WordPress ist ein großartiges Content-Management-System (CMS) mit dem sowohl Profis als auch Amateure sehr gut zurechtkommen. Nicht umsonst hat es einen extrem hohen Marktanteil. Daneben gibt es noch weitere sehr gute CMS, wie z.B. Drupal, Joomla! oder Typo3. Hier beschäftigen wir uns aber mit WordPress.
Inhaltsverzeichnis
Ist WordPress sicher?
Ja, ist es, allerdings gibt es für Dich etwas zu tun, damit WordPress auch sicher bleibt.
Da immer wieder sicherheitsrelevante Lücken auftauchen solltest Du Deine Plugins immer auf dem aktuellen Stand halten. Dazu bietet Dir WordPress eine einfache Funktion an, nämlich die “automatische Aktualisierung”. Dazu gehst Du einfach in Deinem Administrationsbereich auf den den Punkt Plugin und stellst Deine Plugins auf “automatische Aktualisierung” um.
Das war es schon, ab sofort werden Deine Plugins automatisch immer auf den neuesten Stand aktualisiert.
WordPress absichern mit Wordfence
Neben den regelmäßigen Aktualisierungen solltest Du Deinen Adminbereich – Dein Backend – auch vor Zugriffen anderer schützen. Denn dort hat außer Dir niemand etwas zu suchen.
Da Profis wissen, wie man ein System sicher machen kann, ist es für Anfänger oder Amateure wesentlich schwieriger. Als Lösung bietet WordPress diverse Plugins an, die Deinen Blog sicherer machen. Eines davon ist Wordfence. Hier muss man nicht die Bezahlversion von Wordfence nehmen, es reicht erst einmal vollkommen aus die kostenlose Version zu benutzen.
Dazu gehst Du auf “Plugins Installieren” und gibst in das Suchfeld “Wordfence” ein. Nachdem Du Wordfence gefunden hast, kannst Du es installieren und anschließend aktivieren.
Nach der Aktivierung von Wordfence erscheint ein Pop-Up, welches Dich in die einzelnen Schritte einführt.
Damit Du weißt, wo Du was finden kannst, ist es sinnvoll sich erst einmal durch die Einstellungen führen zu lassen. Ändern musst Du jetzt noch nichts.
Anschließend kannst Du auf “Wordfence Firewall” klicken. Dort siehst Du dann folgendes:
Die Firewall ist bereits eingeschaltet und befindet sich im Lernmodus. Dies dauert circa 1 – 2 Wochen. Das bedeutet aber nicht, dass die Firewall bis dahin unnütz oder inaktiv ist. Im Gegenteil, die Firewall lernt erst mal Deine Einstellungen und Deinen Server kennen und stellt sich entsprechend ein.
Bis hierhin musstest Du eigentlich noch nichts machen. Ich empfehle Dir aber, jetzt schon folgendes einzurichten, und zwar die “Brute Force Protection”. Diese findest Du unter Firewall –> All Firewall Options. Diese ist standardmäßig für meinen Geschmack zu locker eingestellt.
Ich habe hier folgende Einstellungen vorgenommen:
Ich habe die Punkte “Lock out after how many login failures” und “Lock out after how many forgo passwords attempts” jeweils auf 3 eingestellt.
Ebenso habe ich die Option “Immediatly lock out invalid usernames” aktiviert und bei “Immediately block the IP of users who try to sign in as these usernames” bereits die zwei am häufigsten benutzten Usernamen eingetragen.
Anschließend noch oben rechts auf “Save” klicken und das war es schon.
WordPress absichern mit Two-Factor Authentication
Wordfence bietet neben den bereits oben beschriebenen Punkten noch die “Two-Factor Authentication”. Diese erhöht zwar die Sicherheit, allerdings musst Du Dich dann selber ebenfalls immer autorisieren und nach Verbrauch der Codes immer neue anlegen.
Du findest die “Two-Factor Authentication” unter Wordfence –> Login Security.
Hier musst Du zuerst den angezeigten Code mit einem entsprechendem Programm scannen, anschließend den angezeigten 6-stelligen Code eintragen und die Recovery-Codes downloaden.
Das war es dann schon. Aber immer daran denken, nach dem Verbrauch der Codes neue zu generieren.
WordPress absichern mit Country Blocker
Dies ist eigentlich mein Lieblingsplugin. Es entlastet Wordfence dahingehend, dass es bereits User aus anderen Ländern abblockt.
Dazu gehst Du auf “Plugins installieren” und gibst in das Suchfeld “Country Blocker” ein. Nachdem Du Country Blocker gefunden hast, kannst Du es installieren und anschließend aktivieren.
Nach der Aktivierung wirst Du gebeten, die notwendigen IP-Adressen downzuloaden.
Als Nächstes wird Dir ein Pop-Up angezeigt, welches Dich durch das weitere Verfahren leitet.
Hier dann bitte auf “Get Started” klicken.
Du wirst aufgefordert einen Download-Token einzugeben. Den erhältst Du, wenn Du bei IP2Location einen kostenlosen Account anlegst. Keine bange, das Ganze ist wirklich kostenlos und Du bekommst tatsächlich keinen Spam von denen. Du kannst auch den kostenlosen Newsletter direkt abwählen.
Nach der Bestätigung Deiner Emailadresse wird Dir direkt der notwendige Download-Token angezeigt, den Du in das Feld “Enter IP2Location Lite download token” einträgst.
Anschließend werden die entsprechenden Dateien automatisch downgeloaded und Du musst nur noch angeben, welche IP-Adressen gesperrt werden sollen.
Mit den angezeigten Ländern blockierst Du schon mal alle Länder außerhalb der Europäischen Union. Allerdings ist diese Blockierung für das Frontend gedacht. Du musst dann die Blockierung des Frontends durch den entsprechenden Haken aufheben und ins Backend wechseln und dort die Einstellungen nochmals vornehmen. Sofern Du bestimmte Länder für Deinen Blog trotzdem blocken möchtest, kannst Du das natürlich entsprechend einstellen.
Meine Einstellungen für das Backend sehen so aus.
Bitte nicht vergessen, das ganze durch den Button “Save Changes” am jeweiligen Ende der Seite zu speichern.
Als Letztes kannst Du nun in den Tab “Settings” wechseln und – sofern Du das möchtest – das Logging aktivieren. So kannst Du dann später sehen, ob und wie erfolgreich Deine Einstellungen sind. Meine Statistik sieht übrigens so aus:
Das sind denn doch einige “Besucher” die direkt geblockt werden.
Ungefähr einmal im Monat erhältst Du von IP2Location eine Email, in der Du darauf hingewiesen wirst, dass es neue IP-Adressen gibt und Du die Dateien downloaden solltest. Dies kannst Du über den Tab “Settings” machen. Einfach auf “Update Database” klicken und die entsprechende Bestätigung abwarten.
Zusammenfassung
Wenn Du die hier aufgeführten Plugins installierst und entsprechend einrichtest, ist Dein WordPress schon sehr gut abgesichert. Sei Dir aber bewusst, dass es eine absolute Sicherheit nicht gibt. Auch nicht bei WordPress.
Der Webfuchs
"Der Webfuchs" ist ein Pseudonym des Webentwicklers Stephan Bloemers. Geboren 1967 in Duisburg und aktuell in Düsseldorf ansässig, begann er bereits 1999 mit der Erstellung von Websites. Durch selbständiges Lernen erwarb er die notwendigen HTML-Kenntnisse und registrierte 2001 seine erste Top-Level-Domain "derwebfuchs.de", die damals bereits kostenlose Ressourcen für Webmaster bereitstellte.
Über die Jahre hat Stephan weitere Projekte realisiert, darunter einen Blog über seinen damaligen Kegelclub. Alle von ihm erstellten Websites werden als Hobby betrieben.
Neben dem Basteln an seinen Websites verbringt Stephan seine Freizeit gerne mit Spielen wie Poker oder Schach.
Stephan hat sich im Laufe seiner Karriere auf die Entwicklung von benutzerfreundlichen und effektiven Websites spezialisiert. Seine Leidenschaft für Technologie und Design spiegelt sich in seiner Arbeit wider und er ist stets bemüht, auf dem neuesten Stand zu bleiben, um die bestmöglichen Lösungen anbieten zu können.
In seiner Freizeit ist Stephan ein begeisterter Blogger und teilt gerne sein Wissen und seine Erfahrungen mit anderen Webentwicklern und Interessierten. Seine Leidenschaft für die Online-Welt und seine Fähigkeit, komplexe Themen einfach und verständlich zu vermitteln, machen ihn zu einer wertvollen Ressource für alle, die sich für Webentwicklung und Online-Marketing interessieren.