Aktualisiert am 31. Mai 2019
Updates: Halte WordPress immer auf dem neuesten Stand
Seit Version 3.7 unterstützt WordPress automatische Updates. Nutze diese Funktion, um deine Installation bequem auf aktuellem Stand zu halten. Außerdem hält dich das Dashboard über Updates auf dem Laufenden.
Achte darauf, das Plugins und Themes auf dem neuesten Stand sind, nutze nur Plugins und Themes, die regelmäßig gepflegt werden und mit der aktuellen Version getestet werden, deshalb
Plugins und Themes aus sicheren Quellen installieren
Installiere Plugins und Themes, die du direkt auf WordPress findest: Plugins, Themes. Und achte darauf, das dieses Plugin oder Theme aktuell ist und schon recht viele Downloads hatte (prüfe auch den Versionsverlauf, so kannst du feststellen, ob es gepflegt wird).
Deinstalliere nicht genutzte Themes und Plugins. Achte darauf, dass zu nicht 2 oder mehr Plugins zum selben Thema hast: z.B. Backups, Galerien etc.
Nutzername & Passwort:
Bitte nicht “admin” als Nutzername, sondern ein Nutzername, der etwas länger ist und Groß- und Kleinbuchstaben vereint.
Hacker lassen über den Login-Bereich eine Software laufen, die automatisch z.B. als Nutzername den Namen der Homepage in Abwandlungen und (ganz beliebt) “Admin” oder “Administrator” ausprobieren und dazu die am häufig benutzten Passwörter – hier die beliebtesten Kennwörter aus dem Datenbestand des HPI-Identity-Leak-Checkers – ist deins dabei?
Gute Passwörter – ein Schritt zu mehr Sicherheit
Nicht nur durch pures Try&Error wird sich in deine Seite eingeloggt: Die meisten Hacking Versuche basieren auf gestohlenen Passwörtern. Achte also darauf, für verschieden Bereiche verschiedene Passwörter einzusetzen und teile diese nicht im Klartext in einer Mail oder Whatsapp…
Gut zu merken: suche dir ein gutes Passwort aus und ergänze es mit den ersten Buchstaben der Anwendung und ergänze mit einem Sonderzeichen. Also für Paypal: Pp- und für Ebay: Eb-
Gute Passwörter – lass dich inspirieren: hier ein Artikel von Heise Gute-Passwoerter-erzeugen-und-sicher-verwenden
Guter Provider – gute Sicherheit
Achte auf einen Anbieter, der dir Backups anbieten kann und bei dem Fachleute telefonisch erreichbar sind – ich empfehle All-inkl
Login-Pfad ändern
Die Login-URL bei WordPress lautet domain.de/wp-admin. Mit Sicherheitstools wie Shield kannst du das z.B. in domain.de/hier-gehts-rein verändern. Achte bei den Security-Plugins auf die datenschutzkonforme Verwendung, denn es werden z.B. IP Adressen gesammelt – siehe hierzu auch die schöne Sammlung zu Plugins zum Thema DSGVO u.a. von Blogmojo.
Aber es gilt auch: Bewegen oder Verstecken von ‘wp-admin’ stoppt keine Brute Force Attacken Das ist nur ein Element von vielen, deine Installation sicherer zu machen.
Via .htaccess WordPress absichern
Du findest zu der Nutzung von .htaccess Dateien im WordPress Codex (WP abhärten) gute Hinweise, sowie auf der Homepage von Dominik Pratt findest du eine übersichtliche Zusammenfassung der Informationen des WordPress Codex.
Auf Ionos findest du eine Anleitung, wie du einen zusätzlichen Passwortschutz über .htaccess generierst.
Achtung: mach eine Sicherungskopie deiner .htaccess Datei, die du ggf. wieder einspielen kannst
Backups!
Achte bei Backups darauf, das du sie auch wieder einspielen kannst, d.h. wenn du nicht mehr in WordPress reinkommst, deine Backup-Sicherungen aber nur so funktionieren – dann hast du Pech gehabt: meine Empfehlung All-in-one-Migration oder der kostenlose Duplicator. Mit diesen Plugins kannst du deine Installation sauber wieder aufspielen, nachdem du die eventuell gehackte Homepage komplett gelöscht hast.