Nichts wird so heiß diskutiert wie die Sicherheit bei WordPress-Websites. Dabei wird auch viel mit der Angst gespielt. Aber Angst ist generell ein schlechter Begleiter. Lasst uns also gemeinsam schauen, wie man eine WordPress- Website im Anmeldebereich wirklich sicherer gestalten kann.
Solltet ihr nach dem Lesen Fragen oder Anmerkungen haben, schreibt sie einfach hier unten in den Kommentaren und ich antworte euch.
Warum ist das so wichtig?
Wenn Websites gehackt werden, dann liegt es häufig an schwachen Admin-Passwörtern oder an vernachlässigten Updates. Beides ist eigentlich leicht zu vermeiden. Um ersteres kümmern wir uns heute. Bitte lest euch ebenfalls durch, wie ihr Updates korrekt durchführt.
Wieviele Admins benötigt ihr?
In WordPress gibt es verschiedene Benutzer. Der Benutzer mit den höchsten Rechten ist der Admin. Er hat zu allen Bereichen Zutritt und kann jeden Teil der Website ändern bzw löschen. Vergebt diese Benutzerrolle nur Leuten, denen ihr vertraut und auch nur so lange, wie sie es benötigen. Ist die Arbeit an der Website erledigt, dann könnt ihr die Rolle bis zum nächsten Einsatz auch herabstufen.
Noch etwas ganz wichtiges: Gebt niemals eure eigene Anmeldung an andere weiter. Legt immer einen neuen Benutzer dafür an. Euer Adminpasswort ist ein Schatz der obersten Sicherheitsstufe.
So richtet ihr einen neuen Benutzer ein
Im Backend einen neuen Benutzer hinzufügen
Im Backend befindet sich die Kategorie „Benutzer“. Dort klickt ihr auf den Unterpunkt „Neu hinzufügen“.
Daten ausfüllen
Obliatorisch sind der Benutzername und eine E-Mail-Adresse. Zu dieser wird die Einladung mit dem Passwortzugang gesendet. Seid euch also sicher, dass sie korrekt ist.
Auswahl der Benutzerrolle
Muss es wirklich ein Admin sein? Manchmal reicht auch schon ein Redakteur aus. Dieser kann Inhalte bearbeiten und erstellen, aber keine Designänderungen vornehmen.
Das starke Passwort
Nichts ist wichtiger. Absolut nichts. Bitte nutzt ein langes Passwort aus Buchstaben, Zahlen und Sonderzeichen welches in keinem Wörterbuch steht. WordPress schlägt ein starkes Passwort vor. Es wird euch also leicht gemacht, dieses auch gleich zu verwenden. Wenn ihr euch das nicht merken könnt, speichert es in einem Passwortmanager.
Das WordPress-Login verstecken
Hin und wieder sehe ich bei Kund*innen, ein Plugin welches die Login-Seite umleitet. Ich finde das eher gefährlich, da es einem eine Sicherheit verspricht, die nicht vorhanden ist. Wer herausfinden möchte, wie die Login-Seite lautet, der schafft das auch. Dieses Plugin reduziert nur etwas das Grundrauschen. Es erhöht allerding nicht die Sicherheit der Anmeldung.
Die Login-Versuche beschränken
Mit einem so genannten Brute-Force-Angriff versuchen Hacker durch Versuch und Irrtum in eure WordPress-Website einzudringen. Die häufigste Art ist das Erraten des Passwortes. Standardmäßig erlaubt WordPress seinen Nutzern, Passwörter so oft einzugeben, wie sie wollen. Hacker können dies ausnutzen, indem sie verschiedene Kombinationen ausprobieren.
Auch dafür gibt es natürlich ein Plugin: Limit Login Attempts. Es sperrt die Anmeldung nach einer gewissen Anzahl an Versuchen. Aber – und hier kommt das Problem – wenn euer Account gesperrt ist, dann könnt auch ihr euch nicht mehr anmelden. Ihr müsst die Sperrfrist abwarten oder per FTP das verantwortliche Plugin umbenennen. Dann kann es nicht mehr arbeiten und ihr eure Website betreten. Klingt umständlich? Ja! Wenn ihr wirklich starke Attacken über euch ergehen lassen müsst, seid ihr quasi permanent gesperrt.
2-Faktor-Authentifizierung
Eine wirklich sicherere Sache ist die 2-Faktor-Authentifizierung (2FA). Sobald man sich einloggt, müsst ihr dieses Login noch auf einem zuvor definierten Gerät bestätigen. Echter Sicherheitsgewinn! Es klingt ein bisschen kompliziert. Aber so schwierig ist es gar nicht.
Plugin in WordPress und App auf dem Smartphone
Ich persönlich nutze für meine WordPress-Website das Plugin WP 2FA – Two-factor authentication for WordPress. Auf meinem Iphone habe ich die App Authy installiert. Beides zusammen war ganz einfach einzurichten und arbeitet gut miteinander. Wichtig war mir, dass das Plugin Backup Codes zur Verfügung stellt, falls mein Handy mal nicht zur Hand ist. Diese habe ich mir für den Notfall separat abgespeichert.
Weitere Plugins für 2FA
Ich bin mit meiner Lösung sehr zufrieden, aber falls ihr andere Anforderungen habt, dann helfen vielleicht noch folgende Empfehlungen.
Ein starkes Passwort ist das A und O
Eigentlich habt ihr es schon gewusst. „12345“ ist kein gutes Passwort. Investiert jetzt 1 Stunde und überprüft die Benutzerrollen inklusive Passwörter mal auf Herz und Nieren. Installiert eventuell eine 2-Faktor-Authentifizierung für alle Admins. Euer zukünftiges Ich wird es euch danken.
Ich dachte bisher, das Limit Login Attempts die IP Adresse sperrt, von der die Zugriffe stammen, aber nicht den Benutzer des Accounts. Ich hab das Plugin nicht am laufen, aber es wäre ja nutzlos, würde es den Account sperren und nicht die IP für den Zugriff.
Hallo David,
ich habe das Plugin selbst schon länger nicht mehr im Einsatz gesehen, kann mich aber noch gut an die Verzweiflung von Kund*innen erinnern. Eventuell wurde das geändert oder ist eine Einstellungssache? Zumindest liest es sich so in der Repository-Beschreibung „This plugin will block an Internet address (IP) and/or username from making further attempts after a specified limit on retries has been reached“
Aber auch bei der Sperre der IP ist einem nicht viel geholfen. Die Angreifer sind ja keine realen Menschen, sondern Bots, die von verschiedenen IPs aus die Website attackieren.
Viele Grüße
Manja
Limited Atempt ist in der Grundeinstellung auf IP eingestellt kann sein, dass es früher mal anders war. Natürlich geht es auch den Nutzeraccount nach erfolglosen Versuchen sperren zu lassen, aber dann…. siehe oben ;-). Das Sperren der IP ist nicht ganz so wild da die Angriffe eh über VPN oder TOR kommen wo die IP weltweit genutzt werden. Ausser Natürlich du hast Benutzer die sich aus Mexico, Moskau und Atlanta einloggen. Interessant bei Limited Attend ist, mit welchen Useraccounts die Hacker sich einloggen wollen, bzw deren Bots, ganz informativ 🙂
Informativ auf jeden Fall 🙂
Was ich bei dem Plugin sehe:
1. Man benötigt es nicht, wenn alle Benutzer ein sicheres Passwort verwenden.
2. Trotzdem kann ein unsicheres Passwort erraten werden.
3. Es macht Panik, da man da als User erst mal sieht, wie immens das Grundrauschen ist.
Oder?
Es ist ein fantastischer Artikel. Ich danke Ihnen für das Teilen.