7 einfache Möglichkeiten, Ihre WordPress-Seite gegen Hacker zu sichern

Veröffentlicht am 17. Juli 2019

Beitrag teilen:

Inhalte:

WordPress ist das am weitest verbreitete Websitesystem weltweit. Man muss sich auch in den Hinterkopf rufen, dass WordPress „Open Source“ (öffentlich einsehbarer Quellcode) ist. Dadurch ist es für Hacker oftmals sehr einfach, Dateien oder Änderungen in WordPress einzuschleusen. Deshalb ist es extrem wichtig, die Seite gegen Hacker und Angriffe zu sichern und die WordPress-Sicherheit möglichst hoch zu halten.

Falls du WordPress noch nicht nutzt, findest du hier ein Tutorial, wie man WordPress aufsetzt.

Hier werde ich einige Punkte auflisten, wodurch man WordPress gut sichern kann.

1. Was kann passieren, wenn Hacker Zugriff auf meine WordPress-Website haben?

Naja, so einiges. Um einen kleinen Überblick zu verschaffen, hier eine Liste, die natürlich nicht vollständig ist:

Ungewollter Versand von Spam-E-Mails über die eigene E-Mail-Adresse
Werbebanner überall auf der Website
Zugriff auf alle gespeicherten Bilder/Texte/Daten/Passwörter
Permanente Deaktivierung der Website
Der eigene Account wird ausgesperrt

Dies waren nur wenige Punkte. Letztendlich kann der Angreifer noch viel mehr machen. Du siehst, es ist extrem wichtig, die Seite (zumindest so gut wie möglich) abzusichern.

2. WordPress aktuell halten

Das ist auch schon der wichtigste Punkt. Immer möglichst schnell auf die neuste Version von WordPress selbst und von den installierten Plugins und Themes updaten.

Dadurch werden bekannte Sicherheitslücken geschlossen, Fehler behoben und Angreifer müssten sich erst einen neuen Weg überlegen, wie sie auf die Website Zugriff erhalten.

Ich empfehle einen Aktualisierungsrhytmus von mindestens einmal pro Woche. Normalerweise sind da schon immer 1 oder 2 Plugins dabei, die geupdatet werden wollen. Es benötigt zwar etwas Zeit diese Updates durchzuführen, aber erschwert dem Hacker die Arbeit deutlich.

Also: Sobald du das Aktualisierungs-Icon in WordPress oben in der Adminleiste siehst, aktualisierst du am besten.

Doch Vorsicht!

Vergiss nicht, die Website danach auf Funktionstüchtigkeit zu prüfen, da Updates gelegentlich schief gehen und etwas zerstören können!

3. Zugangsdaten komplex halten

Die Wahl des Benutzernamens und des Passworts ist immer noch die größte Sicherheitslücke, die in einem WordPress-System bestehen kann.

Nutze auf keinen Fall den Standardnutzer „admin“ und beschränke das Passwort nicht auf ein paar Buchstaben.
Wichtig ist in diesem Kontext, dass du keine Wörter oder Sätze oder Zahlen verwendest, die irgendwie mit dir in Verbindung gebracht werden können.
Hacker versuchen so etwas als aller erstes zu knacken. Nutze also kein 77 im Passwort, nur weil du 1977 geboren wurdest.

Es ist an sich zu vermeiden, ganze Wörter zu verwenden. Hacker führen oftmals eine sogenannte „Brute Force“-Attacke aus, das heißt, ein Programm testet automatisch alle möglichen Kombinationen aus Benutzernamen und Passwörtern. Für Passwörter existieren ganze Listen an Wörtern (meist mehrere Milliarden), die einfach alle der Reihe nach probiert werden. Wenn du kein Passwort nutzt, das ein normales Wort ist, nimmst du dem Angreifer bei diesem Angriff schon mal zu einem Teil den Wind aus den Segeln.

Aber auch kurze Passwörter sind zu vermeiden, auch wenn sie sinnlos aneinander gereihte Buchstaben sind. Auch hier greift ein Hacker mit einem „Brute Force“-Angriff an, der einfach alle möglichen Kombinationen aus Buchstaben als Passwort durchprobiert.

Nutzt du jetzt nur ein 4-Stelliges Passwort, ist die Anzahl der Möglichkeit verschwindend gering.

Hacker versuchen Systeme zu Brute-Forcen

Um das einmal zu berechnen, bleiben wir mal bei dem Benutzernamen „admin“ und dem Passwort mit 4 Kleinbuchstaben. (Vorsicht, jetzt wird es mathematisch)

Es gibt eine Formel zum berechnen der Anzahl der Möglichkeiten:
Kombinationen = Anzahl möglicher Zeichen HOCH Passwortlänge
Somit wären das bei unserem Beispiel 26 (nur Kleinbuchstaben ohne ä,ö,ü und ß) HOCH 4 = 456976 Kombinationen.

Je nach Leistung des Computers des Angreifers kann dieser mindestens 2 Milliarden Versuche pro Sekunde ausführen. Das wären dann umgerechnet:
456.976 : 2.000.000.000 = 0,000228488 Sekunden, bis das Passwort geknackt wäre.

Ich empfehle somit eine Passwortlänge von mindestens 10 Zeichen, bestehend aus Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen. (Dauer zum Knacken: 777729 Tage. In dieser Zeit solltest du es sowieso schon wieder geändert haben)

Ich weiß, Passwörter in dieser Menge sind schwer zu merken. Aber dafür gibt es so genannte Passwort-Manager. Diese kannst du einfach in deinem Browser installieren und er speichert das Passwort für dich.

4. Login-Versuche beschränken

Da wir gerade bei der „Brute Force“-Attacke waren: Eine hierbei sehr hilfreiche Methode ist, den Login nach einer Anzahl an fehlgeschlagenen Login-Versuchen zu beschränken.

Hierfür eignet sich beispielsweise das Plugin „Login Lockdown„. In diesem kann man frei einstellen, nach wie vielen Versuchen sich der Login für wie lange sperrt.

5. Admin-Zugang beschränken

Es gibt noch eine weitere Möglichkeit, dem Hacker das Login über eine „Brute Force“-Attacke zu erschweren. Hierbei wird, bevor der Nutzer die Möglichkeit hat, einen Nutzernamen und ein Passwort einzugeben, eine weitere Nutzername und Passwortabfrage eingeblendet.

Falls du bei fabian heinz webdesign deine Website hostest, kannst du einfach bei uns anfragen – wir richten dir die Sperre gerne ein!

6. WordPress durch Backups sichern

Sichere deine Website am besten einmal pro Woche. Bei diesen so genannten „Backups“ wird die gesamte Website im Hintergrund gespeichert, sodass du im Fall eines erfolgreichen Angriffes auch auf die Zeit davor zurückkehren könntest. Dabei ist wichtig, dass du die Backups wo anders aufbewahrst und nicht auf dem gleichen Webspace, auf dem deine Website liegt.

7. Nutze SSL-Zertifikate

Für Websiten, die über ein Kontaktformular verfügen ist es sowieso schon inzwischen Gesetz: Die Domains müssen über ein SSL-Zertifikat verfügen.
Um zu verstehen, was diese Zertifikate bringen, muss ich dir die Methode der Hacker näherbringen.

Um diesen Angriff auszuführen, muss sich der Hacker im gleichen Netzwerk (WLAN oder LAN) wie du befinden. Das ist allerdings nicht so schwer wie du denkst: Es gibt auch hierfür Hackertools. Befindet sich der Hacker dann einmal in dem Netz, leitet er den Datenverkehr von dir über seinen eigenen Computer zum Router um (ARP-Spoofing). Dadurch kann er am Rechner alles mitlesen, was du so im Internet machst. Auch Passwörter sind offen einsehbar!

SSL-Zertifikate schützen Websites signifikant

Ein SSL-Zertifikat verschlüsselt den Netzwerkverkehr. Heißt, der Angreifer könnte nur noch verschlüsselte Werte lesen, mit denen er nichts anfangen kann.

Natürlich gibt es auch hierfür wieder Möglichkeiten, wie ein Hacker das trotzdem auslesen kann, jedoch ist es deutlich komplexer.

Was für ein SSL-Zertifikat auch sinnvoll ist, ist die Aktivierung von HSTS.
Falls du deine Website bei fabian heinz webdesign hostest, sprich uns einfach auf das SSL-Zertifikat an!

Übrigens

Ob deine Website über ein SSL-Zertifikat verfügt, siehst du beim Browser daran, dass in der Adresszeile https:// anstatt http:// steht.

Ein Beitrag von

Fabian Heinz

Kommentare (2)

Sandra

20. September 2019 um 13:46 Uhr

Antworten

Zitat aus Ihrem obigen Artikel:

„Es gibt noch eine weitere Möglichkeit, dem Hacker das Login über eine „Brute Force“-Attacke zu erschweren. Hierbei wird, bevor der Nutzer die Möglichkeit hat, einen Nutzernamen und ein Passwort einzugeben, eine weitere Nutzername und Passwortabfrage eingeblendet. Falls Sie bei fabian heinz webdesign Ihre Website hosten, können Sie im Verwaltungs-Backend unter „Tools“ auf „Verzeichnisschutz“ für Ihren „wp-admin“-Ordner solch eine Abfrage einrichten.“

Wie kann ich so etwas anlegen, wenn ich meine Webseite nicht bei Ihnen hoste? Gibt es ein Plugin dafür oder muss ich hierfür irgendwo einen Code eingeben? Es wäre nett, wenn Sie mir hierauf antworten könnten. Danke!

LG
Sandra
- Fabian Heinz
  
  20. September 2019 um 14:14 Uhr
  
  Antworten
  Hallo Sandra,
  ja, das ist möglich. Die Art und Weise hängt jedoch stark von den Systemen Ihres Hosters ab. Möglicherweise bietet der Hoster im Backend ebenfalls eine solche Funktion an. Falls nicht, hier die Anleitung (kurzfassung) für Apache-basierte Webserver:
  1. Legen Sie eine .htaccess Datei in Ihrem Webspace unter /wp-admin/ ab.
  2. Kopieren Sie folgenden Text in die Datei:
```
AuthUserFile PFADANGABE/.htpasswd
AuthGroupFile /dev/null
AuthName "Password Protected Area"
AuthType Basic
require valid-user
```
  3. Ersetzen Sie nun „PFADANGABE“ mit dem absoluten Pfad zu der Datei.
  4. Generieren Sie nun z.B. mit dem .htpasswd-Generator eine .htpasswd-Datei und platzieren Sie diese in dem eben angegebenen Ordner.
  
  Das ist nicht die sicherste Lösung, da optimalerweise die .htpasswd nicht direkt in dem Webspace, sondern außerhalb, gespeichert werden sollte. Jedoch hat man auf herkömmlichen angemieteten Webspaces hierzu keine Möglichkeit.

Schreibe einen Kommentar Antworten abbrechen

So erstellst du eine neue Menü-Position in deinem WordPress-Theme

Jedes WordPress-Theme hat bereits vordefinierte Menü-Positionen. Oft aber genügen die Positionen nicht; du möchtest an einer bestimmten Position ein eigenes Menü einbinden. Hier zeige ich dir, wie du ganz leicht eine neue Menü-Position in deinem WordPress-Theme erstellen kannst.

So erstellst du neue Widget-Bereiche in deinem WordPress-Theme

In jedem WordPress-Theme werden einige Widget-Bereiche mitgeliefert. In diesen Bereichen können alle möglichen Elemente angezeigt werden, ob Bilder, Texte oder Shop-Artikel. Hier erkläre ich dir, wie du ganz leicht eigene Widget-Bereiche anlegen kannst.

Wie du schnell und einfach ein WordPress Child-Theme erstellst

Fast jeder WordPress-Nutzer hat schon einmal von Child-Themes gehört. Hier erkläre ich die wichtigsten Punkte zum Thema WordPress Child-Themes und zeige dir, wie du diese erstellen und nutzen kannst.

Wie du mit nur 2 Zeilen Code FontAwesome lokal einbindest

Manchmal muss FontAwesome lokal eingebunden werden, dar die Einbindung der Icons über das Content-Delivery-Network (CDN) von FontAwesome nicht DSGVO-Konform ist – somit bleibt nichts anderes übrig als die Icons selbst auf dem Webspace lokal zu hosten. Im Folgenden erfährst du, wie das ganz einfach mit kaum Aufwand super leicht umsetzen kannst.

Wie du WordPress in 10 einfachen Schritten installierst

Mit WordPress kannst du super einfach Webseiten, Blogs, Shops und mehr erstellen. Um eine kleine Anleitung zu haben, wie man WordPress installiert, habe ich mal dieses kleine Tutorial mit Bildern geschrieben, damit man sich nicht alles ergooglen muss. Einfachkeit siegt!