Da ist es passiert. Es ist Montagabends, ich bin grad gemütlich am chatten und stell mich auf einen ruhigen Abend ein. Ich lehne mich zurück, lasse den Tag nochmal Revue passieren und war schon am Weg in den Feierabend. Zumindest kurzfristig.
Dann, wie aus dem nichts, ereilte mich eine Nachricht: „Deine Seite funktioniert irgendwie nicht mehr!“ Ich kamen von einem zum anderen. Ein Datenbankfehler? Aber nicht bei jedem Laden der Seite, sondern nur in 90 % der Fälle. Ernsthaft?
- Verbindungsdaten: Check
- Datenbankreparatur: Check
- Daten Ok: Check
Mein zweiter Gedanke: Hosteurope (mein Hosting-Anbieter) hat temporäre Probleme im System. Eine Stunde vergeht. Gleiches Problem noch immer bestehend. Nach einem kurzen Telefonat mit dem Support spätabends dann die Gewissheit: Ich wurde gehackt! 🙁
Das erklärt die Fehlermeldungen. Es fällt mir wie Schuppen von den Augen. Mein Server stand in der Zeit unter einer derart hohen Last, dass nichts mehr wirklich funktioniert hat. Nicht nichts, aber eben fast nichts zu 90 % der Zeit. Doch mein System war doch sicher? Ich hab doch alle Vorkehrungen getroffen und es auch ewig gepredigt. Oder einfach gesagt: Die Must-Haves eines sicheren WordPress-Blogs.
Inhaltsverzeichnis
WordPress Sicherheit
Hier nochmal alle Schritte für dich, damit du deinen WordPress Blog sicher halten kannst:
WordPress und alle Plugins aktuell halten
Mit Updates werden Sicherheitslücken geschlossen und neue Features ergänzt. Du bist nicht nur sicher, sondern auch am letzten Stand der Technik. Viele Hacker greifen bewusst ältere Versionen an, da sie einfachere Ziele sind. Update-Meldungen sehen so aus:
Dauert wenige Sekunden und bringt eine Menge. Also: System und Plugins immer aktuell halten.
Als Loginnamen niemals „Administrator“, „Admin“ oder ähnliches verwenden
Hacker wollen es einfach haben. Sie versuchen also zuerst herauszufinden, ob du die Standard-Konfiguration von WordPress nutzt. Und dazu zählen auch altbekannte Variationen von Admin, wie “Administrator”, “admin”, “root”, … . Ob das bei dir der Fall ist kannst du im Admin-Bereich deiner Installation überprüfen.
Klicke hierfür auf Benutzer -> Dein Profil und sieh dir dieses Feld an:
Sollte dort bei Benutzer “Admin” oder ähnliches (wie oben aufgezählt stehen), kannst du diesen mit folgendem Plugin ändern: Admin Renamer Extended.
Sichere Passwörter verwenden
8 % der WordPress-Installation werden durch unsichere Passwörter gehackt. Wenn dein Passwort also in Richtung “12345″, “hallo12″, “passwort”, … geht, solltest du es unbedingt ändern. Hier kannst du dir kostenlos sichere Passwörter generieren lassen: Passwort-Generator.com.
Diese kannst du dir in der Regel aber nicht mehr merken. Außer, du willst es unbedingt. Wobei – es gibt doch wichtigere Dinge im Leben 😉 Ich verwende einen Password-Safe für alle diese Passwörter. Damit muss ich mir nie wieder lange, komplizierte Kombinationen merken.
Login-Versuche einschränken
Eine beliebte Methode unter Hackern ist die sogenannte “Brute-Force” Attacke. Das heißt: Es werden einfach Millionen von Nutzer-Passwort Kombinationen ausprobiert, bis die richtige dabei war. Und genau hier kannst du ansetzen: Du beschränkst diese Versuche.
Mit dem Plugin “Limit Login Attempts” hast du die Möglichkeit, eine maximale Anzahl an Versuchen festzulegen. Danach ist der Zugang für diese IP-Adresse für X Minuten gesperrt. Viele der großen Hacker-Angriffe verwenden aber eine Unzahl an IP-Adressen. Diese Methode erhöht deine Sicherheit schon drastisch, aber trotzdem noch nicht komplett.
Das alles hat mich im Endeffekt davor geschützt, erfolgreich gehackt zu werden. Doch einen wirklich bitteren Beigeschmacken hatte die ganze Sache: Die Seite war für Stunden nicht erreichbar – und das an einem wirklich starken Tag. Ich war den Angriffen ausgeliefert, obwohl sie nicht erfolgreich waren.
Mehr Sicherheit für WordPress durch Admin Schutz
Nach einer kurzen Recherche im Internet sind bin ich dann auf die finale Lösung gestoßen. Hinweis: Dieser Tipp ist fortgeschritten. Solltest du Anfänger sein, bist du mit den obigen Methoden schon sehr gut bedient. Solltest du den kommenden Kniff trotzdem noch implementieren wollen, brauchst du einen WordPress-Ninja deines Vertrauens oder einfach etwas Technik-Verliebtheit.
Der Vorteil dieser “doppelten” Passwort-Sicherung des Admin-Bereiches ist folgender: Der Hacker kommt nicht mal mehr direkt zu WordPress, um Passwörter zu probieren. Der Server fängt diese Last schon ab und belastet somit dein System nicht mehr so stark. Die Seite bleibt stabil und für den Besucher normal einsehbar.
- Schritt 1: Auf den FTP Server verbinden und die “.htaccess” Datei im WordPress Verzeichnis öffnen (oder erstellen, wenn nicht vorhanden). Dort folgende Inhalt ergänzen:
1 2 3 4 5 6 7 8 9 10 | <Files wp-login.php> AuthName "Admin-Bereich" AuthType Basic AuthUserFile /pfad/.htpasswd require valid-user </Files> <FilesMatch "(\.htaccess|\.htpasswd|wp-config\.php|liesmich\.html|readme\.html)"> order deny,allow deny from all </FilesMatch> |
Wie der richtige Pfad zur “.htpasswd” Datei lautet, ist von Hoster zu Hoster unterschiedlich. So kannst du den Pfad ermitteln: Htaccesstools.com.
- Schritt 2: Eine Datei mit dem Namen “.htpasswd” im gleichen Verzeichnis erstellen. Diese Datei mit einem Editor öffnen und Benutzer/Passwort vergeben. Benutzer/Passwort kannst du dir hier sicher und im richtigen Format für diese Datei generieren lassen: Htpasswd Generator. Wo du ein sicheres Passwort herbekommst, findest du etwas weiter oben im Artikel.
- Schritt 3: Testen. Gehe auf www.deinblog.de/wp-admin und achte darauf, ob ein ähnliches Fenster wie bei mir aufpoppt:
Gratuliere, damit gehört dein Blog wohl zu einen der sichersten Websites die dort draußen stehen 😉 100%ig kann man einen Übergriff aber wohl nie ausschließen. Solltest du dich aber an diese paar Kleinigkeiten halten, bist du schon sehr sehr gut dabei.
Das solltest du tun:
- Halte WordPress und alle Plugins aktuell
- Verwende keine standardisierten Benutzernamen für deinen Administrator-Account
- Verwende sichere Passwörter
- Schränke die Login-Versuche ein
- Fortgeschritten: Schütze deinen Administrator-Zugang zusätzlich mit der .htaccess Datei. Sollte es da zu einem Hacker-Angriff kommen, ist dein WordPress-System entlastet und du hast doppelten Schutz.
Welche Maßnahmen verwendest du noch auf deinem Blog?
Loading...
