7 einfache Möglichkeiten, Ihre WordPress-Seite gegen Hacker zu sichern
Beitrag teilen:
Inhalte:
WordPress ist das am weitest verbreitete Websitesystem weltweit. Man muss sich auch in den Hinterkopf rufen, dass WordPress „Open Source“ (öffentlich einsehbarer Quellcode) ist. Dadurch ist es für Hacker oftmals sehr einfach, Dateien oder Änderungen in WordPress einzuschleusen. Deshalb ist es extrem wichtig, die Seite gegen Hacker und Angriffe zu sichern und die WordPress-Sicherheit möglichst hoch zu halten.
Falls du WordPress noch nicht nutzt, findest du hier ein Tutorial, wie man WordPress aufsetzt.
Hier werde ich einige Punkte auflisten, wodurch man WordPress gut sichern kann.
1. Was kann passieren, wenn Hacker Zugriff auf meine WordPress-Website haben?
Naja, so einiges. Um einen kleinen Überblick zu verschaffen, hier eine Liste, die natürlich nicht vollständig ist:
- Ungewollter Versand von Spam-E-Mails über die eigene E-Mail-Adresse
- Werbebanner überall auf der Website
- Zugriff auf alle gespeicherten Bilder/Texte/Daten/Passwörter
- Permanente Deaktivierung der Website
- Der eigene Account wird ausgesperrt
Dies waren nur wenige Punkte. Letztendlich kann der Angreifer noch viel mehr machen. Du siehst, es ist extrem wichtig, die Seite (zumindest so gut wie möglich) abzusichern.
2. WordPress aktuell halten
Das ist auch schon der wichtigste Punkt. Immer möglichst schnell auf die neuste Version von WordPress selbst und von den installierten Plugins und Themes updaten.
Dadurch werden bekannte Sicherheitslücken geschlossen, Fehler behoben und Angreifer müssten sich erst einen neuen Weg überlegen, wie sie auf die Website Zugriff erhalten.
Ich empfehle einen Aktualisierungsrhytmus von mindestens einmal pro Woche. Normalerweise sind da schon immer 1 oder 2 Plugins dabei, die geupdatet werden wollen. Es benötigt zwar etwas Zeit diese Updates durchzuführen, aber erschwert dem Hacker die Arbeit deutlich.
Also: Sobald du das Aktualisierungs-Icon in WordPress oben in der Adminleiste siehst, aktualisierst du am besten.
Doch Vorsicht!
Vergiss nicht, die Website danach auf Funktionstüchtigkeit zu prüfen, da Updates gelegentlich schief gehen und etwas zerstören können!
3. Zugangsdaten komplex halten
Die Wahl des Benutzernamens und des Passworts ist immer noch die größte Sicherheitslücke, die in einem WordPress-System bestehen kann.
Nutze auf keinen Fall den Standardnutzer „admin“ und beschränke das Passwort nicht auf ein paar Buchstaben.
Wichtig ist in diesem Kontext, dass du keine Wörter oder Sätze oder Zahlen verwendest, die irgendwie mit dir in Verbindung gebracht werden können.
Hacker versuchen so etwas als aller erstes zu knacken. Nutze also kein 77 im Passwort, nur weil du 1977 geboren wurdest.
Es ist an sich zu vermeiden, ganze Wörter zu verwenden. Hacker führen oftmals eine sogenannte „Brute Force“-Attacke aus, das heißt, ein Programm testet automatisch alle möglichen Kombinationen aus Benutzernamen und Passwörtern. Für Passwörter existieren ganze Listen an Wörtern (meist mehrere Milliarden), die einfach alle der Reihe nach probiert werden. Wenn du kein Passwort nutzt, das ein normales Wort ist, nimmst du dem Angreifer bei diesem Angriff schon mal zu einem Teil den Wind aus den Segeln.
Aber auch kurze Passwörter sind zu vermeiden, auch wenn sie sinnlos aneinander gereihte Buchstaben sind. Auch hier greift ein Hacker mit einem „Brute Force“-Angriff an, der einfach alle möglichen Kombinationen aus Buchstaben als Passwort durchprobiert.
Nutzt du jetzt nur ein 4-Stelliges Passwort, ist die Anzahl der Möglichkeit verschwindend gering.
Um das einmal zu berechnen, bleiben wir mal bei dem Benutzernamen „admin“ und dem Passwort mit 4 Kleinbuchstaben. (Vorsicht, jetzt wird es mathematisch)
Es gibt eine Formel zum berechnen der Anzahl der Möglichkeiten:Kombinationen = Anzahl möglicher Zeichen HOCH Passwortlänge
Somit wären das bei unserem Beispiel 26 (nur Kleinbuchstaben ohne ä,ö,ü und ß) HOCH 4 = 456976 Kombinationen.
Je nach Leistung des Computers des Angreifers kann dieser mindestens 2 Milliarden Versuche pro Sekunde ausführen. Das wären dann umgerechnet:
456.976 : 2.000.000.000 = 0,000228488 Sekunden, bis das Passwort geknackt wäre.
Ich empfehle somit eine Passwortlänge von mindestens 10 Zeichen, bestehend aus Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen. (Dauer zum Knacken: 777729 Tage. In dieser Zeit solltest du es sowieso schon wieder geändert haben)
Ich weiß, Passwörter in dieser Menge sind schwer zu merken. Aber dafür gibt es so genannte Passwort-Manager. Diese kannst du einfach in deinem Browser installieren und er speichert das Passwort für dich.
4. Login-Versuche beschränken
Da wir gerade bei der „Brute Force“-Attacke waren: Eine hierbei sehr hilfreiche Methode ist, den Login nach einer Anzahl an fehlgeschlagenen Login-Versuchen zu beschränken.
Hierfür eignet sich beispielsweise das Plugin „Login Lockdown„. In diesem kann man frei einstellen, nach wie vielen Versuchen sich der Login für wie lange sperrt.
5. Admin-Zugang beschränken
Es gibt noch eine weitere Möglichkeit, dem Hacker das Login über eine „Brute Force“-Attacke zu erschweren. Hierbei wird, bevor der Nutzer die Möglichkeit hat, einen Nutzernamen und ein Passwort einzugeben, eine weitere Nutzername und Passwortabfrage eingeblendet.
Falls du bei fabian heinz webdesign deine Website hostest, kannst du einfach bei uns anfragen – wir richten dir die Sperre gerne ein!
6. WordPress durch Backups sichern
Sichere deine Website am besten einmal pro Woche. Bei diesen so genannten „Backups“ wird die gesamte Website im Hintergrund gespeichert, sodass du im Fall eines erfolgreichen Angriffes auch auf die Zeit davor zurückkehren könntest. Dabei ist wichtig, dass du die Backups wo anders aufbewahrst und nicht auf dem gleichen Webspace, auf dem deine Website liegt.
7. Nutze SSL-Zertifikate
Für Websiten, die über ein Kontaktformular verfügen ist es sowieso schon inzwischen Gesetz: Die Domains müssen über ein SSL-Zertifikat verfügen.
Um zu verstehen, was diese Zertifikate bringen, muss ich dir die Methode der Hacker näherbringen.
Um diesen Angriff auszuführen, muss sich der Hacker im gleichen Netzwerk (WLAN oder LAN) wie du befinden. Das ist allerdings nicht so schwer wie du denkst: Es gibt auch hierfür Hackertools. Befindet sich der Hacker dann einmal in dem Netz, leitet er den Datenverkehr von dir über seinen eigenen Computer zum Router um (ARP-Spoofing). Dadurch kann er am Rechner alles mitlesen, was du so im Internet machst. Auch Passwörter sind offen einsehbar!
Ein SSL-Zertifikat verschlüsselt den Netzwerkverkehr. Heißt, der Angreifer könnte nur noch verschlüsselte Werte lesen, mit denen er nichts anfangen kann.
Natürlich gibt es auch hierfür wieder Möglichkeiten, wie ein Hacker das trotzdem auslesen kann, jedoch ist es deutlich komplexer.
Was für ein SSL-Zertifikat auch sinnvoll ist, ist die Aktivierung von HSTS.
Falls du deine Website bei fabian heinz webdesign hostest, sprich uns einfach auf das SSL-Zertifikat an!
Übrigens
Ob deine Website über ein SSL-Zertifikat verfügt, siehst du beim Browser daran, dass in der Adresszeile https:// anstatt http:// steht.
Ein Beitrag von
Weitere Beiträge dieser Kategorie