Vor einigen Tagen hatte ich ziemliche Sicherheitsprobleme mit meinem Blog. Anscheinend versuchten Hacker auf meine Seite zu kommen, sich einzuloggen und was weiß ich was anzustellen. Darum entschloss ich mich dazu diesen Blogger 1×1 Post der Sicherheit für einen WordPress-Blog zu widmen. Ich denke ihr kennt das schlimme Gefühl wenn man beim Aufrufen des Blogs eine Fehlermeldung bekommt oder per Mail Infos erhält mit denen man erst gar nichts anfangen kann. Ich war nervös ohne Ende, denn schließlich handelt es sich hier um mein Blog-Baby dem ich täglich sehr viel Zeit widme.

Viele von uns Bloggern treffen in letzter Zeit die Entscheidung zu WordPress zu wechseln und so den Blog selbst zu hosten. Das heißt man ist nun unabhängig von anderen Anbietern und demnach auch für alles selbst verantwortlich. So auch für die Sicherheit des Blogs. In diesem Post möchte ich euch kurz erzählen wie es mir ergangen ist und was ich nun alles unternommen habe.

Bei mir war es so, dass ich mich bei meinem Blog nicht mal mehr einloggen konnte da ein Plugin (Limit Login Attempts) mehrere fehlerhafte Login-Versuche erkannt und so meine Login-Seite gesperrt hat. Ist ja alles schön und gut aber ich bin dann eben auch nicht mehr in mein Dashboard gekommen. Hier hat mir dieses Tutorial sehr weitergeholfen. In dieser Anleitung wird beschrieben wie man einen admin-User in der MySQL Datenbank anlegen kann und so wieder Zugriff auf seinen Blog bekommt. Ich war zwar total nervös aber es hat alles super funktioniert.

Weiters bekam ich per Mail folgende Fehlermeldung: „Folgendes scheint für die hohe Last verantwortlich gewesen zu sein: Serverauslastung sowie viele Apache-Childs, vermutlich verursacht durch minütliche Ausführung von wp-cron.“ Also folgte ich diesem Tutorial um dieses Problem aus dem Weg zu schaffen. Danach konnte ich meinen Blog wieder wie gewohnt aufrufen und zumindest für meine Leser war alles beim alten.

Sicherheit für einen WordPress-Blog

Entferne den admin-User

Das ist eigentlich das erste was man bei einem neuen WordPress Blog machen sollte. Den voreingestellten „admin“ User entfernen und durch einen eigenen Benutzernamen ersetzen. Auch ich habe damit zu lange gewartet und nun eben die Rechnung präsentiert bekommen. Das ist aber alles halb so schlimm denn man kann den „admin“ User auch bei einem bestehenden Blog entfernen.

Geht auf den Punkt „Benutzer“ und wählt „Neu hinzufügen“ aus. Gebt nun alle erforderlichen Daten an und wählt beim Dropdown-Menü „Rolle“ den „Administrator“ aus. Das ist sehr wichtig, denn wenn ihr euren admin Benutzernamen löscht und zuvor keinem anderen Benutzer die Administrator Rechte gegeben habt, kann es schwierig werden den vollen Zugriff auf den Blog zurück zu erlangen. Ich habe dann gleich getestet ob alles funktioniert und mich mit dem neuen Benutzernamen und Passwort eingeloggt.

Wenn der neue Benutzer mit den Administrator Rechten hinzugefügt wurde, kann man den admin User löschen. Dazu wählt ihr den admin Benutzer aus, klickt auf löschen und wählt anschließend bei „Diesem Nutzer den gesamten Inhalt zuordnen:“ euren neuen Benutzernamen den ihr soeben angelegt habt. So stellt ihr sicher, dass alle eure Beiträge und Kommentare auf den neuen Benutzernamen übertragen werden und nichts verloren geht.

Ich habe natürlich aus der ganzen Aktion gelernt und so habe ich mir gleich mehrere Benutzer mit Administratorrechten angelegt. Alle natürlich mit verschiedenen Benutzernamen und verschiedenen Passwörtern. Damit ich auch in Zukunft immer Zugriff auf meinen Blog haben werde, sollte wieder mal etwas mit einem meiner Benutzerlogins nicht stimmen.

Wähle ein sicheres Passwort

Man liest es immer und immer wieder und die meisten denken sich aber nichts dabei. Würde ich mocca1234 als Passwort wählen, dann würde es einen Hacker wahrscheinlich langweilige 5 Versuche kosten meinen Blog zu knacken. Passwörter sollen aus Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen bestehen. Wenn man sich diese aber nicht merken kann, dann sollte man sie am besten irgendwo unabhängig von der Login-Quelle notieren, versteckt aufschreiben oder einen Passwort Manager verwenden. Man kann sich auch einen Passwort Generator zur Hilfe nehmen wenn man keine Idee für ein kreatives Passwort hat. Außerdem solltet ihr eure Blog-Passwort wirklich nur für euren Blog verwenden und nicht noch bei 20 anderen Seiten.

Login-Seite verändern

Die Standard-Login Seite von WordPress ist nicht schwer herauszufinden denn sie ist generell bei allen WordPress-Seiten gleich. Um es Hackern schwerer zu machen kann man die Login-URL verändern. Das Plugin iThemes Security bietet diese Funktion an und sie funktioniert auch sehr gut. Hier kann man noch einen Schritt weiter gehen und den Login-Bereich mittels der .htaccess Datei schützen. Wie das genau geht wird hier sehr gut erklärt.

BackWPup

Stellt euch nur mal vor, eure ganze Arbeit die ihr regelmäßig in euren Blog steckt wäre von der einen auf die andere Sekunde futsch. Da würden dann Tränchen verdrückt oder auch Wutanfälle ausgelöst werden. Ich sichere meinen WordPress-Blog täglich mit dem Plugin BackWPup. Bei diesem Back-Up Plugin vergibt man Sicherungsaufträge und entscheidet wo das Back-Up abgespeichert wird. Im Normalfall sichert dieses Tool alles problemlos und sollte es dennoch mal ein Problem geben dann wird man per Mail verständigt. Zudem lade ich auch regelmäßig meine kompletten Daten von meinem FTP-Server auf mein Macbook um auch diese Form der Sicherung zu haben. Da ich ja täglich neue Posts veröffentliche ist mir das sehr wichtig, denn in jedem einzelnen Post steckt sehr viel Arbeit. Ihr kennt das ja!

iThemes Security

iThemes Security ist ein sehr mächtiges Sicherheits-Plugin welches man allerdings mit Vorsicht genießen sollte. Dieses Plugin habe ich nach Recherchen und nach meinem Sicherheitsleck installiert und war sofort voller Tatendrang aus meinem Blog einen Hochsicherheitstrackt zu machen. Das ist auch durchaus möglich aber was auf den ersten Blick super erscheint ist auf den zweiten Blick vielleicht gar nicht mehr so toll. Einige Funktionen (zB File Change Detection) haben die Ladezeit meines Blogs massiv beeinträchtigt und daher habe ich nach und nach geschaut, welche Einstellungen die Schuld dafür sind und diese wieder deaktiviert.

Das Plugin ist sehr gut und wirksam und liefert auch sofort per Mail Meldungen über unerwünschte Ereignisse was den Blog betreffen, aber wie gesagt sollte man jede Einstellung in Ruhe durchgehen und schauen welche Auswirkungen sie auf den Blog hat. Eine weitere umfangreiche Übersicht von Sicherheit-Plugins findet ihr hier.

Limit Login Attempts

Mit dem Plugin Limit Login Attempts kann man die Anzahl der Login-Versuche beschränken. Sollte sich also jemand unbefugt Zutritt verschaffen wollen, dann wird für diese IP-Adresse für eine gewisse Zeit ein einloggen nicht möglich sein. Allerdings muss man sich auch im klaren sein, dass euch dieses Plugin auch selbst rausschmeißen bzw. nicht mehr in euren Blog reinlassen kann. So ist es mir auch ergangen. Da hatte ich aber auch noch den typischen „admin“ als Benutzernamen gewählt und war so für Hacker ein gefundenes Fressen. Diesen Fehler mache ich nicht mehr.

Antispam Bee

Antispam Bee ist ein simples, äußerst effektives Plugin zur Bekämpfung von Spam-Kommentaren. Es dient jetzt nicht wirklich der Blog-Sicherheit aber dieses Plugin sortiert sehr gut aus und ich bekomme äußerst wenige Spam-Kommentare. Auf Wunsch könnte man die als Spam gekennzeichneten Kommentare auch sofort entfernen lassen aber ich schaue sie mir doch lieber noch einmal an. Immer wieder rutscht nämlich auch mal ein anonymer Kommentar rein der eigentlich gar kein Spam darstellt. Dieses Plugin hilft mir, damit mein Kommentarbereich sauber bleibt und vor unnötigen Kommentaren geschützt wird. Das ist auch benutzerfreundlicher für meine richtigen Leser und daher zähle ich diesen Punkt auch zu dem Thema Sicherheit für meinen Blog.

WordPress Updates installieren

WordPress ist keine Software die nicht auch gepflegt werden will. Regelmäßig kommen neue Versionen heraus welche neue Sicherheitsfunktionen und wichtige Updates beinhalten. Schaut also darauf, dass ihr immer die aktuellste WordPress Version verwendet und macht das Update auch gleich wenn es euch im Dashboard vorgeschlagen wird. Aber nicht vergessen: Macht vorher noch ein Back-Up von eurem Blog, denn man weiß nie ob bei einem Update nicht etwas schief geht. Weiters ist es auch wichtig alle Plugins auf dem neuesten Stand zu halten um Sicherheitslücken zu vermeiden.

Es sind zwar alles nur Kleinigkeiten aber Kleinvieh macht auch Mist und kann effektiv zu eurer Blog-Sicherheit beitragen. Natürlich gibt es auch Sicherheitsmaßnahmen die tiefer in die Materie hineingehen und bei denen man Blog-Dateien umbenennt und verändert. Da aber nicht jeder von uns Bloggern ein technikversiertes Genie ist, wollte ich mit diesem Post einen Überblick über Sicherheits-Tools geben die man auch als Laie durchführen kann.

Wie schützt ihr euren Blog oder habt ihr euch darüber noch keine Gedanken gemacht? 

PS: Das sind alles meine persönlichen Tipps mit denen ich gute Erfahrungen gemacht habe. Wenn ihr noch Erweiterungen für mich habt oder anderer Meinung seid dann lasst es mich bitte wissen!