Leider musste ich mich notgedrungen mit der Sicherheit meiner WordPress Installation auseinandersetzen, denn die Seite ist gehacked worden. Hier jetzt mein Erfahrungsbericht.
Die Sicherheit von WordPress Installationen erhöhen
Ich habe als erstes versucht ein gutes Plugin zu finden, daß meine WordPress Installation sicherer macht. Und da bin ich zuerst auf das Bulletproof Security Plugin für WordPress gestoßen. Nach der Installation habe ich versucht diese Webseite so sicher wie möglich zu machen. Aber ehrlich gesagt, war mit das Plugin zu unübersichtlich und viele Funktionen und Sicherheitsoptionen waren kaum verständlich für mich, schlecht beschrieben oder die gesamte Benutzeroberfläche nicht besonders nutzerfreundlich.
Also habe ich bei WordPress weiter gesucht und das Plugin iThemes Security gefunden, daß früher mal Better WordPress Security hieß. Und damit bin ich jetzt sehr zufrieden. Das Plugin listet alle sinnvollen Maßnahmen sortiert nach Priorität auf und erklärt auch den Sinn der Einstellungen.
Alles sehr übersichtlich und nachvollziehbar für Laien. Kann ich deshalb auch für Leute empfehlen, die sich nicht in die Tiefen einer technischen Lösung einarbeiten wollen, sondern einfach nur sagen wollen: “Meine WordPress Seite ist gut geschützt vor Hack- Angriffen”.
Die Meldungen von Hackern verschwinden
Ich hatte vorher schon das Plugin Limit Login Attempts installiert, welches die Anzahl der Loginversuche limitiert. Ich bekam deshalb fast jeden Tag eine Login-Warnung, also von Login Versuchen, bei dem 4 mal das falsche Passwort eingegeben wurde. Und zwar gleich 3 mal am Tag, was zeigt wie viele Hackangriffe es gibt! Und mein Firefox Browser meldete mir auf manchen Seiten, daß diese mit Malware infiziert seien. Ein Alptraum.
Nachdem ich das Plugin iThemes Security installiert habe, gingen diese Warnungen auf nahezu NULL zurück. Das führe ich vor allem auf die Funktion “Hide Login Backend” zurück. Hier wird die von WordPress vorgegebene Einlog-Adresse “wp-admin” auf eine selbst vergebene Login Adresse abgeändert. Diese Einstellung kann man frei wählen, wie z.B. “wp-einloggen”. Auch die Änderung der häufig benutzen Administratoren Einstellungen waren sicherlich sehr hilfreich. Der Admin – Username wurde abgeändert. Damit wird automatischen einlog-Bots der Administratoren Name genommen und Einlogversuche mit dem Usernamen Admin scheitern.
Auch die Datensicherung ist wichtig
Bei manchen Webhostern werden alle Daten regelmäßig gesichert, was toll ist. Hier hat man eine gute Backup Möglichkeit, falls sich doch mal Viren auf dem Webserver eingeschlichen haben. Aber leider ist eine gute Datensicherung bei kleineren Webhostern eher die Ausnahme als die Regel. Hier hilft das Plugin WP Clone. Damit kann man eine Komplettsicherung der WordPress Seite machen, inklusiver aller Dateien, Einstellungen und der Datenbank. Kann ich nur empfehlen!