In diesem Artikel möchte ich Euch zeigen, wie man die eigene WordPress Webseite auf eigene Faust sicherer machen kann. WordPress ist zwar an sich schon recht sicher, aber durch diverse Plugins und Themes bietet es auch immer wieder angreifbare Lücken im System. Außerdem kommt dazu, dass WordPress sehr weit verbreitet ist und daher auch ein beliebtes Ziel für Hacker. Trotzdem sollte man keine Angst haben mit WP die eigene Webseite zu erstellen, sondern besser ein paar Sicherheits-Vorkehrungen treffen und natürlich regelmäßige Backups machen. Dann kann man auch bei einem Totalausfall jederzeit die eigene Webseite wieder herstellen!

1. WordPress selber installieren

Wer seine Installation nicht per One-Click-Service beim Hoster vornimmt, der kann bereits bei der Installation mit den zusätztlichen (=gesalzenen) Keywords und einer Änderung des Tabellen-Präfix die wp-config.php besser schützen.

1.1 Gesalzene Passwörter einfügen

Ich habe noch kein Video für das Einfügen der gesalzene Passwörter in WordPress gedreht, werde das aber demnächst nachholen. Bis dahin möchte ich Euch mit einem Screenshot zeigen, woher Ihr diese Passwörter bekommt und wie Ihr diese einfügt. Auf dem folgenden Screenshot seht Ihr die blau-roten Zeilen, diese ersetzt Ihr einfach komplett. Dafür klickt Ihr einfach mal auf folgenden Link: https://api.wordpress.org/secret-key/1.1/salt/

Auf dieser Seite werden Euch ausschließlich neue Passwörter generiert und Ihr müsst Sie nur noch kopieren und einfügen – fertig!

gesalzene Passwörter

1.2 Tabellen Präfix ändern

Wenn Ihr in der wp-config.php (zuvor wp-config-sample.php) etwas weiter runter scrollt, dann findet Ihr das Tabellen-Präfix. Das soll eigentlich dazu dienen Eure Datenbank sinnvoll der eigenen Domain zuzuordnen und sieht bei WordPress standardmäßig so aus: wp_ und hinter den Strich schreibt Ihr Euren Domainnamen bzw. etwas Kurzes was darauf hindeutet. Wenn Ihr jetzt das wp_ durch etwas eigene ersetzt wie beispielsweise projekt_ oder name_ der hat jetzt wirklich eine sichere WordPress Installation.

Tabellen Praefix WordPress

2. Der Benutzername und das Passwort

Am Ende der WordPress Installation und auch bei einer One-Click Installation solltet Ihr natürlich einen sicheren Benutzernamen und ein gutes Passwort auswählen. Auf den Standard-Benutzernamen admin sollte generell verzichtet werden und wer das schon getan hat, der könnte sich z.B. einen neuen Benutzer anlegen mit Administratorenrechten. Anschließend kann man dann auch den alten Benutzer admin löschen. Wie das genau geht zeigt dieses Video: Neuen Administator in WordPress erstellen

Wer einen Blog betreibt und regelmäßig Beiträge veröffentlicht, sollte außerdem darauf achten hier mit einem sog. Spitznamen zu bloggen, damit der Benutzernamen nicht zu sehen ist. Wie und wo man das umstellt zeigt Euch dieses Video: Benutzername in WordPress verstecken

 

3. Bloggen von Unterwegs

Das Anlegen eines neuen Benutzers in WordPress ist auch dann sinnvoll, wenn Ihr viel von unterwegs und wechselden Rechnern bloggt. Dann weiß man in der Regel nicht wie gut die verschiedenen Rechner geschützt sind und die Gefahr, dass man sich etwas auf der eigenen Webseite “einfängt” ist relativ gesehen hoch. Darum legt Euch am Besten einen zusätzlichen Benutzer an, der lediglich Autoren- oder Redakteur-Rechte besitzt und eben nicht die admin-Rechte!

bloggen von unterwegs

 

4. Schützende Plugins verwenden

Es gibt einige kostenlose Plugins die Euch helfen können WordPress sicherer zu machen. Ich stelle Euch hier einige schlanke Plugins vor, die eine schützende Funktion haben und die ich auch gerne verwende:

Simple Login Lockdown: Das schützt Euch vor den sog. Brute-Force-Attacks und bedeutet vor computergestützten Einloggversuchen. Bei dem Plugin kann man die Anzahl der fehlgeschlagenen Logins begrenzen und es wird dann eine Wartezeit aktiviert, nach der man es erneut versuchen kann (siehe Screenshot). Allerdings ändern viele dieser Hackerprogramme bzw. Bots bereits nach dem zweiten gescheiterten Loginversuch Ihre IP-Adresse und somit ist dann auch das Plugin nicht mehr hilfreich. Ein besserer Schutz ist es, wenn man die Login-Seite per .htaccess schützt. Das ist aber für Laien nicht ganz so leicht einzurichten und leider auch nicht bei allen Hostern möglich. Dieser Artikel zeigt Euch Schritt für Schritt wie man die Login-Seite per .htaccess schützt.

Simple Login Lockdown

AntiSpam Bee: Das ist wieder ein sinnvolles Plugin für alle Blogger unter Euch die gerne und oft Kommentare bekommen. Es ist das rechtsschutzkonforme Pendant zu Akismet und sortiert die sog. Spamkommentare zuverlässig aus. Außerdem könnt Ihr in den Systemeinstellungen genau festlegen, wann der Spamordner gelöscht werden darf. Hier geht’s zum Videotutorial von AntiSpam Bee.

AntiVirus: Diese Plugin untersucht Eure WordPress-Webseite nach Schadsoftware, die z.B. über neue Plugins oder Themes eingeschleust werden kann. Beim Auffinden solcher schadhaften Codes in bestimmten Systemdateien bekommt man eine genaue Fehlermeldung von AntiVirus und kann gezielt dadegen vorgehen. Allerdings kommt es manchmal zu Fehlmeldungen, was Anfänger auch schnell überfordern kann (ist aber nicht die Regel!).

Was ist mit Better WP Security? Diese Frage erreicht mich hin und wieder und in der Tat wird das Plugin auf vielen Seiten empfohlen. Kurz gesagt: Ich persönlich verwende es nicht, da es mir viel zu “groß” ist und mir dafür nicht genug Nutzen bringt. Es hat zwar einige nützliche Funktionen, die aber auch mit den oben bereits genannten Einstellungen abgedeckt werden können.

 

5. Regelmäßige Updates!

WordPress Updates

Egal ob WordPress-, Plugin- oder Themeupdates, alle Updates haben einen Sinn und nicht selten werden dadurch Sicherheitslücken geschlossen. Ich empfehle immer bei einer neuen WordPress Version oder Pluginupdate ein paar Wochen zu warten, bevor man dieses aktiviert. Das hat den Hintergrund, dass eventuelle Anpassungen von Themes oder Plugins auf die neue WordPress Version vom Entwickler nicht zeitgleich erfolgen und man nach einem Update nicht unmittelbar die volle Funktion der alten Plugins nutzen kann. Auch bei Pluginupdates macht es Sinn vor dem Updaten einmal danach zu googlen oder ins deutsche WordPress Forum zu schauen, dort erfährt man schnell warum es eine neue Version gibt und ob diese genau so befriedigend ist wie die Alte.

 

 

Einfach! WordPress lernen

Wenn Du mehr Unterstützung beim Aufbau oder Nachbau Deiner Webseite willst, melde Dich über das Kontaktformular. Wir bieten neben WordPress Betreuung auch Hosting, Suchmaschinen-Optimierung und Online-Werbung (Google Ads + Facebook) an.