Wie du deine WordPress Sicherheit in 15 Minuten vervielfachst

Jeder mag Sicherheit. Ich zeige dir wie du deine WordPress Sicherheit in 15 Minuten, um ein vielfaches erhöhst. Ein optimales Verhältnis aus Sicherheit für den Anfang und Zeitinvestition.

Vorallem wenn du viel Zeit und Arbeit in deinen Blog steckst. Ein gewisses Grundmaß an Sicherheit sollte jeder Website Betreiber als Vorraussetzung ansehen. Schließlich ist das Internet für jede X beliebige Person zugänglich und bringt ein potentieller Angreifer die nötige Kompetenz mit, kann es schnell gefährlich für deine Internetpräsenz werden.

Damit du ein Gespür bekommst, wie wichtig die digitale Sicherheit heutzutage selbst für den einzelnen privaten Blogger sein kann, siehst du hier.

Der Screenshot zeigt Google-AdWords und wie oft solche Keywords wie „wordpress hack“ oder „wordpress bruteforce“ in der Google-Suche benutzt werden, ob für gute Absichten oder schlechte, das sei mal dahingestellt.

Diese Grafik habe ich aus einer bekannten öffentlich zugänglichen Website, auf der ausschließlich Schadsoftware angeboten und auf Sicherheitslücken aufmerksam gemacht wird. Sogenannte Exploits nutzen Sicherheitslücken in Programmen aus und verschaffen Angreifern Zugang zu beispielsweise, DEINER WordPress Website.

 

Heute zeige ich dir, wie du in 15 Minuten, deinen WordPress Blog, um ein vielfaches sicherer machst. Es gibt zahlreiche ausführliche Anleitungen im Netz, die jeder finden kann, mit den Stichworten: „WordPress Sicherheit“, „WordPress konfigurieren für mehr Sicherheit“ …

Diese ausführlichen Anleitungen fordern von dem Nutzer oftmals viel Zeit und sehr viele enthalten eine endlose Liste von WordPress-Plugins, die man am besten alle gleichzeitig installieren soll. Plugins sind toll und erfordern keinerlei Programmierkenntnisse, doch bei steigender Anzahl an WordPress Plugins, sinkt gleichzeitig deine WordPress Performance.

Das soll keine Kritik gegenüber diesen ausführlichen Tutorials sein! Im Gegenteil: Jede Aufklärung im Bereich Sicherheit, egal für welchen digitalen Bereich, sollte jedem Nutzer einfach zugänglich sein. Viele dieser Anleitungen sollen dem Nutzer eine Übersicht der aktuellen Plugins auf dem Markt verschaffen, aus denen er dann selber seine liebsten auswählen soll.

 

Ich bevorzuge eher gut ausgewählte Plugins, die man gezielt einsetzt und manuelle Sicherheitsmaßnahmen, die man selbstständig ausführt. Dieses gesunde Verhältnis an digitaler Sicherheit, soll dir Effizienz und bleibende Performance für deine Website bringen.

Genau das werde ich dir jetzt zeigen: 1 Plugin und 6 manuelle Sicherheitsmaßnahmen , die du in weniger als 15 Minuten erledigt hast. Danach kannst du immer noch entscheiden, ob du gewisse Aspekte aus anderen ausführlichen Anleitungen übernehmen möchtest oder ob du dich intensiver mit digitaler Sicherheit beschäftigen willst. Ich werde in absehbarer Zukunft, das ausführlichste WordPress Sicherheits Tutorial schreiben, dazu aber noch etwas Geduld.

 


1. Also es ist so..

Es gibt keine 100% Sicherheit! Man kann es den Angreifern schwieriger machen und sie müssen mehr Aufwand betreiben. Das kostet Zeit. Beruhigend ist, das die Wahrscheinlichtkeit gering ist, dass eine fremde Person ohne spezielles Motiv, deine WordPress Internetpräsenz angreifen wird. Weniger beruhigend: Wenn es jemand wirklich darauf anlegt und sehr viel Zeit investiert, wird derjenige irgendwann eine Sicherheitslücke finden und diese ausnutzen, um Zugang zu erhalten. Egal welche Sicherheitsmaßnahmen du ergreifst. Die häufigsten Angriffe passieren zufällig durch Bots, die vollautomatisiert nach Sicherheitslücken suchen und ausnutzen.

Halte dich an die Grundregeln

Das beinhaltet ein ausreichend starkes Passwort für alle deine Logins. Ein schlecht gewähltest Passwort siehst so aus: passwort

Gute Passwörter haben eine Zeichnlänge von über 13 Zeichen, beinhalten Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen. Also auch keine einfachen Wörter, die Angreifer in Wörterlisten finden können. Du musst es nicht übertreiben. Hier noch ein gutes Passwort Beispiel: mErGg5mW#1v9)

Außerdem solltest du dein WordPress, Plugins und Theme IMMER aktuell halten, durch regelmäßige Updates. Für Angreifer sind nicht aktualisierte Software Systeme eine Einladung, da schon bekannte Sicherheitslücken, nicht mit Updates behoben wurden und primär die oben angesprochenen Bots, die automatisiert nach alten Sicherheitslücken suchend agieren, genau ihr Futter finden. Wenn du das nicht möchtest, dann halte dich an Updates. Am besten automatisierst du es bequem unter deinen WordPress Einstellungen, damit verpasst du keine Sicherheitsupdates und es kostet dich keine Mühe.

Die letzte Grundregel: Lade dir keine Warez. Damit meine ich: Illegal beschaffte oder verbreitete Schwarzkopien, unbedeutend aus welcher Quelle diese kommen! Raubkopien können Schadsoftware beinhalten, die unauffällig in zBsp. WordPress Themes oder Plugins eingeschleust wurden und dich, sowie deine Nutzer, ausspionieren. Du betreibst eine öffentlich zugängliche Website, hast für deine Nutzer eine gewisse Verantwortung und im schlimmsten Fall, haftest du als Betreiber sogar. Das lässt sich aber ganz einfach vermeiden. Es gibt genug kostenlose Themes und Plugins für WordPress, die für den Anfang vollkommen ausreichen. Wem das irgendwann nicht mehr ausreicht und sowieso jeden Monat für seinen Hoster ein paar € investiert, der findet professionelle WordPress Themes & Templates, sehr günstig zBsp. bei Themeforest.

 

2. Hide My WP – Security Plugin

Ein Plugin und nicht mehr. Das Sprichwort: „Weniger ist manchmal mehr.“ ist hier berechtigt. HideMyWP zählt zu den Top#1 meist verkauften Sicherheit-Plugins für WordPress und ist zu finden bei Codecanyon (im EnvatoMarket wie Themeforest).  Es versteckt die WordPress Website als solche, vor automatisierten Angreifern wie Bots, die gezielt nach WordPress Installationen suchen, um Sicherheitslücken auszunutzen und schützt mit der Unkenntlichkeit vor genau diesen. Zusätzlich beinhaltet HideMyWP eine stark ausgereifte Firewall mit jede Menge Features. Das Plugin ist auch als kostenlose Lite Version verfügbar. Perfekt oder?

 

3. Neue Sicherheits-Schlüssel

Generiere neue Sicherheitsschlüssel, von WordPress.org über die Suche: „random secret key generator“ dort findest du diesen Link: https://api.wordpress.org/secret-key/1.1/salt/

Das würde so aussehen

Markiere den kompletten Inhalt wie auf diesem Bild, kopiere es und öffne über ein FTP Client zBsp. „FileZilla“ die Datei wp-config.php mit einem Texteditor. Die Datei liegt im Stammverzeichnis von WordPress. Dort findest du auch die Ordner wp-admin, wp-includes und wp-content. Überschreibe genau den Inhalt, den du kopiert hast und speichere die Datei ab. Du kannst Sie jetzt mit neuen Sicherheitsschlüsseln hochladen. Verwende am besten SFTP statt einfaches FTP, also einen verschlüsselten Datenverkehr beim Zugriff auf deine WordPress Verzeichnisse.

 

4. wp-config.php verschieben

Verschiebe einfach deine gerade bearbeitete wp-config-php Datei ein Verzeichnis weiter nach oben.

Von: verzeichnis/struktur/wordpressRoot/wp-config.php

Nach: verzeichnis/struktur/wp-config.php

Das wars.

 

5. Rechte neu vergeben

Viele Dateien müssen von WordPress nur gelesen werden können, um funktionsfähig zu bleiben. Wenn keine Schreibrechte vergeben sind, können auch Angreifer wichtige Dateien nicht zu ihren Gunsten positiv verändern. Über „FileZilla“ vergibst du deiner bearbeiteten Datei wp-config.php (die jetzt ein Verzeichnis drüber liegt), die Dateiberechtigung (FileZilla, Rechtsklick auf Datei) den numerischen Wert: 400

Für die Datei .htaccess solltest du auch der Dateiberechtigung den numerischen Wert: 644 geben.

Wenn du möchtest, kannst du alle WordPress Verzeichnisse und Dateien, eine neue Berechtigung zuweisen. Dazu musst du folgenden Code in deine wp-config.php schreiben, speicher und hochladen.

define('FS_CHMOD_DIR', (0755 & ~ umask()));

define('FS_CHMOD_FILE', (0644 & ~ umask()));

Alle Ordner haben den numerischen Wert: 755

Alle Dateien haben den numerischen Wert: 644

 

6. Uploadverzeichnis schützen

Im WordPress Dashboard kannst du über die Mediathek -> Bilder deinen Uploadpfad auslesen, öffne ihn und speichere eine leere index.php Datei darin ab (Texteditor -> Neue Datei -> Speichern unter..). Somit können die Dateien, bei fremder Abfrage, nicht aufgelistet werden und der Inhalt des Uploadsordners bleibt unkenntlich.

 

7. Ändere deinen Datenbanken-Präfix

Der Standard Präfix für WordPress Installationen lautet meistens WP_xxxxxxxxx. Das ist nicht optimal, weil vorallem automatisierte Angreifer Bots, schon mal eine Adresse haben und wissen wo sie ihr Brecheisen ansetzen müssen. Besser ist es den Präfix deiner Datenbank zu ändern, in der wp-config.php Datei unter dem Eintrag: $table_prefix = ‚wp_‘;

Diesen table_prefix änderst du nach deiner Wahl. Nur Zahlen, Buchstaben und sind erlaubt. Beispiel: $table_prefix = ‚b90spie3L_pr2AE7F1X‘;

 


Wir sind fertig. Du hast jetzt elementare Sicherheit für dein WordPress.

Es gibt noch mehr Methoden wie die gerade erläuterten, mit denen du weitere Sicherheit-Feinheiten abstimmen kannst.

Du solltest dir Gedanken darüber machen, deinen Website-Datenverkehr zu verschlüsseln. Hast du dich schon mal gefragt, warum vor bestimmten Domains ein HTTPS steht und andere wiederum nur ein HTTP vor ihrer Adresse stehen haben? Websites in denen sensible Daten zwischen Besucher und Server hin und her geschickt werden, zBsp. Seiten von Banken, Social Media oder großen Unternehmen, benutzen die verschlüsselte Variante HTTPS (sie sollten es). HTTP ohne S bedeutet: nicht verschlüsselt.

Du solltest auch HTTPS verwenden. Das schafft vertrauen gegenüber deinen Nutzern und die ganze Internet Gemeinschaft profitiert davon.

Ich zeige dir wie du ein SSL Zertifikat kostenlos, ganz einfach, in wenigen Schritten bekommst.

 

Teile deine Erfahrung mit mir über die Kommentare oder via Email!

Auf welche Sicherheits-Techniken greifst du für deine Website zurück? Verwendest du auch schon HTTPS für deinen Blog / Website also ein SSL Zertifikat?

 

Alfahosting - WordPress-Hosting

 

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.