen wollte. Aber da ich im Falle eines WordPress-Blogs niemals „admin“ heisse, dürfte es die Sache für die Angreifer etwas erschweren.

    Es gibt bei WP ein solches Plugin, wobei du einen vollkommen anderen Nutzernamen nehmen kannst. Ich setze es im Hauptblog bei mir ein, mir fällt aber jetzt der Plugin-Name nicht mehr ein. Da war es, glaube ich jetzt zu wissen, dass dein Nutzername in WordPress so und so war, aber als Autor im Blog erscheinst du mit einem anderen Namen. Versuche da mal darauf zu kommen, welchen User-Namen der Blog-Admin wirklicht hat, was nicht möglich sein wird 🙂

    WP wird immer wieder gehackt und es hängt auch damit zusammen, dass die Nutzer einfach zu selten updaten. Es muss immer am selben Tag geschehen, denn die Hacker schlafen auch nie!!

Kommentare sind deaktiviert.