WordPress Tipps (1): Security von WordPress nachbessern

WordPress ist eines der beliebtesten Content-Management-Systeme für kleine und mittelgroße Websites. Häufig werden wir gefragt: Was sind eure Tipps für WordPress, wie erstelle ich eine gute Website mit WordPress und was sollte ich unbedingt beachten? Deshalb starten wir heute mit unseren ultimativen WordPress Tipps. Los geht’s mit dem Thema Security, da das häufig vernachlässigt wird und es ratsam ist, gleich zu Beginn bestimmte Dinge zu beachten, um mit einer sicheren WordPress-Installation zu starten.

1. Firewall installieren und WordPress vor automatisierten Angriffen schützen

Durch die Installation einer guten Firewall werden automatisierte Angriffe sogenannter Bots abgefangen. Wir nutzen für WordPress das Plugin Wordfence, es gibt aber noch viele weitere Firewalls, die den Blog oder die Website schützen. Diese sind im Plugin-Verzeichnis von WordPress zu finden.

Wordfence emfiehlt sich, da es noch weitere Funktionen mitbringt, wie den automatischen Scan auf veränderte Dateien (Malware scanner) und Monitoring.

2. /wp-admin und WordPress-Login absichern

Zu den automatisierten Angriffen zählen auch Brute-Force Attacken. Durch kontinuierliches Ausprobieren unterschiedlicher Passwörter wird darauf abgezielt, irgendwann das richtige zu erwischen. Auch hiervor sollte man die WordPress-Installation absichern. Im Normalfall reicht dafür ein Captcha, das in die Formulare für Login und Registrierung eingebunden wird. Dadurch ist es Bots nicht mehr möglich, automatisierte Angriffe durchzuführen.

Zusätzlich kann auch der Zugriff auf den Admin-Bereich (Backend) verboten werden – beispielsweise durch einen htaccess-Passwortschutz. Das ist aber nicht zwingend erforderlich. Ist ein Plugin wie Wordfence bereits installiert, kann darauf verzichtet werden.

3. Wahl von Benutzername und Passwort

Wir erleben immer wieder, dass Website-Administratoren davon ausgehen, als Administrator müssten sie den Benutzername „admin“ verwenden. Es gibt Software, auf die das zutrifft – aber Wordpres gehört nicht dazu! Im Sinne von 2. ist es zu empfehlen, einen individuellen Benutzernamen zu wählen. Das ist auch deshalb eine gute Idee, weil bei vielen WordPress-Websites der Benutzername als Autor in Artikeln verlinkt wird. Wählt man den eigenen Namen, sieht das gleich viel schöner aus.

Das Passwort sollte aus mindestens 10 Zeichen bestehen, mindestens einen Großbuchstaben, mindestens eine Zahl und mindestens ein Sonderzeichen beinhalten. Sie müssen Ihr Passwort nicht auswendig lernen, sondern können es mit Tools wie Keepass komfortabel generieren, verwalten und abspeichern.

4. SSL aktivieren

SSL gehört mittlerweile zu den Standards. Darauf sollte aus folgenden Gründen nicht verzichtet werden:

  1. Daten werden verschlüsselt zwischen Server und Browser des Website-Besuchers ausgetauscht (auch Daten eines Kontaktformulars)
  2. Seit Inkrafttreten der DSGVO (Datenschutzgrundverordnung) ist SSL Pflicht für Websites, die über ein Kontaktformular verfügen
  3. Suchmaschinen wie Google geben einer Website, die über SSL nutzbar ist, eine höhere Priorität (bessere Positionierung in Suchergebnissen)

Seit einiger Zeit gibt es kostenlose SSL-Zertifikate von Let’s Encrypt. Diese lassen sich jedoch nicht bei jedem Provider einsetzen.

5. Regelmäßig Updates installieren

Updates sollten bei jeder Software in regelmäßigen Abständen (wöchentlich) installiert werden, damit Sicherheitslücken gestopft werden. Bei WordPress gilt das sowohl für Plugins als auch WordPress selbst. Sicherheitsupdates werden mittlerweile automatisch installiert, aber dennoch ist die regelmäßige Überprüfung auf neue Updates unbedingt zu empfehlen.

Das sind die wichtigsten Maßnahmen, die mit der Installation von WordPress erledigt werden sollten – auch wenn alles schnell gehen muss. Das Thema Security ist nicht zu verachten – weder für den privaten Blogger noch für große Konzerne. Oftmals merkt man erst lange Zeit nach einem Angriff, dass dieser überhaupt stattgefunden hat. Deshalb sollten mindestens diese Punkte umgesetzt werden, um das Risiko zu minimieren.

Keine Kommentare

Kommentar verfassen

Kommentar
Name
Email
Website