Hier ein paar Tipps, wie man mit einfachen Mitteln seine WordPress Installation recht schnell recht gut absichern kann.
Leider muss man schreiben, je beliebter eine Webseite wird, desto mehr Versuche sieht man auch hinsichtlich unrechtmäßigen Login-Versuchen usw. Daher ein paar, oft bekannte, Tipps um die Sicherheit der eigenen Installation zu erhöhen.
Änderung des Login-Namens für den Administrator
Am meisten sehe ich auf meinen Webseiten den Versuch sich mit dem Namen „admin“ einzuloggen. Klar, ist der bei der Installation vergebene Name. Diesen sollte man direkt bei der Installation ändern. Und zwar so, dass er nicht herleitbar ist, aus Webseite, Name oder ähnlichem.
Benutzer und Rechte
Sauberkeit bei den Benutzern halten. Nicht mehr benötigte Benutzer löschen, Benutzer regelmäßig ihre Passwörter ändern lassen. Benutzern nur die notwendigen Rechte eingestehen und fein granulieren. Im Grunde das gleiche wie auf Servern, etc.
Beispiel
xydingsbums_admin_jahr – oder viele andere Varianten, aber ändern.
Vergabe eines sicheren Passwortes
Oft immer wieder erwähnt und geschrieben, überall wird man heute darauf hingewiesen, aber ich erwähne es trotzdem noch einmal. Mindestens 8 Stellen, besser 10 bis 12 Stellen, Groß- und Kleinschreibung, Zahlen und Sonderzeichen sollten enthalten, wie auch beim Login, nicht irgendwie herleitbar für einen Fremden.
Regelmäßige Updates
Auch hier, wieder eine heute allgemein bekannte Sache. Und dennoch oft vernachlässigt. Autoupdate einschalten, regelmäßig einloggen und Installation, Theme und Plugins aktualisieren.
Firewall
Beispielsweise Wordfence ist ein Firewall Plugin, mit welchem man die eigene Sicherheit etwas erhöhen kann. Diese blockiert die wichtigsten und bekannten Spam IP’s, so dass hier schon ein großer Teil abgeblockt wird.
Brute-Force-Protection
Ein weiterer Baustein ist die Brute-Force-Protection. Dieses geht auch über Wordfence oder Loginizer Security, wie sicherlich auch anderen Apps. Allgemein kann ich empfehlen sich die Erfahrungen im WordPress Plugin Bereich anzuschauen und auf die Schwarmintelligenz zu setzen.
Zwei Faktoren Authentifizierung
Ein wichtiges Feature ist die Zwei-Faktoren-Authentifizierung. Hier gibt es auch diverse Apps, wie beispielsweise Two Factor Authentication. Als Gegenstück installiert man sich die Google App (oder auch eine andere) auf dem Smartphone, wo jede Minute ein neuer sechsstelliger Code generiert wird. Hier sollte man natürlich daran denken, weder die App zu deinstallieren oder das Handy zu verlieren, daher am besten noch auf einem anderen Gerät installieren.
Soweit vorläufig ein paar Tipps, sobald ich noch mehr für die Sicherheit finde, werde ich diesen Artikel natürlich ergänzen. Aber ich denke, wenn man diese Möglichkeiten und Regeln berücksichtigt, dann ist schon viel gewonnen.
