WordPress ist mit über 6o Prozent Marktanteil unter Content Management Systemen das Beliebteste CMS. Alleine diese Tatsache zeigt, dass WordPress gar nicht so unsicher sein kann, wie dem System oft nachgesagt wird. Denn nicht nur Einzelunternehmer, sondern auch mitteständische Unternehmen greifen inzwischen gerne zu WordPress und bauen darauf ihre Websites.

Nichtsdestotrotz hat WordPress wie jedes anderen CMS gewisse Sicherheitsschwachstellen, die von den Hackern gerne ausgenutzt werden, und die du (meistens) ganz einfach selbst beheben kannst. Welche es sind und wie du WordPress sicherer machen kannst, zeige ich dir in diesem und kommenden Artikel aus der „WordPress sicherer machen“-Serie.

Schwachstelle Login-Seite

wp-login-seite

WordPress sicherer machen - Typische WP Login-Seite

Schon bei der Installation von WordPress kannst du einige schlechte Entscheidungen hinsichtlich der Sicherheit deiner neuen Seite treffen. Damit meine ich speziell die Auswahl deines Benutzernamens und deines Passworts, die du für das Einloggen in dein WP Dashboard nutzen wirst.

WordPress Sicherheitslücke – Benutzername

Der Benutzername wird von den meisten WP Nutzern nicht unbedingt als sicherheitsrelevant gesehen. Viele wählen daher das naheliegende und einprägsame „Admin“ für den Zugang zum WP Dashboard. Irrtum! Vor allem dann, wenn dieser Benutzername in Kombination mit einem unsicheren Passwort wie in dem nächsten Abschnitt beschrieben verwendet wird.

Die Hacker wissen, dass viele WP Nutzer „Admin“ als Benutzernamen gebrauchen und geben diesen zuerst ein, um sich auf deiner Seite einzuloggen. Sie brauchen also wirklich nicht lange zu probieren, um die Zugangsdaten zu bekommen. Verstehe mich jetzt nicht falsch, natürlich sitzt nicht irgendwo ein Hacker und probiert alle möglichen Kombinationen. Das geschieht vollkommen automatisch und mit hoher Geschwindigkeit, so dass auch das sicherste Passwort irgendwann mal geknackt werden kann. Um deine WordPress sicherer zu machen bedarf es also definitiv weiterer Maßnahmen. Aber wozu es den Hackern leicht machen?

Wähle also einen Benutzernamen, denn du dir leichtmerken kannst, der aber nichts mit deinem eigentlichen Namen bzw. dem Namen deiner Website zu tun hat. Warum das? Nun ja, wie du vermutlich weißt, lautet die Domain meiner Website tatjanafilimonov.de. Aus dem Bericht meines Security Plugins weiß ich, dass man alle Variationen meines Namens als Benutzernamen ausprobiert hatte. Wäre mein Benutzername also z.B. Tatjana, würde der Hacker es wahrscheinlich schon beim zweiten Versuch wissen.

WordPress Sicherheitslücke – Passwort

Das richtige Passwort ist neben dem Benutzernamen wichtig, um deine Website sicherer zu machen. Heutzutage wird gefühlt an jeder Ecke alle fünf Minuten gesagt, man soll keine Passwörter wie „Passwort123“ oder „meinpasswort“ verwenden. Dennoch finde ich immer wieder solche zum Hack einladende Schätzchen in den Installationen meiner Kunden.

Im Klartext: Bei solchen Passwörtern kannst du direkt eine „Herzlich willkommen liebe Hacker“- Nachricht auf deiner Login-Seite platzieren. Denn solche einfache Passwörter werden von entsprechenden Programmen im Nu geknackt.

Mit einem sicheren Passwort kannst du allerdings ganz einfach verhindern, dass Fremde sich unerlaubt auf deiner Seite anmelden. Doch Wie sieht ein sicheres Passwort aus? Benutze dafür also am besten keine real existierenden Wörter. Denke dir lieber eine zufällige Buchtstaben-Zifferkombination aus, die du dir aber natürlich selbst merken kannst. Z.B. die aus Anfangsbuchstaben jedes Wortes in einem einprägsamen Satz.

Beispiel: Ich denke mir ein sicheres Passwort aus.

Du nimmst die Anfangsbuchstaben der einzelnen Wörter und deren Position im Satz und bekommst so etwas raus:

i1d2m3e4s5p6a7

Variiere zwischen Klein- und Großbuchstaben. Und verwende Sonderzeichen.  In unserem Beispiel könnte dein Passwort also so aussehen:

i1D2m)3e4S5§p6a7

So kannst du deine WordPress Seite ganz einfach ein Stückchen sicherer machen.

Login-Seite verstecken

In vielen Blogbeiträgen anderer WordPress Experten wird das „Verstecken“ der Login-Seite als Sicherheitsmaßnahme empfohlen. Dabei weist du deinem WP Login eine andere URL zu. Zum Beispiel https://deineseite.de/administrationsbereich statt https://deineseite.de/wp-login. So ist der Anmeldebereich nicht unter der Standardurl zu finden.

Ich halte von dieser Methode aber nicht so viel, den sie ist inzwischen auch unter den Hackern bekannt und bringt sicherheitstechnisch nicht allzu viel. Und ohne sichere Zugangsdaten ist diese Maßnahme sowieso überflüssig. Daher werde ich darauf nicht weiter angehen.

Fazit

Mit Bedacht gewählte Benutzernamen und Passwort sind oft schon die halbe Miete. Mache die Angriffe auf deine Website also nicht zu einfach und investiere etwas mehr Zeit in die Auswahl deine WP Zugangsdaten.