WordPress absichern: Methoden für mehr Sicherheit
rd|jz / 22. Dezember 2017 / / Sicherheit / noch keine Kommentare
Aktuell geht eine Bruteforce-Attacke buchstäblich um die Welt. Bis zu 14 Millionen Angriffe pro Stunde auf WordPress-Seite wurden registriert. Das berichtete heise online am 21.12.2017. Zeit sich erneut Gedanken zu machen, wie du dein WordPress, insbesondere die Administration gegen unerwünschte Zugriffe (ja, Hacker ;)) absichern kannst.
Allgemein für mehr Sicherheit bei WordPress
Es muss wohl nicht erwähnt werden, dass du ein sicheres Passwort verwenden solltest und der Benutzername nicht admin heißen darf. Ebenso sollte auch die mit dem Administrator verknüpfende Email-Adresse nicht unbedingt „info@domainname.de“ sein. Verwendet lieber eine Email-Adresse, welches nicht öffentlich ist und du nur zum Login verwendest.
Vermeide zu viele Plugins zu verwendet und deaktiviere oder lösche Plugins die du nicht mehr verwendest. Falls du auch ältere Plugins verwendest, überprüfe ob es Aktualisierungen gibt, oder aktuellere Alternativen. Je älter das Plugin ist, um so unsicherer ist es.
Halte deine WordPress-Installation immer auf den aktuellen Stand. So werden auch WordPress eigene Sicherheitslücken geschlossen und bietet Hackern eine Angriffsmöglichkeit weniger Zugang zu verschaffen.
WordPress fügt standardmäßig die Versionsnummer in den Header-Bereich ein, das ist für Hackern natürlich einfacher gezielt die Schwachstelle dieser Version anzugreifen. Um die Versionsnummer aus dem Header zu entfernen, füge diesen Code in deine functions.php ein:
// REMOVE GENERATOR WORDPRESS VERSION remove_action('wp_head', 'wp_generator');
Unerlaubte Zugriffe erkennen
Natürlich fragt du dich auch woran du erkennst, dass Jemand versucht sich in deinem WordPress einzuloggen. Auch dafür gibt es ein kleines Plugin: Simple History. Damit siehst du im Dashboard alle Änderungen in deinem WordPress, so auch unerlaubte Loginversuche.
Login-Versuche begrenzen
Du hast unbegrenzte Fehlversuche, wenn du deine Zugangsdaten nicht mehr weißt. So viele Versuche hat auch ein Hacker. Um diese Zahl zu begrenzen, gibt es das Plugin Limit Login Attempts Reloaded aus dem offiziellen WordPress-Verzeichnis. Mit diesem Plugin kannst du die Fehlversuche begrenzen z.B. auf 5 und danach ist der Benutzer für eine gewisse Zeit gesperrt. Die Anzahl der Versuche und Sperrzeit kannst du in dem Plugin natürlich beliebig einstellen.
WordPress-Verzeichnis wp-admin mit Passwort schützen
Eine andere Methode unerlaubte Zugriffe zu minimieren ist das Verzeichnis wp-admin selbst mit einem Passwort zu schützen. Mit dieser Methode muss man zuerst einen Benutzernamen und das dazugehörige Passwort eingeben. Erst danach bekommt man überhaupt die WordPress-Loginfelder zu sehen. Der große Vorteil dieser Methode ist, dass Brute Force-Angriffe bereits vor dem eigentlichen Angriffsversuch abgeblockt werden können. Dadurch wird der Traffic der WordPress-Seite nicht unnötig belastet und schont den Server.
wp-admin mit Passwort schützen: So machst das
Für die Einrichtung benötigst du einen FTP-Zugang und einen einfachen Code-Editor wie z.B. Notepad (Word ist kein Code-Editor ;)).
1. Erstelle in dem Verzeichnis, wo sich die Datei .htaccess befindet (meistens das Hauptverzeichnis deiner Domain/WordPress-Installation) eine neue leere Datei und nennst es: .htpasswd. Der Punkt vor den Namen ist wichtig und darf nicht weggelassen werden.
2. Diese neue Datei .htpasswd lädst du herunter und öffnest es mit deinem Code-Editor und gibst den Benutzername und Passwort ein. Natürlich nicht im Klartext 😉 Sondern mit Hilfe des htpasswd Generators. Dort gibts du deinen Benutzername und Passwort ein und dieses Tool generiert daraus verschlüsseltes Passwort. Diesen Inhalt fügst du in deine .htpasswd Datei ein.
3. Als nächstes musst du noch den Code für die .htaccess Datei erstellen. Allgemein kannst du diesen Code verwenden:
<Files wp-login.php> AuthType Basic AuthName "Mein Bereich" AuthUserFile /path/to/.htpasswd Require valid-user </Files>
Du musst jedoch den Pfad zu deine .htpasswd (Zeile 4. AuthUserFile /path/to/.htpasswd) anpassen. Folge dazu am besten die Anleitung auf: http://www.htaccesstools.com/articles/full-path-to-file-using-php/
4. Nach dem du den Pfad angepasst und abgespeichert hast. Lädst du die Dateien .htaccess und .htpasswd in dein Hauptverzeichnis hoch. In der Regel dort, wo du es heruntergeladen hast. Nun sollte die Passwort abfrage erscheinen, wenn du die WordPress-Administration aufrufst.
Alternative zur FTP und manuelle Anpassung
Wenn dir das Ganze zu kompliziert ist, überprüfe ob dein Webhoster die Funktion Verzeichnisschutz mit anbietet. Dann kannst du es auch dort erstellen, was einfacher und schneller geht.
Und was noch?
Neben den oben genannten Möglichkeiten und Plugins, gibt es natürlich noch weitere Möglichkeiten und auch WordPress-Plugins. Möchten jedoch simple, einfache, schnelle und effektive Lösungen darstellen, ohne dass du viele Einstellungen vornehmen musst. Du möchtest schließlich mit deinem WordPress arbeiten. 😉
Was sagst du dazu?