Wie kann ich mein WordPress sicherer machen? Diese Frage scheinen sich manche Kunden nicht zu stellen. Wenn ich mich an so manche Usernamen und Passwörter erinnere, die ich im Laufe der Jahre von Kunden bekommen habe, muss ich doch immer wieder grinsen, leider! Glauben manche Menschen doch tatsächlich, sie müssten ihre Zugangsdaten mit den Namen ihrer Haustiere oder mit Geburtstagen verschönern, um sich diese einfacher merken zu können und wundern sich irgendwann, wenn ihre WordPress Webseite von außen attackiert wird.

Wordpress Attacken und wie man sich dagegen schützen kann
Wie im oberen Bild zu sehen ist, gibt es doch jede Menge Gründe, seine Wordpress Seite sicherer zu machen. Das oben gezeigt Bild ist nur ein kleiner Ausschnitt von ca. 15000 Versuchen in genau einem Jahr. Die Logfiles, in denen versucht wurde, Zugang zu einer WordPress Webseite zu erlangen, umfassen mehr als 750 Seiten.

Was musst Du tun, um Dein WordPress sicherer zu machen?

WordPress sicherer zu machen beginnt schon mit der Installation von WordPress. Bei der Installation wird man gefragt, wie der Datenbank-Präfix lauten soll. WordPress schlägt in der Grundkonfiguration bisher immer „wp“ vor. Das sollte man als erstes immer gleich ändern. Es bietet sich z.B. der Name der Domain an.  So könnte man den neuen Präfix eventuell „md2015_“ nennen oder nur „md15_“. Dabei sind der Fantasie keine Grenzen gesetzt. Hauptsache Du benutzt nicht den vorgegebenen Wert.

Im nächsten Schritt der Installation wirst Du als Administrator auch darum gebeten, einen Benutzernamen und ein Passwort festzulegen. Dummerweise schlägt WordPress dabei immer „admin“ als Benutzernamen vor. Leider benutzen die meisten User auch diesen und übernehmen einfach den vorgeschlagenen Usernamen.

[su_quote]Ganz wichtig! Denke Dir Deinen eigenen Benutzernamen aus, um Dein WordPress von Anfang an sicher zu machen.[/su_quote]

Benutzernamen, die Du auf keinen Fall verwenden solltest!

  • admin
  • webmaster
  • verwalter
  • systemadministrator
  • usw….

Benutze stattdessen Eigenkreationen wie z.B. „KlausausStadt“, „ManfredderTechniker“ oder was Dir sonst so in den Sinn kommt. Natürlich kannst Du diese Benutzernamen auch mit Zahlen kombinieren. Wenn Du Dich nun fragst, ob dieser komische Name dann auch unter Deinen von Dir verfassten Artikeln angezeigt wird, kann ich Dich beruhigen: Nein! Du kannst in Deinem Profil einen eigenen Namen festlegen, der unter Deinen Artikeln als Verfasser angezeigt werden soll.

Nachdem Du Dir nun einen passenden Benutzernamen zugelegt hast, wird als nächstes die Wahl des Passwortes abgefragt. Leider benutzen Menschen auch 2015 noch immer so einfach zu knackende Passwörter wie password, gefolgt von 123456 und 12345678.

Passwörter, die Du auf keinen Fall verwenden solltest:

  • passwort
  • password
  • 123456
  • 12345678
  • usw….

Was ist ein sicheres Passwort?

Sicheres Passwort für Worpress Dashboard erzeugenEin sicheres Passwort, mit dem Du Dein WordPress sicher machen kannst, besteht aus mindestens 12 Zeichen. Darin enthalten sein sollten Groß- und Kleinbuchstaben, Ziffern und Sonderzeichen. Außerdem ganz wichtig:

[su_quote]Ein sicheres Passwort steht in keinem Wörterbuch und existiert genau ein Mal[/su_quote]
und könnte so aussehen wie im rechten Foto dargestellt.

Ich weiß, dass es nicht immer einfach ist, Passwörter zu erstellen. Aber es gibt gute Hilfsmittel wie z.B. im gezeigten Beispiel den Passwortgenerator von 1Password.

Was ist als nächstes zu tun, um WordPress sicher zu machen?

Schreibe Deine Artikel auf Deinem WordPress-Blog nie mit dem Administrator-Benutzer. Am besten legst Du dafür einen separaten Benutzer mit eingeschränkten Rechten an. Diesem Benutzer muss auch eine eigene E-Mail Adresse zugewiesen werden, da Du als Administrator mit der gleichen E-Mail Adresse keinen zweiten Benutzer erstellen kannst.

WordPress, Themes und Plugins immer auf dem neusten Stand halten

Um Dein WordPress sicher zu halten, ist es außerdem wichtig, sich um die Aktualisierung der Software zu kümmern. Damit ist gemeint, dass Du WordPress selbst immer auf die gerade aktuellste Version updaten solltest. Laut einer aktuellen Statistik sieht die Benutzung von WordPress derzeit folgendermaßen aus.

Benutzung WordPress Versionen 2015

[su_accordion]
[su_spoiler title=“Welche WordPress Versionen werden derzeit benutzt? (Stand November 2015)“ style=“fancy“ open=“yes“]

  • WordPress 4 -> 83.3%
  • WordPress 3 -> 16.1%
  • WordPress 2 -> 0.6%
  • WordPress 1 -> weniger als 0.1%

[/su_spoiler]
[su_spoiler title=“Wie ist die Benutzung der verschiedenen WordPress 4 Versionen verteilt? (Stand November 2015)“ style=“fancy“]

  • WordPress 4.3 -> 58.3%
  • WordPress 4.2 -> 24.0%
  • WordPress 4.1 -> 11.3%
  • WordPress 4.0 -> 6.4%

[/su_spoiler]
[/su_accordion]

Achte auch darauf, dass Du außer WordPress zu aktualisieren auch immer Deine Themes und Plugins auf den neusten Stand bringst. Der Grund dafür ist die Anpassung der einzelnen WordPress Plugins und Themes an die jeweilige neueste WordPress Version. Falls ein Plugin nicht auf dem aktuellsten Stand ist und dadurch nicht mehr kompatibel mit Deiner WordPress Version ist, kann es dadurch zu Fehlern oder sogar zum Absturz Deiner Webseite kommen. Womit ich direkt zum nächsten Tipp komme, um die Sicherheit Deines WordPress-Blogs bzw. Deiner WordPress-Seite zu erhöhen.

Der Einsatz von Plugins, um WordPress sicherer zu machen

Um WordPress sicherer zu machen, kannst Du auf jede Menge Plugins zurückgreifen. Zunächst aber solltest Du daran denken, Plugins nur aus vertrauenswürdigen Quellen zu benutzen. Am besten also Plugins immer direkt über das Dashboard installieren oder das entsprechende WordPress Plugin direkt von der offiziellen WordPress Seite herunterladen. Nachfolgend möchte ich einige Plugins bzw. Möglichkeiten auflisten, auf die Du zurückgreifen kannst, um Dein WordPress sicherer zu machen. Ich möchte auch kurz erläutern, was diese bewirken.

[su_accordion]
[su_spoiler title=“Sucuri Security – Auditing, Malware Scanner and Security Hardening“ style=“fancy“ open=“yes“]
Das Sucuri WordPress Sicherheits-Plugin ist ein Sicherheits-Toolset für die Sicherheitsintegritätsüberwachung, Malware-Erkennung und der Verstärkung der Sicherheit Deines WordPress-Blogs
[/su_spoiler]
[su_spoiler title=“Limit Attempts von BestWebSoft“ style=“fancy“]
Das Plugin Limit Attempts von BestWebSoft begrenzt die Anzahl der Login-Versuche von IP-Adressen. Bei dem Plugin hat Ihr die Möglichkeit auch Blacklisten und Whitelisten zu erstellen.
[/su_spoiler]
[su_spoiler title=“Two-Factor Authentication (Google Authenticator)“ style=“fancy“]
Two Factor Authentication, um Webseiten vor unberechtigten Anmeldeversuchen zu schützen. Unterstützung per SMS, QR Code, Push, Google Authenticator
[/su_spoiler]
[su_spoiler title=“BulletProof Security“ style=“fancy“]
BulletProof bietet WordPress-Website Security Schutz für Firewall-Sicherheit, Login Sicherheit, Datenbanksicherheit … effektiv, zuverlässig, einfach zu bedienen …
[/su_spoiler]
[su_spoiler title=“BackUpWordPress“ style=“fancy“]
BackUpWordPress legt automatisch Backups von Deinem WordPress an. Auch manuelle Backups sind möglich sowie individuelle Einstellungen für zeitgesteuerte Backups.
[/su_spoiler]
[su_spoiler title=“Antispam Bee“ style=“fancy“]
Antispam Bee hilft Dir beim Kampf gegen Kommentar-SPAM. Antispam Bee blockiert wirksam Spam Kommentare und Trackbacks und das ohne Captchas
[/su_spoiler]
[/su_accordion]

Fazit

Als Fazit möchte ich einfach nachfolgende Grafik sprechen lassen. Wenn Ihr diese Punkte einhaltet, seid Ihr mit Eurem WordPress-Blog auf der sicheren Seite.

Wordpress sicherer machen 7 Regeln die Sie beachten sollten