safe-913452_640Viele Anwender von WordPress machen sich Gedanken, ob die Website wirklich gut vor Hackerangriffen geschützt ist. Da werden aufwändige Firewall-Plugins installiert und diverse Kniffe ausprobiert, um es den Hackern schwerer zu machen.

Aber kaum jemand realisiert, dass man schon bei der ersten Installation das System gut absichern kann, durch diese vier einfachen Verhaltensregeln:

1) Verwende niemals »admin« als Adminstrator-Account.

WordPress hat eine bewegte Vergangenheit, schließlich ist es bereits einige Jahre alt und die Software wird ständig in Bezug auf Sicherheit weiterentwickelt. So legte WordPress früher automatisch einen Benutzer »admin« an, der dann vollen Zugriff auf das System hatte.

Das macht WordPress aber schon lange nicht mehr. Dennoch sind die meisten Anwender so daran gewöhnt, dass der Benutzer mit den meisten Zugriffsrechten »admin« heißen sollte, dass sie diesen Account automatisch anlegen.

Nehmen Sie lieber einen unverfänglichen Namen, denn der Benutzer »admin« wird von allen Hackern immer zuerst angegriffen. Benutzen Sie auch nicht den Namen Ihrer Domain, denn auch der ist ein beliebtes Angriffsziel. Im deutschsprachigen Bereich können Sie gern »verwalter«, »chef« oder »hausmeister« verwenden.

Tipp: Wenn Sie den Account »admin« schon angelegt haben, erstellen Sie einfach einen neuen Benutzer als Administrator und ändern Sie die Zugriffsrechte für »admin« auf »subscriber«. Falls tatsächlich mal jemand den admin-Zugang hacken kann, wird er sich wundern, wenn er keine Zugriffsrechte bekommt.

2) Benutze immer ein starkes Passwort.

Dazu ein Auszug aus meinem Buch: »Website Selbermachen: Moderne Internetseiten mit WordPress erstellen«:

Beim Passwort sollten Sie unbedingt alle leicht zu erratenden Worte vermeiden. Das sind eigentlich alle Bezeichnungen, die in irgendeinem Wörterbuch stehen. So versuchen Hacker nämlich, Ihre Passwörter herauszufinden. Eine spezielle Software kombiniert einfach alle im Wörterbuch enthaltenen Begriffe und probiert sie aus. Dabei werden auch Zeichen durch Zahlen ersetzt. So wird aus dem »l« eine »1«, oder das »E« wird durch die »3« ersetzt. Viele Leute glauben, dadurch das Passwort sicherer machen zu können.

Eine solche Aktion nennt man »Brute-Force Angriff«, weil hier mit roher Gewalt einfach alle möglichen Kombinationen ausprobiert werden. Es gibt jedoch Möglichkeiten, solche Angriffe über ein Plugin zu verhindern, einfach indem nach einigen erfolglosen Login-Versuchen, eine gewisse Zeitspanne als Zwangspause eingelegt wird. Damit lassen sich solche Einlog-Versuche deutlich verlangsamen, sodass die Erfolgsaussichten für den Hacker geringer werden.

Wirklich sicher ist ein Passwort erst dann, wenn es aus einer zufälligen Reihenfolge von Buchstaben, Zahlen und Sonderzeichen besteht. Natürlich möchten Sie ein Passwort nutzen, welches Sie sich gut merken können. Also neigen die meisten Leute dazu, die Namen der Kinder, Eheleute oder Haustiere zu verwenden, vielleicht noch kombiniert mit einem Geburtsdatum. Diese Passwörter sind allerdings für Hacker leicht zu knacken.

Besser ist folgende Strategie: Suchen Sie sich ein Lieblingszitat oder eine Zeile aus Ihrem Lieblingslied. Wenn Sie beispielsweise ein Goethe-Fan sind, nehmen Sie vielleicht die Anfangszeile aus dem Osterspaziergang.

»Vom Eise befreit sind Strom und Bäche durch des Frühlings holden, belebenden Blick«
Nehmen Sie hier einfach die Anfangsbuchstaben jedes Wortes:

»VEbsSuBddFh,bB«

Damit haben Sie ein tatsächlich sicheres Passwort mit Groß- und Kleinbuchstaben sowie einem Satzzeichen (dem Komma). Wenn Sie jetzt auch noch Zahlen dazu nehmen wollen, können Sie das große »E« durch »3« ersetzen (sieht aus wie ein umgedrehtes E). Das große »S« ersetzen Sie durch »5« (sieht aus wie ein S):

»V3bs5uBddFh,bB«

3) Halte WordPress und alle Plugins auf dem neusten Stand.

Jede Software kann Sicherheitslücken haben, das gilt genauso für WordPress und alles, was damit zusammenhängt. Das schließt sämtliche Plugins mit ein, die Sie installiert haben (einschließlich denen, die Sie gar nicht benutzen). Auch das Theme besteht aus Software, daher sollten Sie dieses gleichermaßen auf dem neusten Stand halten.

Löschen Sie alle Themes und Plugins, die Sie nicht benutzen. Alle übrigen sollten Sie im Idealfall täglich auf Updates überprüfen und diese dann unverzüglich durchführen.

Tipp: Das Sicherheits-Plugin »Wordfence« kann Sie per E-Mail benachrichtigen, sobald für ein Plugin aus dem WordPress Verzeichnis ein Update verfügbar ist. Es prüft nur die Plugins, die Sie auch installiert haben. Das ist die schnellste Methode, ohne großen Aufwand über Aktualisierungen informiert zu werden.

4) Richte bei der Erstinstallation schon ein automatisches Backup ein.

Selbst die am besten abgesicherte Website nützt Ihnen nichts, wenn Ihre ganze Arbeit durch einen technischen Defekt oder die Insolvenz Ihres Webhosting-Providers verloren geht. Daher sollten Sie regelmäßig Backups ihrer WordPress Site durchführen.

Installieren Sie schon bei der ersten Einrichtung von WordPress ein Backup-Plugin und konfigurieren Sie es auf turnusmäßige Backups. Ich verwende gern die kostenlose Version von Updraftplus.

Die gesicherten Daten sollten Sie nicht auf dem gleichen Server speichern wie Ihre Website. Updraftplus bietet, auch in der kostenlosen Version, die Möglichkeit, die Daten in der Cloud abzuspeichern. So können Sie die ZIP-Dateien Ihrer Datenbank und aller anderen WordPress-Dateien beispielsweise bei Dropbox ablegen.

Fazit:

Sicherheit beginnt schon beim ersten Schritt, nämlich bei der Erstinstallation der WordPress Site. In meiner Zeit als WordPress-Entwickler sind mir immer Kunden aufgefallen, die schon fast fahrlässig einfache Zugangspasswörter verwendet haben. Das gilt natürlich auch für den Hosting-Zugang und für Testinstallationen, die man »nur mal eben schnell« für externe Dienstleister anlegt.

4 Dinge, die WordPress schon bei der Installation sicherer machen.