WordPress sichern, einfache Schritte die jeder Laie kann

Sicherheitstipps für WordPress für Laien
Sicherheitstipps für WordPress für Laien

Brute Force Angriffe auf WordPress und Joomla legen die großen Hoster in Deutschland flach. Heute war es 1&1, letzte Woche ziemlich sicher all-inkl.com.

Bei „brute force“ Angriffen wird mit allen Mitteln versucht Zugang zu bekommen. Servertechniker sind gefragt und jeder, der eine Website hat muss auch was tun.

Ich erlebe Woche für Woche WordPress Installationen wo der User Admin mit dem Passwort „Hans678“ vertreten ist, wo die Sicherheitskeys bei der Installation nicht ausgefüllt sind. oder wo uralte WordPress Versionen im Einsatz sind gemeinsam mit WordPress Plugins. Oftmals bei Hostern, die WordPress und auch Joomla gleich in ihrem Angebot haben, Kunden damit locken, gleichzeitig aber fahrlässige Sicherheitspolitik betreiben.

Die Sicherheitstipps für WordPress machen sehr oft nur in NerdKreisen die Runde. Informiert die Freundin, den Freund, die Mama, den Papa, die Oma. Die freundliche Geschäftsfrau und die nette Verkäuferin.

Es nutzt nichts die nerdigen Hoster anzubieten, die sind Lieschen Müller und Max Mustermann zu kompliziert, kennt er nicht, wird er nie nutzen.

Perfekt versus Handeln

Perfekte Sicherheit ist eine Illusion und je komplizierter man Sicherheitsregeln macht, desto weniger werden sie genutzt.
6 Möglichkeiten biet ich hier an und jede, absolut jede sollte genutzt werden.

1. Loginversuche begrenzen

Dieses Plugin bietet die Möglichkeit, die Login Versuche zu begrenzen. Installieren, aktivieren, einstellen, es ist irr einfach und bietet ein Puzzle mehr Sicherheit. Limit Login Attemps.

2. Nutzer Admin löschen uralt, dennoch hochmodern

Viele WordPress Installationen haben den User „Admin“ oder „Administrator„.
Nach diesem Username wird bei Angriffen immer gezielt gesucht.

Wenn es nur einen einzigen Nutzer gibt und der Admin heißt => frage einen Entwickler, WP Kenner deines Vertrauens, ob er dir diesen Namen in der Datenbank ändert. => Dazu brauchts einen Zugang zur Datenbank und er sollte vorher ein Datenbankbackup machen.

Z.b. Hier auf der Texto.de siehst du beim Klick auf meinen Namen die Autorenseite „texto“. Diesen User gibts aber hier nicht(mehr). Ich habe den Namen in der Datenbank geändert.

3. Passwörter regelmäßigst ändern

Es steht bei der Passworteingabe:

 Hinweis: Dein Passwort sollte mind. 7 Zeichen lang sein. 
Um es sicherer zu machen, nutze die Groß- und Kleinschreibung, 
Ziffern und Symbole wie ! " ? $ % ^ & ). 

Diese Sonderzeichen nutzen!

4. Fremde Nutzer löschen oder deren Passwort ändern

Hast du einen fremden Entwickler, WordPress Könner einmal Zugang zu deinem WordPress gegeben oder ist dort die Agentur, der WebDesigner noch drin. Dann lösche entweder diesen Nutzer oder verpass ihm ein neues Passwort. Schicke dies per E-Mail zu. WP bietet diese einfache Möglichkeit ja.

5. Updates machen

Findest Du die Angabe, dass Plugins erneuert werden müssen, dass du eine veraltete Version von WordPress nutzt, dann mache das Update.
Traust Du dich nicht, dann suche dir einen Entwickler, WebDesigner, WordPress Könner, der es dir macht. Updates sind keine Schikane, sondern eine Sicherheitsmaßnahme.
Hier eine einfache Hilfe wie ein WordPress Update 100% funktioniert.

6. wp-config.php Sicherheitsschlüssel erneuern

In der wp-config.php sind Sicherheitsschlüssel seit Version 2.6 angegeben. Die hoffentlich bei der Installation auch benutzt wurden. Diese Sicherheitsschlüssel einfach erneuern.

Die wp-config.php mit einem FTP Programm deiner Wahl (Filezilla, Cyberduck) auf deinen PC holen.
Dort mit einem Texteditor öffnen.

Diese Url aufrufen und dann alle Keys kopieren. => Sicherheitsschlüssel

Diese Zeilen in der wp-config.php markieren und dann die neuen Keys einsetzen.


define('AUTH_KEY',         'put your unique phrase here');
define('SECURE_AUTH_KEY',  'put your unique phrase here');
define('LOGGED_IN_KEY',    'put your unique phrase here');
define('NONCE_KEY',        'put your unique phrase here');
define('AUTH_SALT',        'put your unique phrase here');
define('SECURE_AUTH_SALT', 'put your unique phrase here');
define('LOGGED_IN_SALT',   'put your unique phrase here');
define('NONCE_SALT',       'put your unique phrase here');

Hast du eine sehr alte WP Installation, kann es sein, dass da bei dir noch weniger Schlüsseln angezeigt werden. Macht nichts, nutze einfach die von dem Link oberhalb. :-)

Die Datei speichern und wieder mittels FTP Programm hochladen. Du wirst aufgefordert die vorhandene zu ersetzen und das musst du tun.

Hilfe, ich trau mich das nicht.

Ok, dann wende Dich an jemand, der das kann und dieser Person musst Du die Zugangsdaten für den FTP und einen Adminaccount zu deinem WordPress geben und den Link zu diesem Artikel. Findest Du die Zugangsdaten zum FTP nicht, dann frage bei deinem Hoster nach wie das geht. Warten ist nicht mehr! Es eilt.

Bitte weitergeben, von mir aus ausdrucken und weitergeben :-)
28

28 Beiträge zu “WordPress sichern, einfache Schritte die jeder Laie kann

  1. Kommentar Autor
    Dirk
    Kommentar

    Hilfreich ist es auch das Verzeichnis wp-admin per htaccess mit einem Benutzernamen und Passwort zu schützen. So kommt noch vor der Login-Seite eine entsprechende Abfrage. Kann man bei den meisten Webhostern, z.b. auch all-inkl.com, über den Account einrichten, ohne groß Kenntnisse über htaccess oder FTP haben zu müssen…

  2. Kommentar Autor
    Monika
    Kommentar

    Danke Dirc für den Hinweis,
    ich habe oft Kunden, die sich nicht einmal einen FTP Zugang einrichten trauen. :-)

  3. Kommentar Autor
    Daniel Stark
    Kommentar

    Einfach das komplette wp-admin-Verzeichnis per .htaccess zu sichern, ist nicht immer sinnvoll. Zum Teil benötigen Themes und Plugins Dateien aus dem wp-admin-Verzeichnis. Diese müssten explizit ausgeschlossen werden aus der Sicherung. Noch komplizierter wird es, wenn man registrierte Mitglieder hat, die z.B. Benutzerprofile pflegen, Passwörter ändern wollen etc.
    Das kann man zwar alles regeln, würde aber den Standard-Anwender überfordern.

  4. Kommentar Autor
    Monika
    Kommentar

    korrekt @Daniel
    bin ich alleine, dann kann ich ganz speziell die wp-login.php absichern, sonst habe ich Probleme mit Scripten etc… alles andere ist kaum machbar und verleidet jede Community.

  5. Kommentar Autor
    Monika
    Kommentar

    Hi Birgit
    ich trau dem weniger als meiner htaccess.
    Was wenn mein Smartphone gestohlen wird, denn das passiert häufiger als ein weiterer BruteForce Angriff.

  6. Kommentar Autor
    Mike
    Kommentar

    Hi Monika,

    die Attacken nennen sich Brute Force, und nicht Bruto Force ;-)
    Diese Art von Attacken sind ja nichts Neues. Das hatten wir schon in Zeiten, wo man mit dem Telefonmodem ins Netz ging. Aber wenn das WP-System! selbst hier keine Restriktionen einbaut, dann nehmen die User eben den (Super)User:admin und Passwort:admin123. Ansonsten ein interessantes und wichtiges Thema, was jeden interessieren sollte, der sich mit WordPress auseinandersetzt.

  7. Kommentar Autor
    TmoWizard
    Kommentar

    Hallöchen Monika!

    Zu den Punkten 2 und 6 hätte ich was zu sagen:

    2.) Einen neuen Administrator mit anderem Namen erstellen, als dieser einloggen und den alten Admin einfach löschen. Schon ist er weg und jeder Angriff in diese Richtung geht in’s Leere.

    6.) Dafür gibt es das Plugin „Update Unique Keys“, ein Klick und alle 8 Keys sind geändert!

    Grüße aus TmoWizard’s Castle zu Augsburg

    Mike, TmoWizard

  8. Kommentar Autor
    Monika
    Kommentar

    @ Mike ich soll wohl keine Rechnung dazwischen tippen ;)
    ich glaub ich habe das „Falsche“ derzeit im ABO => aber sowas von

    stimmt @TMOWizard
    ich mag bloß kein Plugin empfehlen, dass schon lange nicht mehr erneuert wurde, mir ist klar, dass es noch läuft, dennoch. Und danke für die Idee!

  9. Kommentar Autor
    Birgit
    Kommentar

    Monika, wenn das Smartphone geklaut wird – woher weiß die App, zu welchem „Dienst“ dieser generierte Code gehört? Ich hab grad nochmal nachgesehen, wenn man nicht dem dort hinterlegten „Konto“ einen eindeutig mit der WP-Installation in Zusammenhang zu bringenden Namen wählt, dann kann man nicht ersehen, wo der Code dazugehört.
    Und: WP „manage“ ich nicht übers Smartphone

  10. Kommentar Autor
    Jan
    Kommentar

    Hi,

    eigentlich ein netter Beitrag, wenn auch meine Leseeigenschaften nicht leiden müssten. Zukünftig bitte auf korrekt gesetzte Kommata oder wenigstens auf einen ordentlichen Satzbau achten. Dies macht mehr Spaß und wirkt auch noch richtig kompetent. Vor dem Posten einfach kurz durchlesen und ggf. korrigieren. Und dann noch diese ständigen „Wo“s ,,,,Zitat „Ich erlebe Woche für Woche WordPress Installationen wo der User Admin mit dem Passwort “Hans678″ vertreten ist, wo die Sicherheitskeys bei der Installation nicht ausgefüllt sind. oder wo uralte WordPress Versionen im Einsatz sind gemeinsam mit WordPress Plugins. “

    Merci
    Jan

  11. Kommentar Autor
    Monika
    Kommentar

    grüß Dich Jan
    Mein Stil gefällt Dir nicht, fehlende oder zuviele Beistriche stören fürchterlichst deinen Lesefluss. Das ist eine Katastrophe.

    Ich interpretiere Deine Rückmeldung derart:“Hi Monika, sei so nett, gibt kostenfreie WP-Tipps, schenke mir CodeBeispiele, damit ich mir den Coder erspar und das ganze bitte in Rilke Manier, denn literarisch erbaut werden möcht ich auch noch dabei. Lieferst du all das nicht in perfekter Form, dann zweifle ich an deiner Fachkompetenz.“

    Versichern mag ich Dir, dass ich nicht gedenke meinen Stil zu ändern, meine Beistrichfehler bereits meine Deutsch-Lehrerin zur Verzweiflung brachten. In Mathe und Physik hingegen störten sie den Lesefluss der dortigen Lehrkräfte niemals. Die konnten unterscheiden.

    Fazit: Literarisch bau ich Dich auch sicher zukünftig nicht auf, ich liefere zuwenig Spaß.
    Vor dem Veröffentlichen kontrollier ich meine Tipps, jedes Codebeispiel auf seine Richtigkeit und weiß dennoch, es kann sich ein Fehler einschleichen.
    Halbherziges „eigentlich“ wirst Du hier umsonst suchen, weil entweder steh ich hinter einer Veröffentlichung, dann ist sie sichtbar oder ich steh nicht dazu.

    „Halbherzige“ Kritik mag in noch so korrektem Deutsch geschrieben sein, ist sie versteckt hinter Anonymität wird sie zur destruktiven Kritik vor allem, wenn sie mit dem Wort „eigentlich“ beginnt.

    Als unverbesserliche Optimistin gehe ich aber davon aus, dass du konstruktive Kritik anbringen wolltest. Ich lade Dich daher ein meine Artikel zukünftig zu korrigieren, dann kannst du Beistriche richtig stellen, stilistisch ausbessern. Zeitvorgaben sind einfach. Ich tippe, schreib dich an und innerhalb einer Stunde muss der Artikel raus, weil irgend jemand dringend ein CodeBeispiel oder Sicherheitstipps braucht, weil grad Panik geschoben wird wegen xyz.

    ein herzliches „VergeltsGott“ ist dir von mir sicher,
    Monika

  12. Kommentar Autor
    Anni Freiburgbärin von Huflattich
    Kommentar

    Grüß Dich Gott, Monika,
    danke für die Zusammenfassung. Da die meisten Angriffe automatisiert durchgeführt werden, leisten Captchas im Anmeldeformular gute Dienste, ansonsten sind sie ein gute Schutz gegen Trollkommentare. Für Passworte gilt die Geißblattregel: Je länger, je lieber.
    Der Schutz gegen Angriffe ist ganz besonders auf Betriebssystemebene effektiv (Datei-, Verzeichnisrechte), auch da gilt, je restriktiver, desto sicherer.
    Was allerdings die Sicherheitscodes in der config bewirken sollen, das habe ich bis jetzt nicht verstanden.

    Liebe Grüße

    Anni

  13. Kommentar Autor
    Anton
    Kommentar

    Hallo,
    ich habe mir das Plugin WP Better Security instaliert, da gibt eine Checkliste
    die man durchgehen kann und entsprechende Einstellungen dann vornehmen.

    Das Tool ist auch in der Lage Login Versuche zu blocken wenn es zu viele auf
    den nicht vorhandene „admin“ sind etc. Es ist schon erschreckend was sich da abspielt wenn man sich die Logs von dem Tool anschaut. Meine .htacess blocking Liste füllt sich immer mehr mit chinesischen IPs.

    Grüsse
    Anton

  14. Kommentar Autor
    Sven
    Kommentar

    Hallo Monika und all die anderen,
    Wieder ein Thema was immer WICHTIG ist, Danke. Hier noch ein Tipp „wp-ninja-plugin“ hat bei meinen insgesamt 53 Blogs bisher gute Dienste geleistet. Hab natürlich noch die diversen anderen Plugs drin und kann so sagen seit wp-ninja keine spürbaren und geloggten Angriffe mehr. Versuche ENDEN mit Fehlerseite.

    LG vom Mittelrhein

    Sven

  15. Kommentar Autor
    pixolin
    Kommentar

    @Anton: Was tut man nicht alles: WordPress. Sicheres WordPress. Noch sichererereres WordPress dank Plugin. Und jetzt sogar ein „besseres Plugin zur Sicherheit von WordPress“. Tja, wenn man sich da nicht sicher fühlt …

    Einen recht interessanten Beitrag über solche – vermeintliche! – Sicherheit hat die WordPress Core Mitwirkende Mika Epstein (besser bekannt unter ihrem Nick Ipstenu) gerade veröffentlicht: http://halfelf.org/2013/false-security/ Absolut lesenswert für alle, die auf Plugins aus der Homöopathischen Hausapotheke von WordPress stehen. :)

    Meine Erfahrung mit einigen Blogs, die ich seit 2009 betreue, ist, dass WordPress Hacking-Angriffen auch ohne Wundermittelchen gut trotzen kann. Vorausgesetzt, man verhält sich nicht dämlich, nimmt also z.B. nicht als Passwort „12345“ und Usernamen „admin“ (davor wurde schon vor Jahren gewarnt und nicht erst seit dem Blog-Eintrag von Matt Mullenweg vor ein paar Tagen) und hält Updates für unnötige Zeitverschwendung („wieso, 3.0 tut’s doch?!“). Und soweit hat Monika das doch gut dargestellt.

    Die Gefahren, die sich aus schlecht programmierten Plugins ergeben, dürften jedenfalls um einiges höher ausfallen.

  16. Kommentar Autor
    Monika
    Kommentar

    @pixolin Mikas Tipps sind gut => obwohl ich nicht überall ihrer Meinung bin.
    Ich schrieb es grade anderorts: viele kleine böse Bots hielt ich mir schon ab, weil ich die WP Version aus dem Header geholt habe.
    Und der Tabellenpräfix-änderer ist keine Sicherheitsmaßnahme gegen Einbrecher, sondern für die Benutzer von WP;). Lernen sie das zu tun, kommen keine urbösen Überraschungen, wenn sie zwei oder mehrere WP Installationen in einer Datenbank haben wollen.

    Die Gefahren gehen manchmal auch von extrem schlecht programmierten sogenannten Theme-Frameworks aus. Aber sie liefern doch so urgeile Optionen [die man nie braucht ..]
    :-)

  17. Kommentar Autor
    Horst
    Kommentar

    Hallo Monika,

    auf jeden Fall ein sinnvoller Beitrag zum Thema Sicherheit. Ich setze auch auf eine doppelte Sicherung, also 1. Absicherung der Datei wp-login.php per .htaccess und 2. wer es tatsächlich auf die Login-Seite schafft, der hat Dank des Plugins „limit-login-attempts“ nur drei Versuche, danach wird die IP-Adresse gesperrt.

    Das ganze steht und fällt natürlich mit der Sicherheit der vergebenen Passwörter. Ich vergebe mittlerweile 20-stellige Passwörter, die ich mir natürlich nicht alle merken kann. Dafür nutze ich das Tool „roboform“, ein sehr guter Passwortmanager, leider nicht kostenlos, aber bezahlbar.

    Auf meiner Website biete ich ein kostenloses Whitepaper an, welches es jedem User ermöglicht, sein WP-System relativ sicher zu machen.

    Abschließend noch ein Wort zum Thema Plugins. Man stelle sich einmal das Alptraumszenario vor, dass ein Hacker ein Sicherheitsplugin entwickelt und kostenlos zur Verfügung stellt. Mein Ratschlag daher: Bei jedem Plugin, das man installieren will, mal nach dem Namen des Autors googlen. Findet man dann eher Seltsames, besser Finger weg von diesem Plugin.

    Grüße aus Köln
    Horst

  18. Kommentar Autor
    Till
    Kommentar

    Hallo,
    die Tipps finde ich ganz gut und ich glaube auch, dass „einfache“ Nutzer, so wie ich, damit ganz gut fahren. Nun interessiere ich mich für Verschlüsselung und weiß daher, dass der Usernamer völlig egal ist. Er ist auch bei mir immer noch admin. Einzig und dass ist wichtig, der Schlüssel ist wichtig. Mein Kennwort ist 18 Stellen lang hat Buchstaben, Zahlen, Sonderzeichen und Doppelungen. Sollte dieses nicht ausreichen, dann haben wir auch in der Kryptografie ein massives Problem. Darum empfehle ich allen meinen Bekannten immer ein sehr „starkes“ Passwort zu generieren. Das ist besser, als sich noch einen „abgedrehten“ Username auszudenken. Eine Anekdote am Rande, Lieblingsusername in den 90er von Admins in den USA war God oder Lord.
    Gruß Till

  19. Kommentar Autor
    Anton
    Kommentar

    Hallo,
    hm ich hab grad ein neues Theme instaliert (Sahifa), das benutzt ein Framework names TiePanel, hab ich mir da jetzt wieder eine neue Gefahr ins Haus geholt ?
    Mir ist die Sicherheit von dem WP ziemlich wichtig da auf der gleichen Domain auch der Onlineshop gehostet wird.

    Grüsse

    Anton

  20. Kommentar Autor
    Monika
    Kommentar

    grüß Dich Anton, ich kenne weder das Theme noch deren Framework,
    ich fühl mich absolut überfordert all diese Themes und deren Frameworks zu kennen, weil es derart viele sind.
    Aber bei einem bin ich mir sehr sicher, wenn du „sichere Programmierung“ haben magst, dann leiste Dir wpSEO und deaktiviere das Plugin von Yoast, ich bin mir extrem unsicher, ob seine Art der Programmierung wirklich immer gut ist… .

  21. Kommentar Autor
    Anton
    Kommentar

    Hallo Monika,
    hm woher weist das ich Yoast verwende ?

    Grüsse

    Anton

  22. Ping Meine Lesetipps: Juni 100 Links - Webdesign-Doll

  23. Ping Wordpress Information im Web | Gedankensalat

  24. Kommentar Autor
    fantasylife
    Kommentar

    Hallo Monika,

    das ist ja super beschrieben, vor allem wie man die Sicherheitskeys ändert, so hab ich das auch als Anfängerin gleich geschafft.
    Nur meine Frage, wie oft sollte man denn die Keys etwa ändern? Gibt es da eine Empfehlung?

    Liebe Grüße fantasylfie

  25. Kommentar Autor
    Monika
    Kommentar

    hi fantasylife :-) ich vermute mal, das ist das Hauptkey und nicht dein Name :-)
    es gibt keine „best practise“ wie oft man die Sicherheitskeys ändern sollte => ich mach das tatsächlich nach Laune und Zeit …