Mehr Sicherheit für Wordpress-Seiten

Vielleicht mussten auch Sie schon mit Schrecken feststellen, dass sich Fremde an Ihrer Webseite zu schaffen gemacht haben. Eine häufig Folge: Durch den eingeschleusten Schadcode werden über Ihren Webspace Spam-Mails versendet.

Um unsere Webhosting-Kunden vor diesem Szenario zu schützen, haben wir unsere Webserver mit einem Schutzmechanismus ausgestattet, der bösartige Angriffe frühzeitig erkennen und verhindern kann.

Eine der Angriffsmethoden nennt sich Brute-Force. Darunter versteht man das Ausprobieren aller möglichen Passwort-Kombinationen mit dem Ziel, Zugang zum Administrationsbereich zu erhalten. Leider bedienen sich immer mehr Hacker dieser simplen Methode, sodass wir bei Attacken dieser Art die IP-Adressen potentieller Angreifer ab sofort automatisch vorübergehend blockieren.

Hier haben wir noch einige Tipps für mehr Sicherheit zusammengestellt:

1. Nutzen Sie sichere Kennwörter

Kurze und zu einfache Passwörter sind ein echtes Sicherheitsrisiko. Was grundsätzlich für jedes Passwort gilt, sollte auch bei Wordpress beachtet werden:

• Verwenden Sie mindestens acht Zeichen
• Verwenden Sie Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen
• Verwenden Sie keine Begriffe, die im Wörterbuch stehen
• Verwenden Sie nicht für mehrere Dienste dasselbe Kennwort

Das Wordpress-Passwort kann jederzeit unter dem Menüpunkt Benutzer geändert werden.

2. Verzichten Sie auf den Benutzer „admin“

„admin“ ist der Standard-Nutzername bei Wordpress. Dies weiß natürlich auch jeder Hacker. Um den Standard-Nutzernamen zu ändern, richten Sie unter dem Menüpunkt Benutzer einen neuen User ein und vergeben diesen Administrationsrechte. Loggen Sie sich anschließend mit den neuen Zugangsdaten ein und löschen den Account „admin“.

3. Tabellenpräfix ändern

Während einer WordPress Installation, werden Sie gefragt, welches Tabellenpräfix für diese Installation verwendet werden soll. Der Standard lautet ‚wp_‘, d. h. dieser Ausdruck wird vor die Namen aller Tabellen in Ihrer Datenbank gesetzt.
Dieser Ausdruck sollte auf jeden Fall geändert werden, idealerweise in ein zufällige Zahlen- und Buchstabenkombination, wie z. B. 'pQ2938_‘. So verhindern Sie auf wirksame Weise SQL-Injections.

Selbstverständlich ist es auch möglich, das Präfix bei einer bestehenden Installation zu ändern. Eine Anleitung dazu finden Sie hier.

4. Regelmäßige Updates

Halten Sie Ihre Wordpress-Installation auf dem aktuellen Stand. So werden Sicherheitslöcher beseitigt, noch bevor Hacker auf den Plan gerufen werden. Dasselbe gilt auch für die installierten Themes und Plugins.

5. Rechteverwaltung nutzen

Wird Wordpress von mehreren Redakteuren genutzt, ist es ratsam, diesen nicht den Status des Administrators zuzuweisen. In der Regel reicht die Rolle des „Editors“ vollkommen aus. Den Status können Sie unter dem Menüpunkt Benutzer ändern (siehe "Rolle ändern in").

6. Htaccess nutzen

.htaccess-Dateien sind Server-Konfigurationsdateien, welche die Einrichtung eines zusätzlichen Passwortes ermöglichen. Das hat den Vorteil, dass die eigentliche Loginseite gar nicht erst aufgerufen werden kann und Brute-Force-Attacken somit nicht mehr ohne weiteres möglich sind.

Für unerfahrene Nutzer empfiehlt es sich, für die Einrichtung ein Plugin, wie z. B. iThemes Security, zu verwenden.

7. Ungenutzte Themes und Plugins löschen

Löschen Sie nicht mehr verwendete Themes und Plugins. So beseitigen Sie ohne großen Aufwand potentielle Angriffsziele.

• Zurück
• Weiter