Anfang Dezember waren für ein paar Stunden alle unsere Webseiten offline. Das war eine Sicherheitsmaßnahme unseres Webhosters, der festgestellt hat, dass die Serverlast ungewöhnlich hoch war. Der Grund: Es fand eine Brute-Force-Attacke auf eine unserer mit WordPress betriebenen Seiten statt. Das heißt, dass innerhalb kürzester Zeit sehr viele Login-Versuche stattgefunden haben – jemand hat versucht, in das WordPress-Backend einzubrechen. Doch bevor eine gültige Benutzer-Passwort-Kombination erraten wurde, hat unser Webhoster eben reagiert und die Seiten erst einmal abgeschaltet. Zum Glück!

Da viele Autoren ebenfalls WordPress nutzen (was wir ja auch immer gern empfehlen), haben wir hier eine kleine Liste mit Sicherheitsmaßnahmen zusammengestellt, damit eure Autoren-Homepage möglichst sicher vor solchen oder ähnlichen Angriffen ist.

Altbewährte Sicherheitsmaßnahmen für WordPress

Diese Tipps beziehen sich auf selbstgehostete WordPress-Installationen, also nicht auf wordpress.com-Seiten.

1. Ein individueller Benutzername statt „admin“

Bei der Installation von WordPress wird der Benutzername „admin“ vorgeschlagen. Viele WordPress-Nutzer belassen es dabei – und damit sind schon 50% der Zugangsdaten leicht zu erraten. Der dringende Tipp ist also, den Benutzernamen von „admin“ auf etwas Eigenes zu ändern. Das funktioniert zwar nicht per Knopfdruck, aber allzu schwer ist es dennoch nicht.

Ihr müsst einen neuen Benutzer mit einer neuen Mail-Adresse anlegen (sucht euch bei der Gelegenheit ein möglichst starkes Passwort aus) und die Rolle „Administrator“ zuweisen. Loggt euch aus und mit dem neuen Benutzer-Konto wieder ein. Dann löscht ihr den alten „admin“-Benutzer. Ihr werdet gefragt, was mit den Beiträgen des Benutzers passieren soll – diese weist ihr natürlich dem neuen Benutzer zu.

2. Ein starkes Passwort

Ein Passwort, das nur aus 8 Zeichen besteht, kann innerhalb von einer Sekunde geknackt werden. Das sagt Ex-NSA-Mitarbeiter Edward Snowden. (Mehr dazu hört ihr im Interview mit John Oliver, auf Englisch.)

Ein Passwort, das möglichst schwer zu erraten ist, besteht aus Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen und aus 13 Zeichen oder mehr. Es kann trotzdem leicht zu merken sein, z. B. indem man eine Phrase benutzt. In dem eben verlinkten Interview schlägt Snowden „margaretthatcheris110%SEXY“ vor. Lasst eurer Fantasie freien Lauf!

Aber denkt dran, für alle eure Konten und Accounts im Internet möglichst unterschiedliche Passwörter zu benutzen und sie gelegentlich auch mal zu ändern!

3. WordPress updaten und Backups machen

Alle Nase lang gibt es ein Update für WordPress oder einzelne Plugins. Das kann nervig sein, aber es ist wichtig, dass alles auf dem neuesten Stand ist, da Updates evtl. neu entdeckte Sicherheitslücken schließen. Wenn ihr schon dabei seid, alles zu aktualisieren, denkt auch daran – am besten vor dem Update! –  eine neue Backup-Datei anzulegen. Natürlich nur für den Notfall, falls doch mal was mit eurer WordPress-Seite passieren sollte. Wie das geht, lest ihr hier: Backup einer WordPress Installation – Wie erstelle ich es? Dort wird auch das Plugin BackWPup Free vorgeschlagen, das sich um alles kümmert und in der Grundversion kostenlos ist.

4. Möglichst wenige Plugins nutzen

Je mehr Plugins ihr installiert habt, desto größer eure Angriffsfläche (und desto aufwendiger das Updaten). Verzichtet auf Plugins, die ihr nicht unbedingt braucht und eure Seite ohnehin unnötig ausbremsen. Ja, ich meine euch, ihr Social-Media-Share-Buttons! Ihr seid so 2014!

5. Anti-Spam-Plugin nutzen

Spam-Kommentare sind nicht nur doof und nervig, sie können auch tückisch sein. Das Mittel, das wir derzeit am empfehlenswertesten finden, ist die kostenlose Antispam Bee. Denkt daran, dafür das meist vorinstallierte Plugin Akismet zu deinstallieren, siehe Punkt 4.

Unsere neu gewonnenen Sicherheitstipps

Die ersten 5 Tipps sind ja schön, wichtig und gut, aber sie haben uns leider nicht vor der eingangs erwähnten Brute-Force-Attacke geschützt. Daher rüsten wir auf allen unseren WordPress-Seiten nach, und zwar mit diesen Maßnahmen:

6. Limitierte Login-Versuche

Tausende Login-Versuche in kürzester Zeit, bis die Zugangsdaten erraten sind? Das kann man verhindern. Mit Plugins wie Limit Login Attempts kann man einstellen, wie oft man falsche Zugangsdaten eingeben darf, bis die IP-Adresse für eine bestimmte Zeit gesperrt ist.

7. Tabellenpräfix ändern

Standardmäßig benutzt WordPress Datenbanken, die mit „wp_“ anfangen. Um es Angreifern nicht zu leicht zu machen, kann man die Datenbankpräfixe in etwas Individuelles ändern. Zum Beispiel mit dem kostenlosen Plugin Change DB Prefix. Wer das ausprobiert, sollte vorher ganz dringend ein Backup machen (siehe Punkt 3), denn wer an der Datenbank spielt, kann auch viel kaputt machen. Trotz allem ist es ein sinnvoller Sicherheitstipp! Dieses Plugin sparen wir uns allerdings, weil wir uns gleich für ein komplettes Sicherheitsplugin entschieden haben, das diesen Punkt mit übernimmt, siehe Punkt 8:

8. Sicherheitsplugin nutzen

Was für Sicherheitslücken hat eure WordPress-Installation und wie könnt ihr sie besser schützen? Das analysieren die kostenlosen Plugins iThemesSecurity und BulletProof Security und geben wertvolle Sicherheitstipps für eure aktuelle Situation. Auch hier ist wichtig: Vorher dringend ein Backup machen, da das Plugin Änderungen an der Datenbank macht!

Fazit

Wir wünschen euch, dass eure WordPress-Seiten von üblen Einflüssen verschont bleiben. Leider gibt es keine 100%ige Sicherheit, aber falls dennoch mal etwas passiert – macht es ihnen so schwer wie möglich. ;) Und vergesst nicht, Spaß mit eurer Autoren-Homepage zu haben! Wir jedenfalls finden immer noch, dass WordPress eine tolle Sache ist.

P. S.: Ein Podcast-Tipp zum Schluss – für alle, die sich für die Geschichte von WordPress, Entrepreneurship und Produktivität interessieren (und Englisch verstehen). Tim Ferriss hat Anfang 2015 WordPress-Gründer Matt Mullenweg interviewed. Die Folge heißt: Matt Mullenweg on Polyphasic Sleep, Tequila, and Building Billion-Dollar Companies

Dort erklärt Mullenweg auch, warum das Wort „WordPress“ auf WordPress manchmal anders erscheint, als man es ursprünglich geschrieben hat. ;)