Selbst kleine Webseiten werden regelmäßig Ziel von Angriffsversuchen. Um Ihre WordPress-Seite effektiv zu schützen, habe ich neun einfache und effiziente Maßnahmen zusammengestellt, die Ihnen helfen, Ihre Webseite sicherer zu machen.
Als Selbstständiger betreibe ich eine Webseite unter WordPress. Obwohl ich keine große Firma bin, bemerkte ich täglich über 100 Zugriffe auf den Admin-Login-Bereich. Das war Grund genug, die Situation genauer zu untersuchen.
Die meisten Login-Versuche wurden durch das Tool „Limit Login Attempts“ blockiert, welches ich direkt bei der Erstellung der WordPress-Seite installiert hatte. Ich hatte den Zugang zum Admin-Bereich auf wenige Länder beschränkt, sodass zunächst kein Grund zur Sorge bestand. Dennoch störten mich die vielen Login-Versuche, insbesondere die Zugriffe aus Russland, da hier Kombinationen aus Benutzernamen (E-Mail-Adressen) und Passwörtern genutzt wurden, die sich nicht von der Webseite ableiten ließen. Die Angreifer bedienten sich offenbar eines Datenpools mit kompromittierten Kombinationen und konnten Zusammenhänge zwischen von Verwandten benutzten E-Mail-Adressen und meiner Person herstellen.
Wie man sieht, versuchen die meisten Angreifer, mit dem Standardlogin von WordPress für den Admin-Bereich zuzugreifen. Die Zugriffe kommen aus der ganzen Welt.
Zugriffe aus Russland waren ausgeklügelter. Die Angreifer verwendeten anscheinend einen Datenpool mit kompromittierten Kombinationen User (E-Mail) / Passwort und konnten Verbindungen zwischen den E-Mail-Adressen von Verwandten und meiner Person herstellen.
Daher stellte sich die Frage: Wie kann man eine WordPress-Seite mit moderatem Aufwand besser absichern?
1. Ändern des Admin-Benutzernamens
Ändern Sie den Login-Namen des Administrators auf einen kryptischen Benutzernamen und verwenden Sie diesen nicht, um Inhalte zu veröffentlichen. So erschweren Sie es Angreifern, den Administrator-Account zu identifizieren. Dies ist ein einfacher, aber effektiver Schritt zur Verbesserung der Sicherheit.
2. Trennung der Rollen Administrator und Autor in WordPress
Nutzen Sie für die Veröffentlichung von Inhalten einen separaten Autor-Account mit entsprechend reduzierten Zugriffsrechten. Der Administrator-Account sollte ausschließlich für administrative Aufgaben verwendet werden. Diese Trennung minimiert das Risiko, dass der Admin-Account durch öffentlich sichtbare Aktivitäten kompromittiert wird.
3. Erstellen Sie sichere Passwörter
Ein sicheres Passwort sollte eine zufällige Kombination aus Buchstaben, Zahlen und Sonderzeichen sein, z.B. „k7Qti14LKMU3X62EgVvG“. Verwenden Sie für alle Accounts unterschiedliche Passwörter und wiederholen Sie keine Kombination auf verschiedenen Seiten. Sichere Passwörter sind eine der grundlegendsten und effektivsten Maßnahmen zur Absicherung.
4. Nicht genutzte WordPress Themes und Plugins deinstallieren
Deinstallieren Sie alle nicht genutzten Themes und Plugins. Diese können Sicherheitslücken enthalten und Angreifern eine Möglichkeit bieten, in Ihre Webseite einzudringen. Eine schlanke und regelmäßig gewartete WordPress-Installation ist weniger anfällig für Angriffe.
5. Automatische Updates aktivieren
Aktivieren Sie die automatischen Updates. Kombinieren Sie dies mit automatischen Backups, um sicherzustellen, dass Ihre Seite auch nach einem missglückten Update weiterhin funktioniert. Nutzen Sie Tools wie Easy Updates Manager, um die Verwaltung der Update-Einstellungen zu erleichtern.
6. Regelmäßige Backups durchführen
Erstellen Sie regelmäßige Backups Ihrer Webseite, sowohl online als auch offline. Achten Sie darauf, dass immer mindestens ein Backup vorhanden ist, welches offline liegt und nicht von WordPress aus verändert oder gelöscht werden kann. Tools wie UpdraftPlus erleichtern die Backup-Erstellung und -Verwaltung.
7. WordPress Login-Bereich schützen
Mit dem Plugin Limit Login Attempts können sie die Anzahl fehlerhafter Login-Versuche beschränken und Länder für den Admin-Zugang sperren. Zudem können Benachrichtigungen über Sperrungen an eine regelmäßig genutzte E-Mail-Adresse gesendet werden. So erhalten Sie einen Überblick über unbefugte Zugriffe und können entsprechende Maßnahmen ergreifen. Blockieren Sie mit dem Tool den Zugriff auf XML-RPC, um Angriffe über diese Schnittstelle zu verhindern. Diese Funktion wird selten benötigt und kann deaktiviert werden, um die Sicherheit Ihrer Webseite zu erhöhen.
8. WordPress Login-URL ändern
Schützen Sie Ihre Webseite, indem Sie die Anmelde-URL ändern. Das Plugin WPS Hide Login ermöglicht es, die Standard-URL „wp-login.php“ und den Zugang zum Verzeichnis „wp-admin“ zu verbergen, wenn man nicht angemeldet ist. Dies erschwert es Angreifern, die Login-Seite zu finden und anzugreifen.
9. Firewall installieren
Installieren Sie eine Firewall, um grundlegende Sicherheitsmaßnahmen für Ihre WordPress-Seite zu implementieren. Tools wie Wordfence bieten umfassenden Schutz vor verschiedenen Arten von Angriffen und helfen dabei, Ihre Webseite sicher zu halten. Auch wenn hier eine gewisse Redundanz mit dem Plugin Limit Login Attempts gegeben ist, hat das bei meiner Installation bis jetzt nicht zu Problemen geführt.
Hier noch ein Screenshot aus dem Tool Limit Login Attempts über den Verlauf der Zugriffsversuche vor und nach dem Umsetzen der beschriebenen Maßnahmen.
Durch die Kombination dieser Maßnahmen können Sie Ihre WordPress-Seite absichern und unbefugte Zugriffe minimieren. In der Regel reichen die kostenlosen Versionen der genannten Tools aus, um den Schutz Ihrer WordPress-Installation auf ein gutes Niveau zu bringen. Absoluten Schutz gibt es nicht, aber man sollte es den Angreifern auch nicht zu leicht machen. Bleiben Sie stets wachsam und aktualisieren Sie regelmäßig Ihre Sicherheitsvorkehrungen, um den Schutz Ihrer Webseite zu gewährleisten.
Weiterführende Links:
Erste Schritte in Sachen Cyber Security: Die DIN 27076 als Werkzeug für KMU
Cyber Security (lanzrath.de)
Cyber Risiko Check (lanzrath.de)
Bild: DALL·E 3