WordPress Sicherheit? Och nö, schon wieder Technik.

Dabei hast du doch gerade erst erfolgreich deine Webseite erstellt. Das ist der perfekte Zeitpunkt, sich um Sicherheit zu kümmern.

​4 Gründe, wieso du dein WordPress absichern solltest, habe ich bereits in Teil 1 erwähnt.

​In diesem Teil geht es jetzt darum, wie du den Zugriff auf deine Webseite absicherst.

Hol dir die Tool Tipps direkt in dein Postfach

Zugriffskontrolle

Angreifer nutzen häufig schwache Benutzerdaten, um Zugang zu WordPress Websites zu erhalten. Du kannst dein WordPress absichern, indem du

  • ​starke, eindeutigr Passwörter auf deiner Website verwendest
  • die ​Benutzerrechte einschränkst​
  • die ​Zwei-Schritt- oder Mehr-Faktor-Authentifizierung aktivierst und
  • die Benutzersitzungen einschränkst.

So minimierst du das Risiko eines Hackerangriffs.

​Benutzerkonten

Admin

Die überwiegende Mehrheit der Angriffe richtet sich gegen die Zugriffspunkte

  • wp-admin
  • wp-login.php und
  • xmlrpc.php,

indem sie eine Kombination aus gängigen Benutzernamen und Passwörtern verwenden.

Verwend​e einen außergewöhnlichen Benutzernamen und ​entferne des Standard-Administratorkontos in deiner WordPress-Installation. So machst du es Angreifern viel schwieriger, ihren Weg in deine Website zu erraten (Brute Force).

Ersetze das Standardkonto "admin":

  1. Melde dich als Administrator bei WordPress an.
  2. Wähle im Dashboard Benutzer > Neu hinzufügen.
  3. Erstelle unter Verwendung einer neuen E-Mail-Adresse ein neues Konto und setze die Rolle auf Administrator.
  4. Speicher den neuen Benutzer, melde sich dann ab und melde dich mit deinem neuen Administrator-Konto wieder an.
  5. Wähle im Dashboard die Option Benutzer > Alle Benutzer.
  6. Fahre mit der Maus über den Benutzernamen admin und wähle dann Löschen.
  7. Ordne alte Beiträge dem neuen Administratorkonto zu.
  8. Rollen & das Prinzip der geringsten Berechtigungen

​Das Prinzip der geringsten Berechtigung besteht aus zwei sehr einfachen Schritten:

  • Verwende die minimalen Berechtigungen auf einem System, um eine Aktion auszuführen.
  • Vergebe Berechtigungen nur für die genaue Dauer, für die eine Aktion erforderlich ist.

​Daraus ergeben sich die Rollen für Administratoren, Autoren, Redakteure, Mitwirkende und Abonnenten. ​Sie legen fest, was von einem Benutzer ausgeführt werden kann und was nicht.

​Befolge diese Empfehlungen zur Zugriffskontrolle, um dein Sicherheitsrisiko zu reduzieren:

  • Erstelle neue Benutzerkonten auf der untersten Berechtigungsebene.
  • Erteile nur temporäre Berechtigungen und entziehe den Zugriff, wenn er nicht mehr benötigt wird.
  • Lösche Konten, die nicht mehr verwendet werden.
  • Vergewissere dich, dass die Standardbenutzerrolle auf Abonnent eingestellt ist:
  • Melde dich als Administrator bei WordPress an.
  • Prüfe, ob diese Berechtigung Abonnent nur die Möglichkeit beinhaltet, sich anzumelden und ein Profil zu aktualisieren.
  • Wähle im Dashboard Einstellungen > Allgemein.
  • Stelle die Rolle New User Default Role auf Subscriber ein.

​Authentifizierung

Passwörter

Angreifer nutzen oft Passwortlisten, um WordPress-Websites anzugreifen. Aus diesem Grund verwende immer sichere Passwörter für deine Benutzerkonten.

Sichere Passwörter ​enthalten mindestens:

  • ​einen Großbuchstaben
  • ​einen Kleinbuchstaben
  • ​eine Ziffer
  • ​sowie ein Sonderzeichen und
  • ​bestehen aus 10 Zeichen, mit nicht mehr als zwei identischen Zeichen in einer Reihe.

​Sichere ​Passwörter erstellst du am einfachen mit einem Passwortgenerator. Der erzeug​t eine zufällige Folge von Buchstaben und Zahlen. Heise hat in diesem Blogartikel drei Passwortgeneratoren angesprochen:


PWGcen für Windows

Kessnux Passwort-Generator

Dalenryder Password-Generator


Sie sind alle kostenlos, du kannst sie dir passend für dein System herunterladen und installieren.

Falls du dir nichts installieren möchtest: die Webseite SicheresPasswort.com bietet den Service online an.

​Zwei Faktor Authentifizierung - 2FA

Google Authenticator

Um 2FA zu WordPress mit Google Authenticator hinzuzufügen:

  1. Lade dir den Google Authenticator herunter und installiere ihn auf deinem iPhone oder Android.
  2. Installieren und aktiviere ein 2FA-Plugin für WordPress wie das 2FA von miniOrange.
  3. Wähle miniOrange 2-Faktor links in der Navigationsleiste und folge den Anweisungen.
  4. Sobald du deinen QR-Code erhalten hast, öffne Google Authenticator und klicke auf die Schaltfläche Add unten rechts in der Anwendung.
  5. Scanne den QR-Code, der vom Plugin angezeigt wird, mit der Kamera deines Handys.
  6. Überprüfe den Code auf der Plugin-Seite.
Yubikey

Ein Yubikey ist quasi ein elektronischer Schlüssel, den du an deinen Schlüsselbund hängen kannst. Doch er öffnet nicht deine Haustür, sondern dient als zusätzliche Authorisierung zu einem Passwort. Für deine WordPress-Seite, für Facebook, dein Gmail-Konto oder zur Dropbox.

​Matthias Kurz aus der WordPress Community Deutschland hat das hier im Vortrag beim WordCamp Berlin mal demonstriert.

Der Yubikey sieht aus wie ein kleiner USB-Stick. Bitte auch von dem Key ein Backup machen, damit du bei Verlust eine Kopie hast, die du schnell einsetzen kannst.

​Login-Versuche begrenzen

In der Regel kannst du dich unbegrenzt oft bei deiner WordPress ​Seite anmeld​en. Aber dies macht deine Website anfällig für Brute-Force-Angriffe, da Hacker versuchen, verschiedene Passwortkombinationen zu versuchen.

Füge​ eine zusätzliche Sicherheitsebene hinzu, indem du die Anzahl der Anmeldeversuche für ein Benutzerkonto über ein Plugin ​begrenz​t.

Einige beliebte Plugins​ sind Limit Login-Versuche, WP Limit Login-Versuche und Loginizer.

​CAPTCHAs vor der Anmeldung

Das Akronym steht für Completely Automated Public Turing Test, um Computer und Menschen voneinander zu unterscheiden. ​So verhinderst du, dass automatisierte Bots ​auf dein WordPress Dashboard zugreifen oder Spam über Formulare zu versenden.

​Mit Plugins wie ​Captcha und Really Simple Captcha schiebst du dem einen Riegel vor.

Einige Methoden nutzt du vielleicht schon. Überprüfe mal kurz, wer denn alles Zugang zu deiner Webseite hat und passe die Zugänge ggfs. an. Gehe dann zum nächsten Teil dieser Anleitung über:

proaktive WordPress Sicherheit: triff gute Entscheidungen, die dein WordPress absichern.

Fazit

Du musst nicht alle hier aufgeführten Methoden verwenden. Sichere Passwörter sind jedoch quasi ein muss, auch für andere Bereiche in deinem Business. Zudem solltest du grundsätzlich überlegen, wem du Zugänge zu deiner Webseite einrichtest und sie dann auch löschen, sobald du sie nicht mehr brauchst.


Das könnte dir auch gefallen

Pin It on Pinterest

Share This