WordPress ist mit über 6o Prozent Marktanteil unter Content Management Systemen das Beliebteste CMS. Alleine diese Tatsache zeigt, dass WordPress gar nicht so unsicher sein kann, wie dem System oft nachgesagt wird. Denn nicht nur Einzelunternehmer, sondern auch mitteständische Unternehmen greifen inzwischen gerne zu WordPress und bauen darauf ihre Websites.
Nichtsdestotrotz hat WordPress wie jedes anderen CMS gewisse Sicherheitsschwachstellen, die von den Hackern gerne ausgenutzt werden, und die du (meistens) ganz einfach selbst beheben kannst. Welche es sind und wie du WordPress sicherer machen kannst, zeige ich dir in diesem und kommenden Artikel aus der „WordPress sicherer machen“-Serie.
Schwachstelle Login-Seite
WordPress sicherer machen - Typische WP Login-Seite
Schon bei der Installation von WordPress kannst du einige schlechte Entscheidungen hinsichtlich der Sicherheit deiner neuen Seite treffen. Damit meine ich speziell die Auswahl deines Benutzernamens und deines Passworts, die du für das Einloggen in dein WP Dashboard nutzen wirst.
WordPress Sicherheitslücke – Benutzername
Der Benutzername wird von den meisten WP Nutzern nicht unbedingt als sicherheitsrelevant gesehen. Viele wählen daher das naheliegende und einprägsame „Admin“ für den Zugang zum WP Dashboard. Irrtum! Vor allem dann, wenn dieser Benutzername in Kombination mit einem unsicheren Passwort wie in dem nächsten Abschnitt beschrieben verwendet wird.
Die Hacker wissen, dass viele WP Nutzer „Admin“ als Benutzernamen gebrauchen und geben diesen zuerst ein, um sich auf deiner Seite einzuloggen. Sie brauchen also wirklich nicht lange zu probieren, um die Zugangsdaten zu bekommen. Verstehe mich jetzt nicht falsch, natürlich sitzt nicht irgendwo ein Hacker und probiert alle möglichen Kombinationen. Das geschieht vollkommen automatisch und mit hoher Geschwindigkeit, so dass auch das sicherste Passwort irgendwann mal geknackt werden kann. Um deine WordPress sicherer zu machen bedarf es also definitiv weiterer Maßnahmen. Aber wozu es den Hackern leicht machen?
Wähle also einen Benutzernamen, denn du dir leichtmerken kannst, der aber nichts mit deinem eigentlichen Namen bzw. dem Namen deiner Website zu tun hat. Warum das? Nun ja, wie du vermutlich weißt, lautet die Domain meiner Website tatjanafilimonov.de. Aus dem Bericht meines Security Plugins weiß ich, dass man alle Variationen meines Namens als Benutzernamen ausprobiert hatte. Wäre mein Benutzername also z.B. Tatjana, würde der Hacker es wahrscheinlich schon beim zweiten Versuch wissen.
WordPress Sicherheitslücke – Passwort
Das richtige Passwort ist neben dem Benutzernamen wichtig, um deine Website sicherer zu machen. Heutzutage wird gefühlt an jeder Ecke alle fünf Minuten gesagt, man soll keine Passwörter wie „Passwort123“ oder „meinpasswort“ verwenden. Dennoch finde ich immer wieder solche zum Hack einladende Schätzchen in den Installationen meiner Kunden.
Im Klartext: Bei solchen Passwörtern kannst du direkt eine „Herzlich willkommen liebe Hacker“- Nachricht auf deiner Login-Seite platzieren. Denn solche einfache Passwörter werden von entsprechenden Programmen im Nu geknackt.
Mit einem sicheren Passwort kannst du allerdings ganz einfach verhindern, dass Fremde sich unerlaubt auf deiner Seite anmelden. Doch Wie sieht ein sicheres Passwort aus? Benutze dafür also am besten keine real existierenden Wörter. Denke dir lieber eine zufällige Buchtstaben-Zifferkombination aus, die du dir aber natürlich selbst merken kannst. Z.B. die aus Anfangsbuchstaben jedes Wortes in einem einprägsamen Satz.
Beispiel: Ich denke mir ein sicheres Passwort aus.
Du nimmst die Anfangsbuchstaben der einzelnen Wörter und deren Position im Satz und bekommst so etwas raus:
i1d2m3e4s5p6a7
Variiere zwischen Klein- und Großbuchstaben. Und verwende Sonderzeichen. In unserem Beispiel könnte dein Passwort also so aussehen:
i1D2m)3e4S5§p6a7
Passwort automatisch erstellen
Eine weitere Möglichkeit zur Erstellung eines sicheren Passworts sind spezielle Online-Password-Generatoren, wie z.B. der Passwort Generator oder der Passwort Generator von experte.de. Hier Kannst du dir automatisch ein Passwort in der gewünschten Länge erstellen lassen. Durch weitere Vorgaben (z.B. Auswahl von Sonderzeichen) in den erweiterten Einstellungen kannst du deine Passwörter an die Anforderungen des jeweiligen Systems, in dem du diese Passwörter verwenden möchtest, anpassen.
Da automatisch generierte Passwörter in der Regel nur schwer zu merken sind, brauchst du eine sichere Möglichkeit deine Passwörter zu speichern. Nutze dafür am besten einen der speziellen Anbieter wie LastPass oder 1Password.
So kannst du deine WordPress Seite ganz einfach ein ganzes Stück sicherer machen.
Login-Seite verstecken
In vielen Blogbeiträgen anderer WordPress Experten wird das „Verstecken“ der Login-Seite als Sicherheitsmaßnahme empfohlen. Dabei weist du deinem WP Login eine andere URL zu. Zum Beispiel https://deineseite.de/administrationsbereich statt https://deineseite.de/wp-login. So ist der Anmeldebereich nicht unter der Standardurl zu finden.
Ich halte von dieser Methode aber nicht so viel, den sie ist inzwischen auch unter den Hackern bekannt und bringt sicherheitstechnisch nicht allzu viel. Und ohne sichere Zugangsdaten ist diese Maßnahme sowieso überflüssig. Daher werde ich darauf nicht weiter angehen.
Fazit
Mit Bedacht gewählte Benutzernamen und Passwort sind oft schon die halbe Miete. Mache die Angriffe auf deine Website also nicht zu einfach und investiere etwas mehr Zeit in die Auswahl deine WP Zugangsdaten.
Dieses Formular speichert Name, E-Mail und Inhalt, damit wir den Überblick über auf dieser Webseite veröffentlichte Kommentare behalten. Bitte beachte, dass dein Kommentar und alle darin enthaltenen Informationen öffentlich zugänglich sind. Für detaillierte Informationen, wo, wie und warum ich deine Daten speichere, findest du in meiner Datenschutzerklärung.