7 Möglichkeiten, Ihre WordPress-Seite gegen Hacker zu sichern

WordPress ist nun mal das am weitest verbreitete Websitesystem weltweit. Man muss sich auch in den Hinterkopf rufen, dass WordPress „Open Source“ (öffentlich einsehbarer Quellcode) ist. Dadurch ist es für Hacker oftmals sehr einfach, Dateien oder Änderungen in WordPress einzuschleusen. Deshalb ist es extrem wichtig, die Seite gegen Hacker zu sichern.

Hier werde ich einige Punkte auflisten, wodurch man WordPress gut sichern kann.

1. Was kann passieren, wenn meine WordPress-Website gehackt wird?

Naja, so einiges. Um einen kleinen Überblick zu verschaffen, hier eine Liste, die natürlich nicht vollständig ist:

  • Ungewollter Versand von Spam-E-Mails über die eigene E-Mail-Adresse
  • Werbebanner überall auf der Website
  • Zugriff auf alle gespeicherten Bilder/Texte/Daten/Passwörter
  • Permanente Deaktivierung der Website
  • Der eigene Account wird ausgesperrt

Dies waren nur wenige Punkte. Letztendlich kann der Angreifer noch viel mehr machen. Sie sehen, es ist extrem wichtig, die Seite (zumindest so gut wie möglich) abzusichern.


2. WordPress aktuell halten

Das ist auch schon der wichtigste Punkt. Immer möglichst schnell auf die neuste Version von WordPress selbst und von den installierten Plugins und Themes updaten.

Dadurch werden bekannte Sicherheitslücken geschlossen, Fehler behoben und Angreifer müssten sich erst einen neuen Weg überlegen, wie sie auf die Website Zugriff erhalten.

Ich empfehle einen Aktualisierungsrhytmus von mindestens einmal pro Woche. Normalerweise sind da schon immer 1 oder 2 Plugins dabei, die geupdatet werden wollen. Es handelt sich nur um ein paar Sekunden, die Sie investieren müssen, aber erschwert dem Hacker die Arbeit deutlich.

Also: Sobald Sie dieses Icon

in WordPress oben in der Adminleiste sehen, aktualisieren Sie am besten.

3. Zugangsdaten komplex halten

Die Wahl des Benutzernamens und des Passworts ist immer noch die größte Sicherheitslücke, die in einem WordPress-System bestehen kann.

Nutzen Sie auf keinen Fall den Standardnutzer „admin“ und beschränken Sie das Passwort nicht auf ein paar Buchstaben.
Wichtig ist in diesem Kontext, dass Sie keine Wörter oder Sätze oder Zahlen verwenden, die irgendwie mit Ihnen in Verbindung gebracht werden können.
Hacker versuchen so etwas als aller erstes zu knacken. Nutzen Sie keine 77 im Passwort, nur weil Sie 1977 geboren wurden.

Es ist an sich zu vermeiden, ganze Wörter zu verwenden. Hacker führen oftmals eine sogenannte „Brute Force“-Attacke aus, das heißt, ein Programm testet automatisch alle möglichen Kombinationen aus Benutzernamen und Passwörtern. Für Passwörter existieren ganze Listen an Wörtern (meist mehrere Milliarden), die einfach alle der Reihe nach probiert werden. Wenn Sie kein Passwort nutzen, das ein normales Wort ist, nehmen Sie dem Angreifer bei diesem Angriff schon mal zu einem Teil den Wind aus den Segeln.

Aber auch kurze Passwörter sind zu vermeiden, auch wenn sie sinnlos aneinander gereihte Buchstaben sind. Auch hier greift ein Hacker mit einem „Brute Force“-Angriff an, der einfach alle möglichen Kombinationen aus Buchstaben als Passwort durchprobiert.

Nutzen Sie jetzt nur ein 4-Stelliges Passwort, ist die Anzahl der Möglichkeit verschwindend gering.

Um das einmal zu berechnen, bleiben wir mal bei dem Benutzernamen „admin“ und dem Passwort mit 4 Kleinbuchstaben. (Vorsicht, jetzt wird es mathematisch)

Es gibt eine Formel zum berechnen der Anzahl der Möglichkeiten:
Kombinationen = Anzahl möglicher Zeichen HOCH Passwortlänge
Somit wären das bei unserem Beispiel 26 (nur Kleinbuchstaben ohne ä,ö,ü und ß) HOCH 4 = 456976 Kombinationen.

Je nach Leistung des Computers des Angreifers kann dieser mindestens 2 Milliarden Versuche pro Sekunde ausführen. Das wären dann umgerechnet:
456.976 : 2.000.000.000 = 0,000228488 Sekunden, bis das Passwort geknackt wäre.

Ich empfehle somit eine Passwortlänge von mindestens 10 Zeichen, bestehend aus Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen. (Dauer zum Knacken: 777729 Tage. In dieser Zeit sollten Sie es sowieso schon wieder geändert haben)

Ich weiß, Passwörter in dieser Menge sind schwer zu merken. Aber dafür gibt es so genannte Passwort-Manager. Diese können Sie einfach in Ihrem Browser installieren und er speichert das Passwort für Sie.


4. Login-Versuche beschränken

Da wir gerade bei der „Brute Force“-Attacke waren: Eine hierbei sehr hilfreiche Methode ist, den Login nach einer Anzahl an fehlgeschlagenen Login-Versuchen zu beschränken.

Hierfür eignet sich beispielsweise das Plugin „Login Lockdown„. In diesem kann man frei einstellen, nach wie vielen Versuchen sich der Login für wie lange sperrt.


5. Admin-Zugang beschränken

Es gibt noch eine weitere Möglichkeit, dem Hacker das Login über eine „Brute Force“-Attacke zu erschweren. Hierbei wird, bevor der Nutzer die Möglichkeit hat, einen Nutzernamen und ein Passwort einzugeben, eine weitere Nutzername und Passwortabfrage eingeblendet.

Falls Sie bei fabian heinz webdesign Ihre Website hosten, können Sie im Verwaltungs-Backend unter „Tools“ auf „Verzeichnisschutz“ für Ihren „wp-admin“-Ordner solch eine Abfrage einrichten.

6. WordPress durch Backups sichern

Sichern Sie Ihre Website am besten einmal pro Woche. Bei diesen so genannten „Backups“ wird die gesamte Website im Hintergrund gespeichert, sodass Sie im Fall eines erfolgreichen Angriffes auch auf die Zeit davor zurückkehren könnten. Dabei ist wichtig, dass Sie die Backups wo anders aufbewahren und nicht auf dem gleichen Webspace, wie Ihre Website liegt.


7. Nutzen Sie SSL-Zertifikate

Für Websiten, die über ein Kontaktformular verfügen ist es sowieso schon inzwischen Gesetz: Die Domains müssen über ein SSL-Zertifikat verfügen.
Um zu verstehen, was diese Zertifikate bringen, muss ich Ihnen die Methode der Hacker näherbringen.

Um diesen Angriff auszuführen, muss sich der Hacker im gleichen Netzwerk (WLAN oder LAN) wie Sie befinden. Dies ist allerdings nicht so schwer wie Sie denken: Es gibt auch hierfür Hackertools. Befindet sich der Hacker dann einmal in dem Netz, leitet er den Datenverkehr von Ihnen über seinen eigenen Computer zum Router um (ARP-Spoofing). Dadurch kann er am Rechner alles mitlesen, was Sie so im Internet machen. Auch Passwörter sind offen einsehbar!

Ein SSL-Zertifikat verschlüsselt den Netzwerkverkehr. Heißt, der Angreifer könnte nur noch verschlüsselte Werte lesen, mit denen er nichts anfangen kann.

Natürlich gibt es auch hierfür wieder Möglichkeiten, wie ein Hacker das trotzdem auslesen kann, jedoch ist es deutlich komplexer.

Was für ein SSL-Zertifikat auch sinnvoll ist, ist die Aktivierung von HSTS.
Falls Sie Ihre Website bei fabian heinz webdesign hosten, können Sie HSTS im Verwaltungs-Backend unter „Domain“ auf der gewünschten Domain rechts auf „bearbeiten“, dort auf „SSL-Schutz“ -> „bearbeiten“. Dort können Sie im 3. Drop-Down-Menü HSTS aktivieren.

Übrigens: Ob Ihre Website über ein SSL-Zertifikat verfügt, sehen Sie beim Browser daran, dass in der Adresszeile https:// anstatt http:// steht.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.