Stellen Sie sich vor, Sie sitzen gemütlich zu Hause bei einer Tasse Kaffee oder Tee. Alles ist friedlich und wunderbar. Auf einmal vernehmen Sie seltsame Geräusche aus dem Flur. Sie stellen ihre Tasse auf den Tisch und sehen nach, was da los ist. Die verdächtigen Geräusche kommen von der Haustür. Jemand, der eindeutig keinen Schlüssel besitzt, versucht gerade, sich illegal Zugang zu Ihrem Haus zu verschaffen. Zu Ihrem wundervollen Haus, das Sie liebevoll gebaut und eingerichtet haben.
Nachdem die erste Schreckstarre vorbei ist, überlegen Sie fieberhaft, was zu tun ist. Natürlich rufen Sie die Polizei. Die konnte niemanden entdecken, schlägt Ihnen aber vor, das Haus besser gegen Einbruch zu sichern. Natürlich ist gerade Wochenende, die Geschäfte haben geschlossen und Sie müssen versuchen, bis Montag das Haus, so gut es geht, gegen Einbruch zu schützen.
Erschreckenderweise nehmen die verdächtigen Geräusche kein Ende. Tag und Nacht hören Sie immer wieder, wie jemand versucht, sich Zutritt zu verschaffen. Eine erschreckende Vorstellung, oder?
Schreck, lass nach!
So ähnlich fühlte ich mich, als ich am Wochenende die E-Mails im Postfach von Life 40up! checkte. Das von mir auf WordPress installierte Sicherheits-Plugin Limit Login Attempts meldete diverse fehlgeschlagene Anmeldeversuche. Da versuchte jemand also ganz massiv, sich seit der vergangenen Nacht Zugang zu meinem Blog zu verschaffen – und die Angriffe nahmen kein Ende!
Nach der ersten Schrecksekunde überlegte ich fieberhaft, was ich tun könnte: Ist das Passwort sicher genug? Habe ich alle nötigen Plugins installiert und unnötige deinstalliert? Wo ist meine Linkliste mit den Sicherheitstipps für WordPress? Und und und…
Nun bin ich der Typ Mensch, der gerne mit Checklisten und Fachliteratur arbeitet, wenn er etwas Neues in Angriff nimmt. Wenn mich ein Thema fasziniert, dann möchte ich mir so viel Wissen wie möglich darüber aneignen. Folglich hatte ich bei der Installation des Blogs schon die meisten empfohlenen Sicherheitsvorkehrungen getroffen. Dennoch entdeckte ich einige Schwachstellen, die ich beheben konnte. Seitdem gab es keine neuen Angriffe, und ich hoffe, dass mein Blog jetzt gut gesichert ist.
Damit anderen Bloggern diese Panik erspart bleibt, hier nun…
Die 8 besten Tipps zum Schutz Ihres Blogs
1. Halten Sie die Software Up-to-Date
Das gilt sowohl für die aktuelle WordPress-Version, als auch für Plugins und Themes. Immer möglichst zeitnah auf die aktuelle Version updaten.
2. Löschen Sie, was Sie nicht benötigen
Das gilt sowohl für nicht aktivierte Plugins, als auch für nicht genutzte Themes. Also: weg damit, sonst droht eine Sicherheitslücke!
3. Backups, Backups, Backups!
Legen Sie regelmäßig Sicherungskopien Ihres Blogs an. Wenn Sie häufig bloggen, sichern Sie häufig, z.B. mit dem Plugin BackWPup
4. Installieren Sie ein Sicherheitsplugin
Auf dem Blogst BarCamp wurden 2 Plugins empfohlen:
- iThemes Security (hieß vorher Better WP Security) . Dort im Sicherheitsstatus unter all die High Priority Items und Medium Priority Items durchgehen und Mängel beheben.
- Antispam Bee schützt vor Spam und ist – was das deutsche Datenschutzrecht betrifft – unbedenklich.
5. Ändern Sie Ihren WordPress Admin Benutzernamen
Wie das geht, wird Ihnen hier ausführlich erklärt.
6. Wählen Sie ein starkes Passwort
WordPress empfiehlt: Das Passwort sollte mindestens 7 Zeichen lang sein. Um es sicherer zu machen, verwenden Sie Groß-/Kleinschreibung, Ziffern und Symbole wie ! ” ? $ % ^ & ). Weitere Infos zu sicheren Passwörtern gibt es hier und hier.
7. Beschränken Sie fehlerhafte Login-Versuche
Das Plugin Limit Login Attempts hilft hier weiter.
8. Checken Sie, ob ihr Blog von Malware befallen ist
Sucuri entdeckt und entfernt Malware auf Websites. Kostenloser Scan der eigenen Website.
Weiterführende Links:
- 10 Schritte zum Schutz des Admin-Bereichs
- How to protect your WordPress site before the Hackers lock you out!
Sie haben noch mehr Tipps, wie man das eigene WordPress-Blog sicherer macht? Dann teilen Sie doch Ihre Erfahrung mit den anderen Lesern und schreiben Sie einen Kommentar. Ich aktualisiere diesen Beitrag dann entsprechend.
Vielen Dank für diesen Artikel.
Du hast mich daran erinnert, dass ich die Sicherheit nicht auf die lange Bank schieben sollte.
Das habe ich bisher sträflichst vernachlässigt.
“All in One WordPress Security and Firewall” ist vielleicht noch ein gutes Plugin, welches die Funktion von Limit Login Attempts schon beinhaltet.
Auf jeden Fall habe ich es heute nachgeholt…
Es freut mich, dass Dir mein Artikel weitergeholfen hat. Danke auch für den Plugin-Tipp!
Danke für die Hinweise. Ich verdränge das manchmal, dabei sind die Tipps so einfach zu händeln. Gleich mal umgesetzt 🙂
Danke für den Artikel. Das ist so wichtig und wird schnell mal vergessen – weil es ja doch etwas Arbeit macht! Umso besser, dass hier mal so eine gute Übersicht steht. Ich hoffe, bei Dir ist alles wieder niet- und nagelfest gemacht??
Das freut mich. Und ja, hier ist alles paletti 😉