WordPress-Sicherheit

Sicherheit

Heutzutage riskiert jede Website einen Hack, manchmal gezielt, meist jedoch durch sogenannte Bots (Computerprogramme, die automatisch das Web durchsuchen – siehe Wikipedia). Sie suchen gezielt nach Zugängen zu Sites, bevorzugen Content Management Systeme (CMS – siehe Wikipedia) wie WordPress, Typo3, Drupal und andere, da eine Sicherheitslücke gleich zigtausendfach im Web genutzt werden kann.

Bei Updates eines CMS werden immer auch Programmierlücken geschlossen, das gleiche gilt für Plugins (Zusatzmodule), wobei da auch Lücken durch das Update des CMS entstehen können. Deshalb sind regelmäßige Updates notwenig.

Ich habe einmal einen Hack erlebt, bei dem meine Site neben tausenden anderen infiltriert wurde, weil ein Update des verwendetene CMS Drupal (wird für ganz große Sites verwendet)  nicht innerhalb von 15 Stunden durchgeführt wurde. Das ist natürlich ein Extrem.

Aber auch Zugänge in CMS werden von Bots abgefragt. So empfiehlt sich nicht, einen Zugang mit gängigen Namen wie Admin, Teilen des Domainamens u.ä. zu verwenden. Wird der Benutzername durch einen Bot herausgefunden, werden Passwörter getestet. Deshalb sollten auch komplexe Passwörter verwendet werden, am Besten aus eine Mischung von Groß- und Kleinbruchstaben, Ziffern und Sonderzeichen.

Und dann gibt es die Standard-Zugänge, wie /login bzw. im WordPress /wp-login.php und /wp-admin. Diese lassen sich durch ein fast geniales Tool ändern, durch WP Cerber

 

Hier lässt sich einiges einstellen:

  • wieviele Einlog-Versuche erlaubt sind, wie lange gesperrt wird
  • die Einlogseite lässt sich festlegen (ich mag „eingang“) und die Standard-Loginseiten lassen sich deaktivieren. Wer sie aufruft, wrid sofort gesperrt. Ist das einmal passiert und man will nicht warten, so kann man im Hosting (Plesk) im Dateimenager die das Verzeichnis WP-Cerber kurz umbenennen, loggt sich im WP ein und benennt WP Cerber wieder um.
  • Spamschutz
  • Scan der Integrität der Site

WP Cerber wird wöchentlich aktualisiert und ist eines der wichtigsten und besten Tools zur Sicherheit der eigenen Site.

Zusätzlich empfiehlt es sich regelmäßig Backups seiner Datenbank und Site zu machen. Dafür gibt es Tools im WordPress aber besser und sicherer funktioniert es im Hosting/Plesk (https://km31008.keymachine.de:8443/), von wo aus es in einer externe Cloud übertragen werden oder heruntergeladen werden kann. Ab und zu Herunterladen ist aus Sicherheitsgründen empfehlenswert, so wie man auch die Daten des eigenen Rechners ab und zu extern (z.B. externe Festplatte) sichert.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert