Wie Sie Ihre Wordpress Seite sicher machen

Lukas Dörr      Wordpress Hosting

Wir haben bereits in einigen Newslettern darauf hingewiesen, dass einige Webspaces mit Wordpress Installationen gehacked wurden. Im Normalfall wird die Infektion binnen 12 Stunden (Bei der Routineprüfung unserer Anti-Malware Software) erkannt und die Seite gesperrt. Ihre Seite ist dann zwar offline, kann aber dann keinen weiteren Schaden anrichten!

Aber auch Hacker werden immer einfallsreicher und finden immer wieder neue Wege, eine Wordpress Seite anzugreifen - und wenn es der einfachste Trick "Brute Force" ist.

Hier ein paar Tipps, die Ihre Seite zwar nicht zu 100% Sicher machen werden - aber die Sicherheit Ihrer Seite extrem erhöhen können:

 

1. Nutzen Sie beim Plesk Hosting das Wordpress Toolkit

Mit dem Wordpress Toolkit erhalten Sie nicht nur eine 1-Klick Installation Ihrer eigenen Wordpress Seite, sondern auch automatische Updates und einen "Security Advisor", der in der Lage ist, Ihre Seite für Angriffe wie XSS, File Poisoning und Brute Force abzusichern. Loggen Sie sich hierzu in Ihr Plesk Konto ein und wählen Sie unter Ihrem Abonnement "Wordpress" aus. Klicken Sie auf "Install Wordpress" und in wenigen Momenten sollte Ihre Seite bereit sein.

 

2. Nutzen Sie Plesk WP Sicherheitsfeatures

Eigentlich ist dies Punkt 1.1, aber da wir eine kleine Liste machen wollten, und eigentlich nicht so viele Punkte haben, ist es jetzt Punkt 2.
Sollten Sie Wordpress via WP Toolkit Installiert haben, können Sie unter dem Punkt "Security" diverse Maßnahmen aktivieren, die es einem Angreifer extrem erschwert, die Seite zu attackieren. Unsere Empfehlung: Aktivieren Sie alle vorgeschlagenen Punkte!

 

3. Nutzen Sie das Limit Login Attempts Plugin

Leider bietet Wordpress von Grund auf keinen Login Limiter. Dadurch kann es extrem leicht sein, das Passwort durch erraten herauszufinden. Man spricht hier von einem Brute Force angriff. Dabei versucht der Angreifer, so viele Passwörter wie möglich beim Login auszuprobieren. Wir reden von "brutaler Gewalt", wenn der Angreifer mit einem Bot-Netzwerk hundert- bis tausendfach pro Minute versucht, ein Passwort einzugeben. Mit dem Plugin kann man einstellen, wie oft ein User es probieren darf, bis seine IP Adresse gesperrt wird. Unsere Empfehlung: Max. 3 Versuche und dann für 1 Jahr oder länger sperren.

 

4. Ändern Sie ab und zu den Benutzernamen und Passwort

Wir haben bereits Fälle gesehen, bei denen der Angreifer den Usernamen von der Wordpress Seite herausgefunden hat. Somit hatte er die Möglichkeit den Besitzer mit einem Passwort Reset Spam zu verunsichern. Daher sollte man immer mal wieder seinen Usernamen und natürlich das Passwort ändern.

 

5. Aktivieren Sie automatische Backups im Plesk

Wir sichern Ihre Seite halbtags, also 2 mal pro Tag - jedoch können Sie (Für Ihren inneren Seelenfrieden) im Plesk unter "Backup-Manager" ein automatisches Backup einrichten. Wir empfehlen, dass Sie mind. 2-3 Wochen zurückspringen können, sodass Sie (Vielleicht nach einem Urlaub) einfach auf den letzten funktionierenden Stand zurückspringen können.

 

6. Nutzen Sie 2FA im Dashboard, Plesk und Wordpress

Wir können es nicht oft genug sagen, aber manchmal reicht selbst Username und Passwort als Kombination nicht aus. Wenn der Angreifer diese Infos hat, ist es leicht eine Wordpress Seite oder Ihr Kundenkonto zu übernehmen. Daher kann die 2 Faktor Authentifizierung dabei helfen, eine weitere Hürde zu legen. Wenn der Angreifer den 2FA Code Generator (z.B. Google Authenticator) nicht hat, bekommt er auch keinen Zugriff auf Ihr Konto. Unsere Empfehlung daher: Nutzen Sie, wo immer es geht 2FA! Für Wordpress können Sie z.B. Jetpack nutzen.


Fazit

Es gibt viele Wege, wie Sie bei uns Ihre Seite vor Angriffen absichern können - es muss nur klar sein: Es wird niemals eine 100% sichere Methode geben. Wir tun unser Bestes, indem wir unsere Server aktuell halten, Nutzerdaten verschlüsseln, 2FA für alles nutzen und natürlich Sicherungen an mehreren Orten erstellen. Aber trotzdem muss man immer dran denken: Wer die Motivation hat, Sie zu attackieren, wird alles versuchen um erfolg zu haben. Sollten Sie Fragen haben, kontaktieren Sie uns gerne!