3 Tipps für eine sicherere WordPress-Website

Die Website ist für die meisten Firmen der wichtigste Teil der eigenen Online-Präsenz. Deswegen ist es extrem wichtig, dass diese jederzeit verfügbar und unverfälscht bleibt. Leider kommt es immer wieder vor, dass Websites von Angreifern übernommen, verändert und sogar gelöscht werden. Im schlimmsten Fall werden sogar sensible Daten aus der Datenbank entwendet.

Die häufigste Schwachstelle ist das Login-Formular, bei dem Angreifer sich mittels der sogenannten Brute-Force-Methode Zugang zum Admin-Bereich verschaffen. Bei der Brute-Force-Attacke probiert der Angreifer automatisiert Millionen möglicher Login-Daten aus, bis er durch Zufall das richtige Paar aus Benutzername und Passwort errät. Wenn ihm das gelingt hat er nun vollen Zugriff auf den Back-End-Bereich der Website und kann enormen Schaden anrichten.

Aber zum Glück ist man solchen Angriffen nicht schutzlos ausgeliefert. In diesem Blog-Artikel werden 3 einfache Wege vorgestellt, wie man sich vor der verbreiteten Bruce-Force-Attacke zuverlässig schützen kann. Die Optionen werden Schritt für Schritt erklärt und nützliche Plugins verlinkt, so dass sie auch von WordPress-Einsteigern direkt umgesetzt werden können.

Nun aber zu den 3 konkreten Möglichkeiten für mehr Sicherheit von WordPress-Webseiten:

1. Ein sicheres Passwort

Was banal klingt, ist der häufigste Grund für unautorisierte Website-Zugriffe. Der Vorteil von einem gut gewählten Passwort liegt auf der Hand: Umso länger und komplexer das Passwort, desto geringer die Chance, dass es durch Zufall von einem Angreifer erraten wird.

Ein sicheres Passwort sollte um die 20 Zeichen lang sein und aus Ziffern, Buchstaben und Sonderzeichen bestehen. So Ändert man sein WordPress-Passwort mit wenigen Klicks:

#1 Im WordPress-Dashboard auf „Benutzer“ und dann auf „Profil“ gehen.

#2 Auf der Profilseite etwas runterscrollen und auf „Neues Passwort erstellen“ klicken.

#3 Das automatisch-generierte Passwort kopieren und an einem sicheren Ort lagern (Digital, Analog oder am besten auf beiden Wegen). Auch wenn die von WordPress generierten Passwörter völlig ausreichend sind, kann auch ein eigenes Passwort gewählt werden. Achten Sie aber darauf, dass es entsprechend lang und komplex ist.

#4 Wenn das neue Passwort gesichert wurde, einfach ganz unten auf der Profilseite auf „Profil aktualisieren“ klicken. Sie haben ab jetzt ein sicheres Passwort!

2. Begrenzung der Login-Versuche

Mit genügend Versuchen kann auch das sicherste Passwort erraten werden. Abhilfe für dieses Problem schafft dieses kostenlose Plugin: Limit Login Attempts Reloaded

Neben vielen weiteren praktischen Features hat das Plugin vor allem eine Funktion: Es begrenzt die Anzahl der Login-Versuche pro IP-Adresse. Das heißt ein einzelner Rechner kann nur wenige Male versuchen sich anzumelden und wird nach einer festen Anzahl von fehlerhaften Anmeldeversuchen für eine gewisse Zeit gesperrt. Damit wird eine Brute-Force-Attacke von einem einzelnen Rechner quasi unmöglich gemacht, da nun nicht mehr Millionen von Passwörtern nacheinander ausprobiert werden können. Als berechtigter Nutzer braucht man sich jedoch keine Sorgen bei der Anmeldung zu machen, da es das Plugin erlaubt, bestimmte IP-Adresse von diesem Verfahren auszuschließen.

Jetzt aber zur Installation und Einrichtung des Plugins:

#1 Im WordPress-Dashboard auf „Plugins“ und dann auf „Installieren“ klicken.

#2 Nach „Limit Login Attempts Reloaded“ suchen.

#3 Bei diesem Suchergebnis auf „Jetzt Installieren“ klicken.

#4 Nach kurzem Warten nun auf „Aktivieren“ klicken.

#5 Über die Navigationsleiste zu „Limit Login Attempts“ gehen.

#6 Den Reiter „Einstellungen“ wählen.

#7 Hier einen Haken setzen. Dadurch wird ein kurzer Datenschutz-Hinweis auf der Login-Seite hinzugefügt.

#8 Falls gewünscht, gibt es hier die Option, per Emailbenachrichtigung gewarnt zu werden, falls es kürzlich zu einer bestimmten Anzahl von Login-Sperrungen gekommen ist.

#9 Hier kann die Hauptfunktion des Plugins konfiguriert werden. „erlaubte Versuche“ beschreibt die Anzahl der Fehl-Versuche die man beim Login hat, bevor die IP-Adresse vorübergehend gesperrt wird.

„Minuten Aussperrung“ legt die Dauer fest, für die eine IP-Adresse gesperrt wird. Als nächstes kann eine längere Sperrdauer festgelegt werden, die eintritt, wenn eine IP-Adresse „X“ mal gesperrt wurde. Zuletzt kann angegeben werden, wie lange sich das System Sperrungen und fehlgeschlagene Anmeldeversuche merkt, bevor sie zurückgesetzt werden.

#10 Zuletzt können noch IP-Adressen von der Login-Begrenzung befreit werden. Dazu muss ganz oben der Tab „Protokolle“ ausgewählt werden. Im Feld „Freigabeliste“ können dann Zeile für Zeile IP-Adressen eingetragen werden, die keine begrenzten Anmeldeversuche haben sollen.

Unter folgendem Link kann man seine IP-Adresse ganz einfach herausfinden: https://www.wieistmeineip.de/ (Hinweis: Die IP-Adresse kann sich je nachdem wo man sich befindet ändern. Versuchen Sie also trotzdem fehlerhafte Login-Versuche zu vermeiden)

3. Zwei-Faktor-Authentisierung

Brute-Force-Angriffe werden oft mit sogenannten Bot-Netzen durchgeführt. Dabei kommen die ungewünschten Login-Versuche von einer Vielzahl von IP-Adressen, die meist rund um die Welt verteilt sind. Gegen ein Bot-Netz ist das Sperren von einzelnen IP-Adressen wenig effektiv.

Mit dem letzten Schritt bleibt eine WordPress-Seite sicher, auch für den unwahrscheinlichen Fall, dass ein Angreifer das Passwort durch Zufall errät. Bei der Zwei-Faktor-Authentisierung bekommt man nach dem Eingeben des Passworts einen Code per Email geschickt, den man zusätzlich eingeben muss. Es kann sich also nur anmelden, wer Zugriff auf die zum Login verwendete Email-Adresse hat.

Mit diesem gratis Plugin kann die Zwei-Faktor-Authentisierung realisiert werden: https://de.wordpress.org/plugins/wp-simple-firewall/

Und so kann das Plugin in einfachen Schritten installiert und konfiguriert werden:

#1 Zunächst wieder auf „Plugins“ > „Installieren“ klicken.

#2 Dann nach „Shield Security“ suchen.

#3 Bei folgendem Plugin auf „Installieren“ klicken.

#4 „Aktivieren“ auswählen.

#5 Über die Navigationsleiste auf „Shield Security“ und dann auf „Configuration“ gehen.

#6 Im Menü „Config“ und dann „Login Protection“ auswählen.

#7 Die Einstellungen wie folgt anpassen:

#8 Auf „Save Settings“ klicken.

#9 Jetzt sollten Sie einen Bestätigungs-Link an die mit Ihrem User-Account verknüpfte Email-Adresse erhalten haben. (Hinweis: Überprüfen Sie den Spam-Ordner). Falls Sie keinen Link per Email erhalten haben können sie sich über „Bestätigung erneut senden“ einen weiteren Link schicken lassen.

#10 Kopieren Sie den Link fügen Sie ihn in die Suchleiste Ihres Browsers ein.

#11 Jetzt haben Sie die Zwei-Faktor-Authentisierung erfolgreich eingerichtet.

Bei zukünftigen Anmeldungen bekommen Sie automatisch einen temporären Code per Email geschickt.

Kopieren Sie diesen Code einfach und fügen Sie ihn bei der Login-Seite ein. Sie können die Zwei-Faktor-Authentisierung natürlich jederzeit wieder deaktivieren. Dies geht auf die gleiche Weise wie bei der Aktivierung. Einfach den ersten Haken bei Schritt #7 wegmachen.

Fazit:

Das waren 3 einfache und kostenlose Wege sich vor den häufigsten Angriffen auf WordPress-Seiten zu schützen. Wenn Sie diese Schritte befolgt haben, gehört Ihre Seite definitiv zu den sichereren WordPress-Seiten und Sie brauchen sich um Brute-Force-Angriffe keine Sorgen mehr zu machen.

Über den Autor:

Nick Wilhelm

Nick Wilhelm

Gründer von Wilhelm Media & SEO-Nerd