WordPress hat in den letzten Jahren extrem Fahrt aufgenommen und hat vielen bewährten CMS den Rang abgelaufen. So hält WordPress auch im angebrochenen Jahr 2019 spielend den 1. Platz!
Das mach das System aber auch allfällig für Angriffe von Aussen. Als Betreiber einer Website müssen Sie leider damit Leben – Sie müssen es nicht verstehen wieso es Menschen gibt, die mit krimineller Energie versuchen andern zu schaden – es ist einfach so.
Um so wichtiger ist es, ihre Website ab zu sichern. Dabei gibt es wie in diesem Teil beschrieben ganz einfache Möglichkeiten die auch nicht viel technisches Wissen voraussetzten.
1 Benutzernamen
Wenn ein WordPress frisch installiert wird, muss als erstes der Administrator des Systems erfasst werden. Ohne diesen könnten Sie sich nicht ins Admin-Panel einloggen um die Webseite aufzubauen.
Hier entstehen die ersten Fehler. Grundsätzlich darf dieser User auf keinen Fall einfach nur «Admin» heissen! Bedenken Sie dass die Standard-Login Seite von WordPress ganz einfach mit «wp-admin» aufzurufen ist.
Noch besser ist es wenn Sie nach dem ersten Einloggen ins System 3-4 ganz normale User anlegen. Danach erstellen Sie einen weiteren Account mit den höchsten Admin-Rechten und loggen sich damit im System neu an. Mit dem neuen Admin-Account entfernen sie den ersten ursprünglichen Admin-Account wieder.
Gut zu Wissen: WordPress baut auf einer Datenbank auf. Das bedeutet der erste erfasste User bekommt automatisch die ID 1 und der ist in den meisten Fällen ein Seiten-Administrator. Das weiss natürlich auch ein möglicher Eindringling. Mit obigem vorgehen wird der Seiten-Admin z.B. die ID 5 bekommen. Das wird schon mal eine ganze Zeile an Hobby-Hackern ausschliessen.
Tipp 1: Testen Sie ihre Seite mit der Webseite Hackertarget.com. Hier sehen Sie Informationen die ohne irgendwelche tieferen Kenntnisse über ihre Webseite abgerufen werden können. Achten Sie auf den Eintrag » User Enumeration«. Hier sehen sie die ersten beiden Accounts aus ihrem System.
Profitipp: Seit WordPress 4.5 ist es möglich das System so einzurichten, dass man sich nur noch mit der Mail-Adresse anmelden kann. Dazu muss die Datei «functions.php» angepasst werden. Details dazu finden sie hier.
2. Sichere Passwörter
Was reden wir Informatiker uns den Mund «fusselig» wenn es um sichere Passwörter geht…!
Diese Bequemlichkeit ist aber genau der Türöffner für Angreifer. Aus meiner Erfahrung sind zum einen Passwortkarten und zum anderen Passwort Tools gute Helfer. Ich nutze folgende Helfer:
Ein sicheres Passwort hat heute mehr als 10 Zeichen und besteht aus Gross- und Kleinbuchstaben, Zahlen und Sonderzeichen. Prüfen Sie ihr Passwort hier bei Passwortcheck.ch.
Nachtrag vom 28.03.2019: Eine ganz interessante Version des Passwort-Checks wurde mir von Janis von Bleichert empfohlen. Er hat das Schweizer-Tool erweitert, so dass nicht nur angezeigt wird wie lange heute ein Computer braucht um ein Passwort zu hacken, sondern auch gleich prüft, ob das Passwort in der Vergangenheit in einem Datenleak aufgetaucht ist. Das Tool finden Sie hier: PasswortCheck.
3. Login Seite umlegen
Wie oben schon erwähnt ist es kein Geheimnis wie die Login-Seite für das Admin-Portal von WordPress aufgerufen wird. Mit einem PlugIn kann dieser Pfad beliebig angepasst werden. Damit werden auf jeden Fall wieder einige Script-Kiddies überfordert aufgeben. Es gibt viele solcher PlugIns. Achten Sie darauf, dass Plugins – gilt jetzt generell für jedes Verwendete PlugIn – auf vielen Webseiten eingesetzt werden und wenn immer sehr zeitkritisch updatet werden. Beides ist im Installations-Dialog der Erweiterungen ersichtlich.
Ich verwende das kleine PlugIn WPS Hide Logyn. So könnte der neue Pfad anschliessend so aussehen: www.meine-seite.xx/das-kennt-nur-der-admin/
4. Nur verwendete Plug-Ins aktivieren
Gerade beim Aufbau einer neuen Seite – nutze ich neben den Bewährten Erweiterungen – auch immer wieder neue PlugIns, die ich ausprobieren möchte. Sehr oft auch weil der Kunde eine Funktion wünscht die ich so noch nicht umgesetzt habe. Dabei fliegen einige PlugIns auch gleich wieder raus. Einige halte ich mir noch «warm». Sobald die Seite vom Kunden abgenommen ist gilt es daran zu denken alle PlugIns die schlussendlich nicht verwendet wurde auch wieder zu löschen!
5. PlugIns aktualisieren
Klingt logisch, wird aber sehr oft vernachlässigt. Dort wo ich bewährte PlugIns einsetze und bei der Evaluation auf vielfach eingesetzte Erweiterungen gesetzt habe kann ich davon ausgehen, dass regelmässig Updates nachgeschoben werden.
Dabei gilt darauf zu achten, das grundsätzlich das Core-System, also WordPress selber aktuell ist. Meistens reichen dann die PlugIn Programmierer zeitkritisch ihre angepassten PlugIns nach.
Wichtig: Die meisten Einbrüche auf WordPress Seiten werden über Lücken in PlugIns gemacht da diese oftmals hinter her Hinken. Lücken die in der Core Version entdeckt werden, erhalten sehr schnell ein Update. Diese sind gut an der Nummerierung zu erkennen (z.B. 5.0.3).
6. Backups
Lassen Sie regelmässig ein Backup Tool laufen! Und ja, auch dann wenn ihre Webseite keine regelmässigen Neuigkeiten erhält. Mein bevorzugtes Tool heisst dafür UpDraft Plus.
Damit lassen sich ganz einfach Backup-Jobs einrichten. Sie müssen sich also gar nicht selber Regelmässig dazu bemühen. Schon die gratis Version bietet so viele Möglichkeiten.
Sichern der ganzen Webseite (also Datenbank, Inhalte, PlugIns usw.). Den Intervall stellen Sie ein zwischen 4 Stunden bis zu einem Monat. Dabei kann für die Datenbank-Sicherung einen separaten Zeitintervall eingestellt werden um diese öfters zu sichern.
Es ist sogar möglich die Sicherung auf einen Cloud-Speicher wir Dropbox usw. zu speichern. Beachten Sie, dass das direkte zurücksichern aus eine Cloud-Speicher schliesslich nur mit der kostenpflichtigen Version möglich sein wird.
Hinweis: Erkundigen Sie sich doch auch bei ihrem Provider welche Backup Möglichkeiten der Hoster von haus aus zur Verfügung stellt.
Pingback: WordPress sicher machen – Teil 2 – 🆉🆈🆂🆂🅴🆃🅳.🅲🅷