Was ich bisher über Websicherheit zusammentragen konnte.

Diese Anleitung ist für diejenigen gedacht, die eine private Website für sich selbst oder beispielsweise für ihren Verein betreiben und sich bzw. ihre Site vor unbefugten Zugriffen schützen möchten.

Denn durch sogenannte Brute Force Angriffe kommt es immer wieder vor, dass die Logins von WordPress-Seiten gezielt angegriffen werden. Und wenn ein solcher Angriff einmal erfolgreich ist, kann es im schlimmsten Fall sogar passieren, dass die eigene WordPress-Seite gehackt wird. Doch es gibt glücklicherweise hilfreiche WordPress-Plugins und Vorsichtsmaßnahmen, um dies erfolgreich zu verhindern. Das naheliegendste ist die Wahl eines sicheren

Benutzernamens und eines Passwortes

1. Benutzername

Bei der Einrichtung von WordPress ist als Benutzer der „admin“ vorgegeben. Bitte diesen Benutzer niemals so bestehen lassen, nicht einmal mit geänderter Buchstabenfolge. Lege einen Benutzer an, der Dir auch immer im Gedächtnis ist, und sei es der Name Deines Hundes mit seinem Geburtsdatum.

Fiffi*2020. Wer kommt schon da drauf?

2. Passwort

Es gibt in WordPress keine Beschränkung für die Passwortlänge. Die sichersten Passwörter sind lang, enthalten große und kleine Buchstaben, weisen Ziffern und auch Sonderzeichen (&, %, $, #, + oder dergleichen).

Ich persönlich bin kein Freund der automatisch generierten Passwörter. Lieber denke ich mir einen Satz aus, wie z.B.:

Ich bin derjenige, der diese Website betreibt und das mit Erfolg seit meinem Geburtstag am 11. November 1981

Daraus mache ich das Benutzerpasswort: IbdddWsbudmEsmG#11N1981

Die Sicherheit eines Passwortes kann z.B. hier getestet werden: https://checkdeinpasswort.de/. Diese Seite sagt aus, dass dass eben generierte Passwort mit einem herkömmlichen Computer innerhalb von 9 Quadrilliarden Jahren geknackt werden kann. Das Passwort „General123“ würde in 2 Jahren geknackt werden können. Und 1234 würde ohne jegliche Verzögerung geknackt sein.

Passwörter variieren

Setze nie überall das gleiche Passwort ein, denn wenn eines geknackt ist, sind alle anderen Dienste auch nicht mehr sicher. Allerdings verlierst du schnell den Überblick, wenn du für jeden Dienst den Satztrick anwendest oder ein Wort mit Leetspeak aufbesserst. Aber auch dafür gibt es einen einfachen Tipp! Zu deinem sicheren Passwort ergänzt du am Anfang oder Ende noch die ersten drei oder vier Buchstaben des Dienstes, für den du das Passwort benutzen möchtest.

Jetzt haben wir zwei Maßnahmen getroffen. Als nächstes können wir die Anzahl der

Login-Versuche einschränken

Standardmäßig ist die Anzahl der Login-Versuche bei WordPress uneingeschränkt. Das ist natürlich ein weiteres Sicherheitsrisiko, dass Du mit Hilfe eines Plugins wie  “Limited Login Attempts” oder „fail2ban“ leicht in den Griff bekommen kannst. Das Plugin erlaubt es dir, die Login-Versuche pro IP-Adresse auf z.B. 3 mögliche Versuche zu begrenzen. Wird diese Anzahl überschritten, wird die IP-Adresse für eine bestimmte Zeit (der Zeitraum kann in den Plugin-Einstellungen selbst gewählt werden) vom Zugriff auf deine WordPress-Seite gesperrt.

Ich habe für meine Seiten das PlugIn Loganizer eingerichtet, das mit bisher sehr gute Dienste leistet.

Eine weitere, ggf. zusätzliche Methode ist die

2-Fach Authentifizierung mit dem Google Authenticator

Noch weitere Sicherheit bietet die zusätzliche Authentifizierung in zwei Schritten, die du mit Hilfe der Google Authenticator-App und des Google Authenticator WordPress-Plugins leicht einrichten kannst. Das ganze funktioniert so, dass du bei jedem Login nicht nur dein WordPress-Benutzernamen und dein Passwort, sondern auch einen zusätzlichen Google Authenticator Code eingeben musst, der immer wieder neu über die Google Authenticator-App generiert wird.

Diese Methode setzt also voraus, dass Du dein mobiles Device (Smartphone oder Tablet) immer zur Hand hast, wenn du im WordPress-Admin arbeiten möchtest. Das ist zwar etwas aufwendiger, bietet aber einen sehr sicheren zusätzlichen Schutz vor Login-Angriffen.

Die Einrichtung ist mit dem WordPress-Plugin “Google Authenticator” ganz einfach. Nach der Plugin-Installation und dem Download der Google Authenticator-App (Android-App, iOS App) kannst du einfach den Barcode in den WordPress Plugin-Einstellungen nutzen, um das Plugin mit deiner App zu verknüpfen. Wenn du jetzt die Google Authenticator-App öffnest, wird dir der Login-Code für deine WordPress-Seite in zeitlichen Abständen immer wieder neu generiert und du kannst den Code in deinem WordPress-Loginscreen eintragen.

Fazit

Das mag alles nicht der Weisheit letzter Schluss sein, und ich habe sicher nicht alle Möglichkeiten erfasst. Wer so wie Du und ich eine oder mehrere kleine Websites betreibt sollte sich schon die Mühe machen, dies alles zu schützen, und sei es vor Kindern, die schon früh beginnen, die auch illegalen und nicht so netten Möglichkeiten des Internets ausnutzen, um anderen zu schaden. Ein wenig Fantasie, ein wenig eigene Arbeit lässt uns allen die Freude am selbst Erschaffenen erhalten. Wer eine Website erschafft möchte anderen etwas mitteilen, ihnen Freude bereiten und sich nicht ständig Gedanken machen müssen, ob das auch erhalten bleibt.

Diese Seite ist nicht einfach öffentlich zugänglich, nur wer die Adresse kennt, kann sie aufrufen. Diese Sicherheitsvorschläge sind ausdrücklich nicht für diejenigen gedacht, welche das gewerblich tun, denn die werden mehr Wissen haben, ihre Projekter selbst abzusichern.

Durch die weitere Nutzung der Seite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen zu Cookies erhalten Sie in unserer Datenschutzerklärung.

Schließen