PAVIDOS BLOG

DER BLOG AUS DEM LEBEN EINES FOTOGRAFENS, PAPAS UND DOMAINVERSTEHERS

WordPress-Sicherheit-Scan
IT

WordPress Sicherheit – Nun komm schon rein

Markus Schmitt

WordPress Sicherheit benötige ich nicht

Liebe Leser,
da habt ihr wohl geglaubt, dass ich mich nicht um die Sicherheit meiner WordPress Installation kümmere. Falsch, das steht bei mir sogar an erster Stelle. Die Überschrift war vielleicht etwas übertrieben, aber soll euch dazu bewegen weiterzulesen :). Hoffe ich habe es geschafft.

Warum ist Sicherheit überhaupt so wichtig

Die Frage lässt sich relativ einfach beantworten. Ihr schließt doch auch euer Auto ab, schließt die Türen ab, kettet euer Fahrrad an. Versichert euch gegen den Verlust. Und genauso ist das mit eurer Homepage. Stellt euch mal den Fall vor. Ihr habt ein Homepage, betreibt einen kleinen Onlineshop, über den eurer Kunden regelmäßig einkaufen. Eure Seite ist leider nie gewartet worden, kein SSL aktiv, keine Backups, keine Benutzer angelegt, niemals geupdatet worden und irgendwelche Plugins installiert. Nun verschafft sich jemand dadurch Zugang zu euren Kundendaten. Hmm, schlecht oder? Oder jemand installiert Plugins oder Schadsoftware auf eurer Homepage. Auch nicht so toll. Ich denke, das Thema ist angekommen, warum Sicherheit wichtig ist.

Wie sichere ich mein WordPress eigentlich ab?

Ja, das ist eine gute Frage. Die Frage ist, wie weit ihr euch damit beschäftigen wollt oder auch könnt. Es gibt Leute, die machen das für euch. Und vielleicht auch wichtig zu erwähnen. Es gibt nicht die 100%-ige Sicherheit. Aber man muss mal anfangen und es gibt wirkliche einfache Tipps, die jeder umsetzen kann.

Die WordPress Installation

Den ersten Tipp den ich geben kann, ist zunächst euer WordPress Verzeichnis umzubenennen. Nehmt „CMS“ oder“Mein-CMS“ oder irgendwas anderes. Dann den „WP-Content“ Ordner ebenfalls umbenennen. Auch hier ist eure eigene Kreativität gefragt.

Ich Admin du nix

Der Admin heißt Admin, weil er das Backend administriert. Und leider wird eben dieser Name immer standardmäßig verwendet. Und dann noch mit einem kurzen und schlechten Passwort. Einfacher kann man keinen Zugriff geben. Doch, am besten ohne :). Was ihr macht ist euch einen ganz tollen Namen einfallen lassen, den keiner weiß. Und  dann lasst euch genau dieses Passwort generieren, das ihr euch auch nicht merken könnt. Und holt euch einen Passwort Manager. Ich habe den von Kaspersky. Der verwaltet eure Passwörter und läuft auf den mobilen Endgeräten. Oder sucht nach nach einer Alternative. Dazu gibt es jede Menge Lösungen.

Ich schreibe – Was machst Ihr?

Genau, ich schreibe einfach mit meinem Namen. Ich erstelle Blogbeiträge. Und das fast zu 90%. Und dazu reicht ein Benutzer. Geht einfach auf „Benutzer -> Neu anlegen -> Gebt alles ein und hinterlegt die Rolle „Autor“ oder „Redakteur. Das war es. Und dann meldet ihr euch ab sofort nur noch mit dem Benutzer an. Außer ihr wollt etwas am Backend machen.

Präfix – Am Anfang steht das Wort

Jede Tabelle in eurer WordPress Datenbank beginnt mit dem Präfix wp_. Daher erfährt man direkt, dass eure Website auf WordPress läuft. Und das sollten wir direkt vermeiden. Daher ändert eben dieses Präfix gleich bei der Installation von WordPress. Nehmt irgendwas, das euch einfällt.

TLS oder SSL

Korrekt ist, dass man von TLS spricht. SSL ist aus der Vergangenheit, hat sich aber im Sprachgebraucht irgendwie verankert. Daher einfach bitte, aktiviert euer TLS (SSL) Zertifikat. Ihr sichert somit euren Zugang und eure Kommunikation. Wer mehr dazu lesen will, dem empfehle ich Wikipedia

Alle Mann über Bord – Wo ist das Rettungsschiff

Backup, Backup. Backup. Schreibt es euch auf einen roten Zettel. Es gibt ganz tolle Plugins die eure Datenbank, Plugins und Theme sichern und auf einen Speicher eurer Wahl speichert. Bitte nicht auf dem gleichen Webspace ablegen. Besser ist es, euer Backup auf einem Cloud Speicher abzulegen. Zum Beispiel „Dropbox“ oder „OneDrive“ oder einem anderen Speicher.

Ich empfehle euch das PlugIn „UpdraftPlus“ oder „BackWPup“.

WordPress Backup Plugins
Euer Backup automatisiert

Updates – Ist doch was für Looser

Genau, für Leute die einfach gerne mit dem Risiko oder mit dem Feuer spielen. Für alle anderen ist das ein Pflichtprogramm. Es gibt keine Ausrede, kein Update zu installieren. Jedesmal, wenn euer Plugin, eure WordPress Version oder das Theme ein Update rausbringt, installiert das Update. Damit werden alte Fehler behoben. Das hier ist euer PostIt.

WordPress Updates sind Pflicht

Ab zum Schlüsselmacher – 2FA

Hier wird es nicht kompliziert. Keine Sorge. 2FA steht für „Two Factor Authentication“. Das bedeutet, dass ihr euren Login zusätzlich absichert. Und nur, wer im Besitz des Schlüssles ist, der bekomtm Zugriff. Was ihr benötigt ist nicht mehr als ein Plugin (siehe Screenshot) euer Smartphone und eine App.

Ich habe 2FAS Light installiert. Alles was ihr machen müsst ist folgendes.

  • Plugin installieren und aktivieren
  • App installieren
  • Plugin aufrufen
  • QR Codescannen mit der App
  • Token eingeben
  • Beim nächsten LoginQR-Code scannen
  • Token aus der App eingeben

Beim nächsten Login benötigt ihr euer Smartphone, ruft das Konto auf und gebt die Nummer ein.

Tock, Tock, Tock – Hören wir das Herz ab

SIWECOS

Schaut euch zunächst einmal das Video an.

YouTube

Mit dem Laden des Videos akzeptieren Sie die Datenschutzerklärung von YouTube.
Mehr erfahren

Video laden

SIWECOS ist ein Security Scanner, der euer CMS auf potenzielle Schwachstellen prüft und euch entsprechend  Hinweise liefert, wo eben Verbesserungen erzielt werden können. Ihr habt auch die Möglichkeit, eure Domain zu registrieren und automatisch geprüft zu werden. Als Belohnung gibt es auch ein Siegel, das ihr einbetten könnt.

SUCURI

Ein weiteres kostenloses Tool, welches ich euch empfehlen kann, stammt von SUCURI. Genau wie bei SIWECOS wird eure Homepage auf Sicherheitsschwachstellen geprüft und ihr erhaltet ein kleines Audit inklusive Risiko Potenzial.

Sucuri Website Audit

Fazit und weitere Empfehlungen

Ich bin am Schluss angekommen. Wie ihr sicherlich bemerkt habt, sind das Basics, wie Ihr euer WordPress absichern könnt. Es gibt noch etliche Maßnahmen, die bereits von anderen Blogs abgedeckt und auch von erfahrenen Programmier beziehungsweise Sicherheitsexperten verfasst wurden. Wer sich weiter mit der Materie beschäftigen möchte, dem lege ich ein paar weitere Seiten ans Herz.

Kleines Schlusswort: Machen ist besser als nichts machen. Von daher einfach anfangen. Schreibt doch mal eure Ideen und Empfehlungen unten in die Kommentare.


Beitrag erstellt 88

Verwandte Beiträge

Beginne damit, deinen Suchbegriff oben einzugeben und drücke Enter für die Suche. Drücke ESC, um abzubrechen.

Zurück nach oben