GlobalSign Blog

11 Apr 2017

10 einfache Tipps für eine sichere WordPress Website

Wir freuen uns, Ihnen heute Tony Messer, Mitgründer des britischen Web-Hosting Unternehmens pickaweb.co.uk als Gastautor vorstellen zu dürfen. Herr Messer hat das Unternehmen zusammen mit Pilar Torres Wahlberg gegründet und sie bieten seitdem hoch qualitative Hosting-Dienste für tausende von klein- und mittelständischen Unternehmen an.

Nutzen Sie WordPress? Falls ja, dann haben Sie eine gute Wahl getroffen. Dank einfacher Benutzerführung, vielen tollen Features und starkem SEO ist es kein Wunder, dass WordPress das weltweit führende Content Management System (CMS) ist.

Aber durch diesen Zuspruch entstehen auch Risiken. Genau wie andere beliebte Softwares zieht WordPress Hacker an, die auf verschiedenen Wegen versuchen Ihre Seite zu missbrauchen. Und Sie wollen auf jeden Fall vermeiden, dass Ihre Website gehackt wird, wegen Malware vom Netz genommen wird oder Phishing-E-Mails verschickt.

Die Kosten, um Ihren Ruf wiederherzustellen sind extrem hoch, mal ganz abgesehen von den Kosten, um den Angriff zu beheben und Ihre Website wieder auf ein sicheres Level zu bekommen. Es kann außerdem sehr lange dauern, bis Sie das Vertrauen von Kunden zurückgewonnen haben. Und das alles abgesehen vom schlechteren Suchmaschinenranking, falls Google Ihre Website als zu unsicher einstuft.

Aber kein Grund zur Sorge. Sie können Ihre WordPress Seite mit ein paar einfachen Schritten sichern und so die Mehrheit der Hackingversuche verhindern.

Hier folgen zehn einfache Schritte, mit denen Sie Ihre WordPress Seite sichern können.

1. Tipp – Login mit Zwei-Faktor-Authentifizierung

Zwei-Faktor-Authentifizierung (2FA) beim Login ist eine der einfachsten, aber auch effektivsten Möglichkeiten sich gegen Brute-Force-Angriffe zu schützen. Sie fügen einen zusätzlichen Sicherheitsschritt beim Login hinzu, indem eine ID abgefragt wird, wie z.B. ein auf dem Handy generierter Code oder eine Geheimfrage.

Der WP Google Authentifizierungs-Plugin ist ein hervorragendes Beispiel eines 2FA-Plugin, das schnell installiert werden kann, um Ihre Website zu sichern.

2. Tipp – Loginversuche einschränken

Um hartnäckige Hacker und unautorisierte manuelle Loginversuche zu verhindern, kann die Anzahl an möglichen Loginversuchen eingeschränkt werden.

Das WP Limit Login Plugin verhindert versuchte Brute-Force-Angriffe auf Ihre Login-Seite, indem IP-Adressen geblockt werden, die in einer bestimmten Zeit die erlaubte Anzahl an fehlgeschlagenen Logins überschreiten.

3. Tipp – Den Admin Login URL ändern

Die meisten Nutzer belassen den WordPress Admin Login auf der voreingestellten URL, die normalerweise entweder mit wp-admin oder wp-login.php endet.

Indem Sie dies auf eine weniger berechenbare Endung wie /wp-login.php? oder my_login.php usw ändern, machen Sie Ihre Seite sicherer.

Allein dieser einfache Schritt verhindert die meisten der automatisierten Brute-Force-Angriffe, die auf Standard Admin URL Seiten abzielen. Das iThemes Sicherheit Plugin ist ein umfassendes Sicherheitsplugin, mit dem Sie die URL abändern können.

4. Tipp – Sicherere Passwörter

Manchmal sind die einfachsten Optionen die effektivsten. Ein neues Passwort ist Grundvoraussetzung für gute Sicherheit.

Seien wir mal ehrlich: wenn Ihr Passwort so einfach wie abcd123 ist, dann ist es nur eine Frage der Zeit, bis jemand Ihre Seite hackt. Optimalerweise sollte Ihr Passwort aus einer Kombination von Klein- und Großbuchstaben, Sonderzeichen und Zahlen bestehen, und mindestens 10 Zeichen lang sein.

Falls Sie Hilfe bei der Erstellung von sicheren Passwörtern brauchen, können Sie dieses Tool zur Generierung von Passwörtern nutzen.

5. Tipp – Das WP-Admin Directory mit einem Passwort schützen

Das wichtigste Directory Ihrer WordPress Website ist das WP-Admin Directory. Es macht daher Sinn dieses mit einem Passwort zu schützen, um einen weiteren Sicherheitsschritt hinzuzufügen – einen beim Login und einen für den WordPress Admin Bereich. Dabei hilft das AskApache Passwortschutz Plugin.

Ein Administrator muss natürlich oft auf bestimmte Directorys in WP-Admin zugreifen. Es erleichtert die administrativen Vorgänge, wenn diese Directorys freigegeben sind, und die restlichen gesperrt sind.

6. Tipp – Starke Passwörter für Benutzer-Accounts

Wenn Ihr Blog mehrere Benutzer hat, z. B. andere Blog-Autoren oder externe Mitwirkende, ist es am besten sie zu starken Passwörtern zu zwingen.

Ein Plugin wie Force Strong Passwords sichert Ihren Admin-Bereich. Das Plugin zwingt Benutzer sichere, schwer zu knackende Passwörter zu nutzen, die den Richtlinien für gute Passwörter entsprechen, wie verschiedene Zeichen (Groß- und Kleinbuchstaben), Zahlen und Sonderzeichen.

7. Tipp – Auf HTTPs umstellen (SSL/TLS)

In einer Man-In-The-Middle Attacke (MITM) werden Daten zwischen zwei Parteien von einem Lauscher abgefangen, der die gesendeten Daten überwacht.

Am einfachsten kann man dies verhindern, indem man mit einem SSL Zertifikat vom unsicheren http zum sicheren HTTPs wechselt. Dadurch entsteht ein verschlüsselter, undurchdringlicher Link zwischen dem Browser und dem Webserver.

Zusätzlich zu stärkerer Sicherheit hilft HTTPs auch Ihr Google Ranking zu verbessern. Sie profitieren also nicht nur von besserer Sicherheit, sondern auch von einem besseren Ranking!

8. Tipp – WordPress Dateien proaktiv überwachen

Falls Ihre WordPress Dateien von einem Hacker unbefugt verändert werden, ist es wichtig, dass Sie dies so schnell wie möglich wissen, um den Schaden zu minimieren. Mit Plugins wie Acunetix WP Sicherheit oder Wordfence können Sie Ihre WordPress Dateien überwachen, Änderungen im Überblick behalten und gemeldet bekommen.

Wordfence ist in der Tat einer der meist installierten Sicherheitsplugins auf WordPress. Es besteht aus live Sicherheitsscans, Überwachung, Angriff-Erkennung und Abwehr-Features. Falls Sie also auf der Suche nach herausragender, allumfassender Sicherheit sind, dann sollten Sie dieses Plugin definitiv berücksichtigen.

9. Tipp – Regelmäßige Backups

Falls Sie die Tipps in diesem Blog beherzigen, wird Ihre Seite hoffentlich nicht gehackt. Falls dies aber doch passiert, wollen Sie sicher auf gar keinen Fall wieder ganz von vorne anfangen oder herumrätseln, wie Sie die infizierten Dateien entfernen und Ihre Seite wieder sicher machen.

Am besten machen Sie regelmäßige Backups von Ihrer Seite. Damit können Sie später, falls notwendig, auf eine gesicherte, funktionsfähige Version zurückgreifen. Es gibt eine Anzahl an WordPress Plugins die Ihnen dabei helfen, wie z.B. VaultpressBackup Buddy oder blogVault.

Manche davon sind kostenpflichtig, aber wenn man es mit dem Preis einer gehackten Website ohne Backup vergleicht, dann ist es das Geld wert.

10. Tipp - WordPress und Plugins regelmäßig updaten

Als Hosting-Unternehmen sehen wir am häufigsten Sicherheitsprobleme, wenn WordPress oder anderen CMS Systeme, wie Joomla eine veraltete Version oder Plugin nutzen.

Hacker finden am häufigsten Zugang zu Ihrer WordPress Website, wenn diese nicht gepacht oder auf die aktuellste Version upgedatet wurde. Aber viele Plugins laden automatisch neue Updates, und es ist eine Überlegung wert diese einzuführen.

Ab Version 3.7 hat WordPress eine automatische Update-Funktionalität. Falls Sie nicht sicher sind, ob Sie die aktuellste Version verwenden, können Sie dies auf der offiziellen WordPress Seite prüfen.

Tipp: Laden Sie Plugins nur von der offiziellen WordPress Website herunter. So können Sie sicherstellen, dass Sie nicht aus Versehen Malware auf Ihre Website herunterladen.

Zusammenfassung

Wie sie sehen gibt es viele einfache Dinge die Sie tun können, um zu verhindern, dass Ihre Website gehackt wird. Einige sind einfache Vorgänge, wie komplexe Passwörter, aber es gibt auch viele Plugins, die nur dafür entwickelt wurden, um Ihre Website sicherer zu gestalten.

Denken Sie dran: oft sind es die einfachen Dinge, die verhindern, dass Ihre Website gehackt wird.

Herr Messer hilft seinen Kunden mit Leidenschaft das Beste aus deren Online-Auftritt herauszuholen. Er ist Autor des Buchs ‚The Lazy Website Syndrome‘, das auf Amazon eine 5-Sterne Bewertung hat. Es gibt dem Leser einen einfachen 3-Schritte-Ansatz, um das Unternehmen dank Online Marketing wachsen zu lassen. Herr Messer wohnt derzeit im Süden von Spanien.

Pickaweb bietet eine ganze Auswahl an Diensten für Klein- und Mittelständler, einschließlich Domainnamen, Web Hosting, Reseller Hosting, virtuelle und private Server, Cloud Server, zweckgestimmte Server, SSL Zertifikate und einfache Programme zur Website-Erstellung.

Artikel teilen