5 einfache Schritte, um eine bessere WordPress-Sicherheit zu erreichen

Hacker greifen Websites im Durchschnitt alle 39 Sekunden an, wie eine Studie (in Englisch) der Clark School an der Universität Maryland zeigt. Da mehr als 40 % der Websites weltweit WordPress verwenden, ist es eines der beliebtesten Ziele von Hackerangriffen. Da es sich um eine Open-Source-Software handelt, zu der jeder Entwickler beitragen kann, kann es außerdem einige potenzielle Schwachstellen im Code geben. Cyberkriminelle nutzen WordPress-Sicherheitslücken und andere Probleme, die leicht vermieden werden können, wie im Fall von üblichen Benutzernamen, schwachen Passwörtern, veralteten Plugins und anderen.

Zum Glück gibt es mindestens 5 einfache Dinge, die Sie tun können – normalerweise ohne die Hilfe eines Entwicklers – um Ihre WordPress-Sicherheit zu verbessern.

Die häufigsten WordPress-Sicherheitsprobleme und -Schwachstellen

Werfen wir zunächst einen Blick auf einige der häufigsten WordPress-Schwachstellen und Probleme, die Cyberkriminelle beim Angriff auf eine Website ausnutzen:

• Veraltete Core-Software

Eine veraltete  Core-Software ist eines der Dinge, nach denen Hacker auf einer Website suchen. Aus diesem Grund müssen Sie auf der Hut sein, wenn ein Update für ein Programm oder eine Bibliothek herauskommt.

• Veraltete Themen und Plugins

Stellen Sie sicher, dass alle Ihre Themen und Plugins auf dem neuesten Stand sind, damit alle vorhandenen Fehler mit der neuesten Version behoben werden.

• Brute-Force-Angriffe

Sie können Brute-Force-Angriffe auf verschiedene Weise stoppen, z. B. durch die Verwendung eines Sicherheits-Plugins oder einer Mitigation (Entschärfung/ Abschwächung) von Brute-Force durch ihren Webhosting-Anbieter.

• Malware

Verhindern Sie regelmäßig das Einschleusen von Schadsoftware auf Ihre Website mit verschiedenen Mitteln wie Malware-Scannern und professionelle Hilfe für Malware-Entfernung.

• Denial-of-Service-Angriffe (DoS) oder Distributed-Denial-of-Service-Angriffe (DDoS)

Eine Möglichkeit, diese Art von Angriffen zu vermeiden, besteht darin, ein Caching-System oder ein DDoS-Abwehrsystem in die Infrastruktur Ihres Webhosting-Anbieters einzubauen.

• Schlechte Hosting-Umgebung

Stellen Sie bei der Suche nach einem Hosting-Partner sicher, dass er einen guten Ruf hat, fundierte WordPress-Kenntnisse hat und vor allem vertrauenswürdig ist.

Dies ist nur ein kleiner Teil davon. Sehen Sie sich das vollständige Video unten an, um detaillierte Informationen zu diesen Sicherheitslücken und den Maßnahmen zum Schutz Ihrer Website zu erhalten.

Verbessern Sie Ihre WordPress-Sicherheit in fünf einfachen Schritten

Sind Sie bereit, diese Schwachstellen selbst zu beheben? Um Ihnen die Last von den Schultern zu nehmen, zeige ich Ihnen fünf einfache Schritte, die Sie befolgen können, um Ihre WordPress-Website mit nur wenigen Klicks sicherer zu machen:

1. Ändern Sie den Admin-Benutzernamen

Dies ist ein Kinderspiel. Wenn Sie immer noch admin, administrator oder etwas anderes verwenden, das leicht zu erraten ist, wie z. B. den Benutzernamen Ihres Administrators, STOPPEN Sie es! Um Ihre Seite zu knacken, benötigt ein Angreifer 2 Dinge – einen Benutzernamen und ein Passwort. Wenn Sie einen Standard-Admin-Benutzernamen verwenden, geben Sie ihm die Hälfte dessen, was er benötigt. Machen wir es ihnen etwas schwerer, oder?

Um den Administratornamen manuell zu ändern, müssen Sie folgendes tun:

• Melden Sie sich mit Ihrem bestehenden Admin-Konto an.
• Klicken Sie unter „Benutzer“ auf „Neu hinzufügen“.
• Erstellen Sie ein neues Benutzerkonto und machen Sie es zu einem Administrator. Machen Sie den Benutzernamen beliebig, jedoch nicht Admin, Administrator oder Ihren Namen.
• Melden Sie sich von WordPress ab und wieder mit Ihrem neuen Admin-Konto an.
• Klicken Sie auf Benutzer, um die Benutzer aufzulisten, und klicken Sie unter Ihrem ursprünglichen Admin-Konto auf „Löschen“. Stellen Sie sicher, dass Sie „Diesem Benutzer den gesamten Inhalt zuordnen“ und dazu Ihr neues Admin-Konto auswählen, damit Sie keine Inhalte verlieren.

Wenn Sie allgemeine Benutzernamen mit nur einem Klick deaktivieren möchten, installieren Sie das  SiteGround Security-Plugin. Es ist ein kostenloses Tool, das Ihnen einfache Optionen zum Schutz Ihrer Website bietet und Ihre WordPress-Sicherheit erheblich verbessern wird. Verwenden Sie es, um die Erstellung üblicher Benutzernamen zu deaktivieren. Wenn Sie bereits einen oder mehrere Benutzer mit einem schwachen Benutzernamen haben, werden Sie aufgefordert, einen oder mehrere neue anzugeben. Außerdem erscheint beim Umschalten ein Popup-Fenster, in dem Sie einen neuen Benutzernamen auswählen und automatisch den/die vorhandenen schwachen ersetzen können.

2. Legen Sie starke Passwörter fest

Ja, die meisten Menschen lieben es, ihren Geburtstag als Passwort zu verwenden. Wissen Sie, wer es am liebsten mag? Angreifer. Sehen Sie, schwache Passwörter sind leicht zu erraten. Wenn Sie in sozialen Medien posten:

„ZOMG, My Little Pony II ist mein LIEBLINGSFILM! Werde es mir morgen zu meinem Geburtstag ansehen!“

Sie haben gerade einem Angreifer eine kritische Information mitgeteilt. Jetzt beginnen sie gleich damit, Passwörter und Benutzernamen auszuprobieren, die sich auf den Film und/oder Ihr Geburtsdatum beziehen. Alles, was Sie in sozialen Medien gepostet haben, gibt Angreifern ein wenig mehr Informationen, mit denen sie arbeiten können. Dies ist nicht unbedingt ein WordPress-Sicherheitsproblem, sondern ein menschliches Versagen.

TIPP: l33tsp34k „Leet Speak“ oder das Ersetzen von Buchstaben durch Zahlen täuscht Angreifer auch nicht. Das haben sie bereits vor Ihnen herausgefunden.

Was funktioniert also? Starke Passwörter. Lange, zufällige Folgen von Buchstaben und Symbolen sind großartig. Das Problem dabei ist, dass wir dazu neigen, sie aufzuschreiben, da sie schwer zu merken sind. Wenn Sie das Buch verlieren, in dem Sie sie niedergeschrieben haben, dann hat ein Angreifer die Schlüssel zum Königreich. (Egal ob das Buch physisch ODER elektronisch ist).

WordPress hat jetzt die Funktionalität, starke Passwörter zu generieren, aber es erfordert sie nicht. Es gibt jedoch Plugins, die dies für Sie durchsetzen. Wenn Sie zu wordpress.org/plugins gehen und „starke Passwörter“ eingeben, finden Sie mehrere zur Auswahl. Installieren Sie eines dieser Plugins.

Wenn Sie sowohl normale Benutzer als auch Administratoren, Autoren usw. haben, ist es empfehlenswert, nur starke Passwörter für Ihre übergeordneten Konten zu erzwingen, um jeden Widerstand Ihrer Benutzer bei der Registrierung und Anmeldung auf Ihrer Website zu verringern.

Wenn Sie sich fragen, wie Sie mit starken Passwörtern umgehen können, ohne sie aufzuschreiben, investieren Sie in einen Passwort-Manager. Die meisten modernen funktionieren sowohl auf dem Desktop als auch auf Mobilgeräten und synchronisieren Ihre Daten auf allen Ihren Geräten.

Falls Sie mehr über die Bedeutung der WordPress-Sicherheit erfahren und mehr als 20 Tipps entdecken möchten, wie Sie Ihre WordPress-Website sicher halten können, holen Sie sich den kostenlosen ultimativen Guide zur WordPress-Sicherheit von SiteGround (in Englisch):

3. Implementieren Sie die Zwei-Faktor-Authentifizierung

„Zwei-Faktor-Authentifizierung“ oder 2FA ist kein neues Sicherheitskonzept. Seit Jahrzehnten verlassen sich Finanzinstitute auf „Fobs“ (kleine Geräte, die Sie an Ihrem Schlüsselbund befestigen können, die ein Display haben und eine ständig wechselnde Nummer anzeigen) als zusätzlichen Faktor bei der Anmeldung.

Das übergeordnete Sicherheitskonzept lautet „Etwas, was Sie wissen, etwas, was Sie haben, etwas, was Sie sind“. In 2FA wählen wir zwei davon aus. Wenn Sie sich auf einer Website ohne 2FA anmelden, verwenden Sie nur das „etwas, was Sie wissen“ – das Login und das Passwort. Unabhängig davon, wie stark diese Ihrer Meinung nach sind, besteht die Möglichkeit, dass sie nicht sicher genug sind. 2FA bietet zusätzlichen Schutz dazu durch das „etwas, was Sie haben“.

Heutzutage müssen wir nicht jedem Admin-Benutzer einen Schlüsselanhänger geben, sondern haben Smartphones und Software, die Schlüsselanhänger ersetzen können. Wenn Sie ein modernes Smartphone haben (das in den letzten 5 Jahren hergestellt wurde), kann es eine App ausführen, die als „etwas, was Sie haben“ fungiert.

Die am häufigsten verwendete – wenn auch keineswegs die einzige – App für 2FA ist „Google Authenticator“. Er wird häufig verwendet, weil er kostenlos ist. Bevor Sie sich für 2FA entscheiden, vergewissern Sie sich, dass Google Authenticator für Ihr Handy verfügbar ist.

Wenn Sie bereits ein Plugin wie das SiteGround Security-Plugin verwenden, haben Sie alles, was Sie zum Einrichten von 2FA benötigen. Sie müssen diese Option nur im Dashboard des Plugins aktivieren und alle Administratoren und Editoren werden aufgefordert, ihre Zwei-Faktor-Authentifizierung bei ihrer nächsten Anmeldung zu konfigurieren.

Sobald die 2FA implementiert ist und Ihr Benutzer auf die Anmelde-Schaltfläche geklickt hat, wird er zu einem zweiten Anmeldebildschirm weitergeleitet, auf dem er nach seinem „Token“ gefragt wird. Wenn sie ihre App richtig eingerichtet haben, öffnen sie die App, finden Ihre Website darin und geben die Nummer auf dem Bildschirm ein. Diese Zahl ändert sich alle 30 Sekunden. Die Nummer wird als “Zeitbasiertes Einmalpasswort” (Time-based One Time Password or TOTP) bezeichnet. Ihr Handy und das von Ihnen verwendete Plugin wissen beide, wie sie es berechnen, aber sonst niemand. Wenn sie das Token eingeben und die Schaltfläche drücken, berechnet das Plugin das entsprechende TOTP und überprüft dann, ob es mit der Eingabe des Benutzers übereinstimmt. Basierend darauf wird es die Anmeldung entweder zulassen oder verweigern.

Denken Sie daran, dass einige 2FA-Systeme nicht auf Apps basieren, sondern auf Textnachrichten, die mit den Token an Ihr Handy gesendet werden. Beachten Sie, dass diese nicht sicher sind, also müssen Sie sie vermeiden.

4. Erzwingen Sie HTTPS

Dies sollten Sie bereits getan haben. Wenn Sie jedoch unter einem Felsen gelebt haben, sollten Sie wissen, dass es Google schon von ein paar Jahren ganz direkt gesagt hat: Wenn Ihre Website nicht mit HTTPS gesichert ist, wird sie niedriger eingestuft, als die Websites, die HTTPS verwenden.

Abgesehen von SEO hält HTTPS jedoch Ihren gesamten Datenverkehr verschlüsselt und von “ungebetenen Gästen” fern. Wenn Sie HTTPS nicht ausführen, strahlt jeder Ihrer Benutzer, der in einem Café sitzt, alles an jeden aus, der es sich ansehen möchte. (order anders gesagt, „das WLAN erschnüffeln“ kann)

Wenn Sie kein Kunde von SiteGround sind, müssen Sie mit Ihrem Hosting-Provider zusammenarbeiten, um ein sicheres Zertifikat zu erwerben und zu installieren. Dann müssen Sie WordPress anweisen, seine URL zu HTTPS zu ändern.

Wenn SiteGround Ihr Hosting-Partner ist, brauchen Sie nur den SSL-Manager zu verwenden, um ein kostenloses „Let’s Encrypt“-Zertifikat zu erhalten. Sobald das Control Panel von SiteGround das Zertifikat für Sie erhalten und installiert hat, müssen Sie nur noch auf „HTTPS erzwingen“ klicken und voila, Ihre gesamte Website ist jetzt verschlüsselt.

5. Halten Sie Ihre Plugins auf dem neuesten Stand

Ich meine nicht nur die wichtigsten, ich meine jedes Plugin, das Sie auf Ihrer Website installiert haben, jedes Mal, wenn es ein Update gibt. Warum ist es wichtig, Ihre Plugins auf dem neuesten Stand zu halten?

Der Hauptgrund ist natürlich die WordPress-Sicherheit. Gute Plugin-Autoren gehen WordPress-Sicherheitsprobleme an (wenn sie gemeldet werden) und veröffentlichen Patches so schnell wie möglich. Wenn Sie die automatische Aktualisierung aktiviert haben, müssen Sie nicht einmal etwas tun – Sie erhalten den neuen Code. Wenn Sie dies nicht tun, gehen Sie, sobald Sie sich anmelden und bemerken, dass es Updates gibt, zu Plugins, klicken Sie auf die Update-Schaltflächen, überprüfen Sie die Aktualisierung, und versuchen Sie dann, sich daran zu erinnern, warum Sie sich an erster Stelle überhaupt eingeloggt haben.

Wenn Sie ein SiteGround-Kunde sind, können Sie das SiteGround WordPress Auto Update Tool nutzen. Es hält Ihre WordPress-Websites jederzeit sicher und auf dem neuesten Stand. Es kümmert sich unter anderem auch um Ihre Plugins. In diesem Tool können Sie die Option für automatische Plugin-Updates in den Einstellungen aktivieren. Wenn Sie diese Option aktiviert haben, überprüft SiteGround bei jedem durchgeführten WordPress-Update, ob Ihre Plugins ebenfalls auf dem neuesten Stand sind, und aktualisiert sie auch für Sie.

Wenn Sie Ausfallzeiten in Euro messen, lohnt es sich sicherzustellen, dass Sie immer auf der neuesten und besten Version von allem sind und dass die wichtigen Plugins auf Ihrer Website ständig aktualisiert werden. Stellen Sie sicher, dass Ihre WordPress-Sicherheitsupdates zu Ihren obersten Prioritäten gehören.

Zusätzliche Schritte, um Ihre WordPress-Site sicherer zu machen

Für einige zusätzliche Tipps, wie Sie Ihre WordPress-Website noch sicherer machen können, sehen Sie sich das Video unten an und folgen Sie dann den empfohlenen Schritten. Denken Sie daran, dass Sie viele davon mit nur wenigen Klicks selbst erledigen können, wenn Sie das kostenlose SiteGround Security-Plugin verwenden.

Fazit

Das Geheimnis der Website-Sicherheit ist, dass es sich nicht um eine große Sache handelt, sondern darum, viele kleine Dinge zu tun. Diese wenigen einfachen Schritte helfen Ihnen, die Sicherheit Ihrer WordPress-Website zu verbessern. Jede Sicherheitsebene, die Sie Ihrer Website hinzufügen, macht es Angreifern ein wenig schwerer, hineinzukommen. Sie müssen keine absolut sichere Website haben, um ungefährdet zu sein. Sie sollten es den Angreifern nur so schwer machen, dass sie sich nicht die Mühe machen möchten, die Website anzugreifen. Angreifer werden irgendwann müde und gehen zu leichteren Zielen über … jenen Seiten, deren Besitzer diesen Blogpost nicht gelesen haben.