WordPress Website – 4 Tipps zur Sicherheit deine Website
Nichts ist sicher, auch nicht deine WordPress Website!
Den Grundsätzlich ist hier zu sagen: Jede Website kann gehackt werden, es ist nur eine Frage von Zeit und Leistung.
Und in vielen Fällen unterstützen wir die „bösen“ Buben und Mädchen sogar noch dabei! Warum das so ist und wie du es besser machen kannst, darum geht es in diesem Blogartikel.
Inhaltsverzeichnis
Bei der Recherche zu meinem Blogartikel bin ich auf den Artikel von Wordfence* gestoßen. Der beschäftigt sich mit dem Thema „Wie Angreifer Zugriff auf WordPress-Sites erhalten“. In diesem Artikel ist die nachfolgende Grafik zu sehen.
Diese zeigt hervorragend, wo die „üblichen“ Schwachstellen deiner WordPress Website liegen:
Veraltete Plug-ins, Themes, PHP, WordPress Versionen & Brute-Force-Angriffe. Diese beiden sind laut dem Artikel für fast 70 % der Probleme von WordPress Websites verantwortlich. Die Mehrzahl der Websites werden also über veraltete Plug-ins, Themes & WordPress-Versionen geknackt.
Was ist den ein Brute-Force-Angriff?
Auf die Login-Seite werden sogenannte „Brute-Force“ Attacken los geschickt. Dabei werden mit möglichst viel Rechenpower ganz viele Anmeldeversuche gestartet. Üblicherweise ist diese eine Kombination aus üblichen Nutzernamen und den klassischen Passwörtern. Für diese Attacken lassen Hacker ihrer Crawler täglich tausend bis hunderttausendfach gegen die WordPress Websites im World Wide Web laufen.
Welche Ursachen kann es haben, wenn deine WordPress-Website gehackt wird.
Das kostenlose Content-Management-System WordPress mit seinen unzähligen Plug-ins zählt mit ca. 60 % Marktanteil zu den beliebtesten Systemen. Leider auch bei den „bösen“ Buben und Mädchen. Die nachfolgenden 4 Punkte sind die vermutlich größten Verursacher:
1. Veraltete Plug-ins & Themes
Der Traum von vielen Entwicklern von Plug-in oder Themes unterliegt dem Irrglauben: einmal erstellt, dann muss es nie wieder weiterentwickelt werden! In unserer digitalen wirklich rasanten Zeit ändern sich die technischen Gegebenheiten (WordPress-Core, Server, usw.) ständig. Sodass, man als Entwickler sein Plug-in oder Theme dauernd weiterentwickeln und anpassen muss. Verwendet daher immer nur Plug-ins oder Themes, die über einen Support und eine nahe Update Historie verfügt.
Plug-ins oder Themes, die seit min. 2 Jahren kein Update mehr hatten, sind nicht mehr vertrauenswürdig.
Als Beispiel seht ihr hier die SEO Plugins. Der Platzhirsch und von de Usern am meisten geladenen ist YOAST, hier wird fleissig aktualisiert und entwickelt. Ich selbst verwende RankMath SEO und auch dieses wird regelmäßig weiterentwickelt.
2. Updates für deine WordPress Website werden nicht gemacht
Die verlangten Updates von WordPress selbst, den Plug-ins und Themes müssen regelmäßig eingespielt werden. Diese werden von den Entwicklern zur Verfügung gestellt und schließe meistens Sicherheitslücken. Im Klartext jedes gemachte Update ist eine weitere Hürde für die „bösen“ Buben und Mädchen.
Bitte nicht dem Trugschluss unterliegen, dass nur, weil es „Kostenlos“ ist, dass du selbst nichts mehr tun musst.
3. Passwörter
Wenn ich für jedes Mal, wenn ich erkläre, wie wichtig Passwörter sind €1,- erhielte, könnte ich sicher schon sehr fein nach New York fliegen.
Leider haben viele 1 Passwort für alles und das ist dann auch noch nur 8 Zeichen lang, möglichst leicht zu erraten. Großartig, das verschafft den „bösen“ Buben und Mädchen einen klaren Vorteil, den nicht nur das dieses technisch ausgezeichnet ausgestattet sind, kennen sie sich auch menschlicher Verhaltensweisen aus und wie man die am besten ausnutzt.
Fühlt ihr euch jetzt ertappt?
Ich habe für euch zwei fiktive Passwörter in einen Passwortchecker eingegeben, um euch zu zeigen, wie groß der Unterschied ist (keines dieser beiden habe ich wirklich in Verwendung):
Einmal ein Standard Passwort dieses besteht aus der Kombination:
Mein Name + Geburtsdaten und 1 Sonderzeichen
Moni!1577
Die Überraschung ist, irgendwer verwendet dieses tatsächlich. Das was angezeigt wird ist allerdings keine Überraschung.
Quelle: https://password.kaspersky.com
Und dann eines meiner selbst kreierten Passwörter.
Großbuchstaben in Kombination mit Kleinbuchstaen und weiteren Sonderzeichen und 24 Zeichen lang .
gM&7G!l58rAkl.GMh%wNj@eO
Ihr seht den Unterschied.
Quelle: https://password.kaspersky.com
Technisch lässt sich ein 8 Zeichen langes Passwort, kleingeschriebene Buchstaben, ohne Sonderzeichen und Zahlen in nur ca. 4 Minuten knacken. Schon die Verwendung von Großbuchstaben verlängert es auf 15 Stunden!
Bitte eure Passwörter mit diesen Kriterien erstellen:
- 10 – 16 oder mehr Zeichen
- Buchstaben, klein und groß
- Zahlen
- Sonderzeichen
4. PHP nicht aktuell
Vielen Anwendern ist nicht die Wichtigkeit oder Notwendigkeit der PHP nicht bewusst.
PHP ist die Programmiersprache, auf der WordPress aufgebaut ist. Die aktuelle Version, mit der du loslegst bei der Erstellung deiner WordPress Website wird von deinem Provider auf Serverebene festgelegt. Die PHP aktuell zu halten ist notwendig und muss bei vielen Providern händisch erledigt werden. Meistens ist es nur ein Klick, aber der muss aktiv getätigt werden.
Was die genauen zwei wichtigsten Vorteile, PHP aktuell zu halten, möchte ich hier nun direkt WordPress zitieren (Quelle: https://de.wordpress.org/support/update-php/) :
„Deine Website wird schneller, weil die aktuelle Version von PHP effizienter ist. Die Aktualisierung auf die aktuell unterstützte Version (derzeit 7.4) wird die Leistung enorm steigern – im Vergleich zu älteren Versionen bis zu drei oder vier Mal schneller.
Deine Website wird sicherer sein. PHP, wie auch WordPress, werden von der Community gepflegt. Da PHP so beliebt ist, ist es ein Ziel für Hacker – aber die neueste Version wird über die neuesten Sicherheitsfunktionen verfügen. Ältere Versionen von PHP haben diese nicht, daher ist die Aktualisierung unerlässlich, um deine WordPress-Website zu schützen.“
Was du selbst für die Sicherheit deiner WordPress Website tun kannst:
- Mit regelmäßig durchgeführte Updates dein System aktuell halten.
- Datensicherung ist ein „Must-have“ nicht bloß eine Option!
- Lass nicht jeden ungesichert auf deine Website – daher Benutzerverwaltung und immer Benutzerrollen in WordPress vergeben.
- Wähle deinen Provider nicht nur nach dem Preis – Serversicherheit, Geschwindigkeit usw., dein Profi unterstützt dich sicher bei der Auswahl.
- Verwende ein sicheres Passwort (min. 16 stellen und aus Zahlen, Sonderzeichen und Kleinbuchstaben bestehen).
Als zusätzliche Sicherheitsschranke könntest du ein Plug-in einbauen, das deinen wp-admin umbenennt. Damit nimmst du den primitiven Brute-Force-Attacken ein wenig Wind aus den Segeln ;)
WPS Hide Login
Das kostenlose Plug-in tut genau nur eins: Es ändert die beiden URLs /wp-admin und /wp-login.php auf die Adresse, die du festgelegt hast. Damit schaffst du eine kleine Barriere und deine Seite wird etwas sicherer.
Auch kannst du zusätzlich eines der vielzähligen Sicherheitsplugins nutzen. Sie alle haben vor und Nachteile. Die meisten kannst du bei der geltenden DSGVO momentan sogar nur unter dem Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse) einsetzten. Was sie für mich nur teilweise brauchbar macht. Daher kann ich hier nicht wirklich eines empfehlen.
Was ich aber tun kann, ist dir einen sehr hilfreichen Link an die Hand geben. Finn von Blog Mojo hat die gängigsten Sicherheitsplugins unter die Lupe genommen und sie untereinander verglichen. So kannst du selbst auswählen welches für dich vertretbar ist.
Die Gute Nachricht!
Durch all diese Maßnahmen zusammen, lässt sich das Risiko und die damit verbundenen Ausfälle vermindern. Ist doch das unser oberstes Ziel, wenn es um die Sicherheit unserer WordPress Websiten geht!
Hier noch ein Blogartikel für alle, die tiefer in die Materie einsteigen möchten.
Viele von uns Profis bieten, für Wartung & Backup ihre Unterstützung an, sodass du dich darum kümmern kannst, aber nicht musst, wenn das deine Zeit nicht zulässt oder es dich auch schlicht weg überfordert.
Ich hoffe, du konntest wieder etwas für dich mitnehmen und kannst in Zukunft den „bösen“ Buben und Mädchen die „Arbeit“ etwas schwerer machen ;))
Ich bin Monika, der kreative Kopf von sternloscreative. In meiner grafischen sternenschmiede dreht sic alles um Neugründer:innen, Klein- und Einzelunternehmer:innen.
Dir hat meine Blogartikel gefallen?
Du bist an einer Zusammenarbeit mit mir zum Thema Webdesign deiner neuen oder
schon bestehende Website interessiert?
Unterstützung in Sachen Datenschutz für Neugründerinnen, Klein- und Einzelunternehmerinnen!