Kontakt: info@eichert-media.de
5 einfache Mittel um WordPress-Seiten vor Hacker-Angriffen zu schützen

5 einfache Mittel um WordPress-Seiten vor Hacker-Angriffen zu schützen

WordPress ist ein leicht zu bedienendes CMS. Genau deswegen laufen mittlerweile die meisten Websites über dieses CMS. Das hat zur Folge, dass es ständig neue Erweiterungen in Form von Plugins, Templates oder Widgets gibt. Und das wiederum führt dazu, dass auch Anwender Websites erstellen können, die von der Materie nicht all zu viel Ahnung haben. Der Teufelskreis schließt sich: denn das wiederum freut Hacker aus aller Welt, die schnell leichtes Spiel haben.

Was man alles beachten sollte, um WordPress vor Hackern sicherer zu machen

Ich bleibe dabei: wer nicht viel Geld in ein absolut sicheres System steckt, wird vor einem Hacker, der es wirklich ernst meint und wirklich was kann, nie 100%ig sicher sein. Das Gute: der Bäcker von Nebenan, der Autohändler um die Ecke oder das mittelständige Unternehmen aus dem Bereich Logistik (um nur einige Beispiele zu nennen), werden zwar bei Weitem nicht das Geld aufbringen können, ein solches System zu schaffen – sie komme aber auch meistens nicht auf dieZielscheibe der besten Hacker der Welt. Deswegen reicht es oftmals bereits, mit bestehenden Plugins, die WordPress auf den Markt anbietet, sowie weiteren einfachen Vorkehrungen, eine sichere Lösung zu schaffen.

5 einfache Mittel, die jeder WordPress Nutzer einsetzen sollte, um seine Website vor Hackern zu schützen:

    • Vorkehrung 1: Verwenden Sie nicht den Benutzernamen “admin”. Dieser Benutzername ist die erste Variable einer Kombination, mit denen sich Hacker bei Ihnen versuchen werden einzuloggen. Ich empfehle auch nicht, einen Benutzernamen zu wählen, der sich aus der Domain oder der Firma / den Unternehmensnamen sowie des Unternehmers ableitet. Wählen Sie stattdessen einfach ein Fantasievollen Benutzernamen. Im Vergleich zum Benutzernamen “Admin” haben Sie dadurch Ihre Sicherheit bereits um einen Quantensprung verbessert.
    • Vorkehrung 2: Wählen Sie als Datenbank-Präfix nicht _wp. Die Tabellen, die bei WordPress angelegt werden, heißen immer gleich (z.B. wp_options). Heißt Ihre Tabelle dann auch tatsächlich so, dann haben Hacker leichteres Spiel, Ihre Datenbank “zu erobern”. Wählen Sie auch hier stattdessen einfach was fantasievolles wie “_wp_trallala_”. Das kann man entweder bei der Installation direkt einrichten. Falls man schon eine aktive Installation hat, aber den Präfix trotzdem ändern möchte, hilft hier u.a. das Plugin All In One WP Security & Firewall unter dem Menü Database Security.
    • Vorkehrung 3: Verwenden Sie ein Captcha. Ein Captcha prüft in Login-Feldern oder Kommentar-Feldern, ob es sich um einen Menschen handelt, der da was eingibt, oder um einen Computer-Bot. Hacker werden versuchen, Ihre Login-Formulare oder Kommentarfunktion durch automatisierte Abläufe zu knacken und sich somit Zugang zu Ihrer Website zu verschaffen. Meine Empfehlung: Simple Google reCAPTCHA 
    • Vorkehrung 4: Erstellen Sie (verdammt nochmal) Backups! Es gibt mittlerweile diverse Hosting-Anbieter (wie DF), die automatische Backups anlegen. Das ist natürlich entspannt, aber immer noch kein 100%iger Verlass. Ich empfehle daher, regelmäßige Backups von Ihrer Website zu machen, sowohl von den Inhalten auf dem FTP Server, als auch von der Datenbank. Meine Empfehlungen: Für die Datenbank ebenfalls das Plugin All In One WP Security & Firewall unter Database Security und dann DB Backup. Hier wird zum Beispiel alle 3 Tage ein Backup erstellt und auf den Server gespeichert und die letzen 2 Dateien werden automatisch gehalten.
      Für die Website (inkl. DB) kann ich BackUpWordPress empfehlen.
    • Vorkehrung 5: Nutzen Sie ein funktionierenden Login Lockdown! Ohne Witz, das ist wirklich wichtig. Denn wie oben bereits erwähnt: Hacker werden versuchen, sich mittels automatisch ablaufender Skripte in Ihre Seite einzuloggen und Sie dann, sollten sie erfolgreich gewesen sein, aussperren und erst gegen Geld wieder freigeben. Dabei testet dieses Skript alle möglichen Kombinationen aus Benutzernamen und Passwort. Je nach länge des Passwortes kann das wenige Sekunden bis (bei einem guten Passwort und einem guten Benutzernamen) auch unmöglich sein. Ein Login Lockdown sperrt jedenfalls die IP Adresse (die des Bots) nach drei erfolglosen Einloggversuchen und gibt die IP Adresse erst nach einer beliebigen Zeit wieder frei. Bei meinen Projekten werden so mittlerweile täglich um die 250(!) Hackerangriffe (meistens aus China oder Russland – zumindest nach WHOIS Abfrage der IP Adresse) verhindert. Ein Login Lockdown ist auch im Plugin All In One WP Security & Firewall enthalten.

      Wenn immer eine IP Adresse ausgesperrt wird, bekommt man eine Nachricht

      Die Angriffe kommen oft aus China oder Russland

Tim Eichert

Tim Eichert ist Kaufmann für Marketingkommunikation und nach seiner aktiven Zeit in einer Werbeagentur für digitales Marketing seit vielen Jahren als selbstständiger Maketingexperte tätig.