WordPress kostenlos absichern – schnell und zuverlässig

WordPress ist ein großartiges Content Management System (CMS) mit dem sowohl Profis als auch Amateure sehr gut zurecht kommen. Nicht umsonst hat es einen extrem hohen Marktanteil. Daneben gibt es noch weitere sehr gute CMS, wie z.B. Drupal, Joomla! oder Typo3. Hier beschäftigen wir uns aber mit WordPress.

Ist WordPress sicher?

Ja, ist es, allerdings gibt es für Dich etwas zu tun, damit WordPress auch sicher bleibt.

Da immer wieder sicherheitsrelevante Lücken auftauchen solltest Du Deine Plugins immer auf dem aktuellen Stand halten. Dazu bietet Dir WordPress eine einfache Funktion an, nämlich die “automatische Aktualisierung”. Dazu gehst Du einfach in Deinem Administrationsbereich auf den den Punkt Plugin und stellst Deine Plugins auf “automatische Aktualisierung” um.
Plugins in wordpress aktualisieren

Das war es schon, ab sofort werden Deine Plugins automatisch immer auf den neuesten Stand aktualisiert.

WordPress absichern mit Wordfence

Neben den regelmäßigen Aktualisierungen solltest Du Deinen Adminbereich – Dein Backend – auch vor Zugriffen anderer schützen. Denn dort hat außer Dir niemand etwas zu suchen.

Da Profis wissen wie man ein System sicher machen kann, ist es für Anfänger oder Amateure wesentlich schwieriger. Als Lösung bietet WordPress diverse Plugins an, die Deinen Blog sicherer machen. Eines davon ist Wordfence. Hier muss man nicht die Bezahlversion von Wordfence nehmen, es reicht erst einmal vollkommen aus die kostenlose Version zu benutzen.

Dazu gehst Du auf “Plugins Installieren” und gibst in das Suchfeld “Wordfence” ein. Nachdem Du Wordfence gefunden hast, kannst Du es installieren und anschließend aktivieren.

Wordfence suchen, installieren und aktivieren
Wordfence suchen, installieren und aktivieren

Nach der Aktivierung von Wordfence erscheint ein Popup, welches Dich in die einzelnen Schritte einführt.

wordfence-popup
Wordfence-Popup

Damit Du weißt, wo Du was finden kannst ist es sinnvoll sich erst einmal durch die Einstellungen führen zu lassen. Ändern musst Du jetzt noch nichts.

Anschließend kannst Du auf “Wordfence Firewall” klicken. Dort siehst Du dann folgendes:

wordfence-firewall
Wordfence-Firewall

Die Firewall ist bereits eingeschaltet und befindet sich im Lernmodus. Dies dauert circa 1 – 2 Wochen. Das bedeutet aber nicht, dass die Firewall bis dahin unnütz oder inaktiv ist. Im Gegenteil, die Firewall lernt erst mal Deine Einstellungen und Deinen Server kennen und stellt sich entsprechend ein.

Bis hierhin musstest Du eigentlich noch nichts machen. Ich empfehle Dir aber, jetzt schon folgendes einzurichten, und zwar die “Brute Force Protection”. Diese findest Du unter Firewall –> All Firewall Options. Diese ist standardmäßig für meinen Geschmack zu locker eingestellt.

Ich habe hier folgende Einstellungen vorgenommen:

wordfence-brute-force
Wordfence-Brute-Force-Protection

Ich habe die Punkte “Lock out after how many login failures” und “Lock out after how many forgo passwords attempts” jeweils auf 3 eingestellt.

Ebenso habe ich die Option “Immediatly lock out invalid usernames” aktiviert und bei “Immediately block the IP of users who try to sign in as these usernames” bereits die zwei am häufigsten benutzten Usernamen eingetragen.

Anschließend noch oben rechts auf “Save” klicken und das war es schon.

WordPress absichern mit Two-Factor Authentication

Wordfence bietet neben den bereits oben beschriebenen Punkten noch die “Two-Factor Authentication”. Diese erhöht zwar die Sicherheit, allerdings musst Du Dich dann selber ebenfalls immer autorisieren und nach Verbrauch der Codes immer neue anlegen.

Du findest die “Two-Factor Authentication” unter Wordfence –> Login Security.

Two-Factor Authentication
Two-Factor Authentication

Hier musst Du zuerst den angezeigten Code mit einem entsprechendem Programm scannen, anschließend den angezeigten 6-stelligen Code eintragen und die Recovery-Codes downloaden.

Das war es dann schon. Aber immer daran denken, nach dem Verbrauch der Codes neue zu generieren.

WordPress absichern mit Country Blocker

Dies ist eigentlich mein Lieblingsplugin. Es entlastet Wordfence dahingehend, dass es bereits User aus anderen Ländern abblockt.

Dazu gehst Du auf “Plugins Installieren” und gibst in das Suchfeld “Country Blocker” ein. Nachdem Du Country Blocker gefunden hast, kannst Du es installieren und anschließend aktivieren.

Country Blocker
Country Blocker

Nach der Aktivierung wirst Du gebeten, die notwendigen IP-Adressen downzuloaden.

Country Blocker IP-Adressen downloaden
Country Blocker IP-Adressen downloaden

Als nächstes wird Dir ein Popup angezeigt, welches Dich durch das weitere Verfahren leitet.

IP2LOCATION
IP2LOCATION

Hier dann bitte auf “Get Started” klicken.

Du wirst aufgefordert einen Download-Token einzugeben. Den erhälst Du, wenn Du bei IP2Location einen kostenlosen Account anlegst. Keine bange, das ganze ist wirklich kostenlos und Du bekommst tatsächlich keinen Spam von denen. Du kannst auch den kostenlosen Newsletter direkt abwählen.

Nach der Bestätigung Deiner Emailadresse wird Dir direkt der notwendige Download-Token angezeigt, den Du in das Feld “Enter IP2Location Lite download token” einträgst.

Anschließend werden die entsprechenden Dateien automatisch downgeloaded und Du musst nur noch angeben, welche IP-Adressen gesperrt werden sollen.

block countries listed below
block countries listed below

Mit den angezeigten Ländern blockierst Du schon mal alle Länder außerhalb der Europäischen Union. Allerdings ist diese Blockierung für das Frontend gedacht. Du musst dann die Blockierung des Frontend durch den entsprechenden Haken aufheben und ins Backend wechseln und dort die Einstellungen nochmals vornehmen. Sofern Du bestimmte Länder für Deinen Blog trotzdem blocken möchtest, kannst Du das natürlich entsprechend einstellen.

Meine Einstellungen für das Backend sehen so aus.

Einstellungen IP2Location backend
Einstellungen IP2Location backend

Bitte nicht vergessen, das ganze durch den Button “Save Changes” am jeweiligen Ende der Seite zu speichern.

Als letztes kannst Du nun in den Tab “Settings” wechseln und – sofern Du das möchtest – das Logging aktivieren. So kannst Du dann später sehen, ob und wie erfolgreich Deine Einstellungen sind. Meine Statistik sieht übrigens so aus:

IP2LOCATION Statistik
IP2LOCATION Statistik

Das sind denn doch einige “Besucher” die direkt geblockt werden.

Ungefähr einmal im Monat erhälst Du von IP2Location eine Email, in der Du darauf hingewiesen wirst, dass es neue IP-Adressen gibt und Du die Dateien downloaden solltest. Dies kannst Du über den Tab “Settings” machen. Einfach auf “Update Database” klicken und die entsprechende Bestätigung abwarten.

Zusammenfassung

Wenn Du die hier aufgeführten Plugins installierst und entsprechend einrichtest ist Dein WordPress schon sehr gut abgesichert. Sei Dir aber bewusst, dass es eine absolute Sicherheit nicht gibt. Auch nicht bei WordPress.

Schreibe einen Kommentar