Eine WordPress Website aufsetzen ist nun wirklich kein Hexenwerk. Aber was ist, wenn die Website gehackt wurde?
Hier die wichtigsten Maßnahmen um den Hackern schon im Vorfeld das Leben schwer zu machen.
Sicherheits-Plugins
Es gibt eine ganze Reihe Plugins, die für mehr Sicherheit sorgen können.
Mein Favorit ist Wordfence. Wordfence scant die Seite auf Malware, veränderte Datein und schlägt Alarm, wenn unberechitgte oder verdächtige Zugriffe stattfinden. Auch lässt sich live beobachten, wer just im Moment aus Bulgarien oder sonstwo versucht, auf die Website zuzugreifen mit der Möglichkeit die jeweiligen IP-Adressen dann auch gleich zu blockieren.
Weitere sinnvolle Security-Plugins:
- Hide My WP – versteckt System-Verzeichnisse vor Angreifern. Inkl. Firewall-Funkton.
Bewährt und weit verbreitet. - iThemes Security – schützt das Upload-Verzeichnig (sehr beliebt für Angriffe ..), prüft die Sicherheitseinstellungen und generiert Verbesserungsvorschläge.
- Limit Login Attempts – speziell für Passwort-Rater. Man kann z.B. einstellen, dass nach 3 Login-Versuchen der Zugriff gesperrt wird. Wobei man da aufpassen muss, dass man sich nicht selbst aussperrt … ;)
Sofort-Maßnahmen
Neben guten Security-Plugins gibt es noch manuelle Maßnahmen um Hackerangriffe abzuwehren.
- als Allererstes: Updates auf Stand halten. Für Worpress, Plugins und Themes werden ständig Updates ausgegeben, und die sollten dann auch ausgeführt werden. Einfach draufklicken, schon fertig.
- Benutzernamen und Passwörter
Standardmäßig ist der Benutzername bei der Erstinstallation ‚admin‘. Das ist natürlich auch der Name, den Hacker als erstes testen. Daher, ‚admin‘ als Benutzername ist grundsätzlich tabu. Auch der Name der Website oder der eigene Name sind viel zu naheliegend. Benutzernamen müssen genauso generiert werden wie Passwörter: ohne erkennbaren Zusammenhang zu der Website, mit Sonderzeichen und mit Groß- und Kleinbuchstaben, Kauderwelsch eben ! Und immerwieder mal ändern. Vor allem, wenn über ein Plugin erkennbar ist, dass der Benutzername bereits gefunden wurde .. - wp-admin über die .htaccess (im root-Verzeichnis) schützen
Mit den Plugins und den genannten Maßnahmen hat man dann gute Vorkehrungen gegen Hacker-Angriffe geschaffen. Wobei – eine 100%ige Sicherheit gibt es nicht. Sollte das Kind doch mal in den Brunnen gefallen sein, ist es gut, wenn man auf Backups zurückgreifen kann, die natürlich auch regelmäßig gemacht werden sollten.
Sie haben selbst keine Zeit dafür und wissen auch nicht worauf es beim Thema Sicherheit ankommt? Dann rufen Sie uns an!