Warum und wie sollte man WordPress sicherer machen? Drei Tipps für eine schnelle Grundsicherung von WordPress.

Warum und wie sollte man WordPress sicherer machen?

🕐 Lesezeit ca.: 2 Minuten

500 Versuche am Tag

An guten Tagen habe ich auf meiner Website über 500 fremde Anmeldeversuche, da macht dann z.B. ein sicheres Passwort den Unterschied zwischen einer funktionierenden und einer gehackten Website aus. Genauso wichtig: Eine sichere Installation, die zeitnahe Aktualisierung und ein regelmäßiges Backup schützen vor Sicherheitslücken und deren Folgen. In den folgenden drei Tipps führe ich auf, was sozusagen als Basisschutz gemacht werden sollte um WordPress sicherer zu machen…

Ändern der Login URL

Die Login-URL bei WordPress lautet standardmäßig /wp-admin. Hier versuchen potenzielle Angreifer natürlich als erstes Ihr Glück. Diese URL kann man ganz leicht ändern, indem man z.B. dieses Plugin nutzt: WPS Hide Login: https://de.wordpress.org/plugins/wps-hide-login/

Anzahl der Anmeldeversuche beschränken

Das Plugin Limit Login Attempts Reloaded begrenzt die Anzahl der möglichen Anmeldeversuche. Die Anzahl Anmeldeversuche nach der ein Besucher gesperrt werden soll, läßt sich einstellen, ebenso die Zeit, die er gesperrt bleiben soll. Das Plugin läßt sich DSGVO konform betreiben.
Download: https://de.wordpress.org/plugins/limit-login-attempts-reloaded/

Zugriffe auf die xmlrpc Schnittstelle unterbinden

Dies ist die Pingback-API und ermöglicht die Vernetzung zwischen Blogs und dient gleichzeitig als Schnittstelle, um WordPress über externe Programmen verwalten zu können. 

Potentielle Angreifer nutzen diese Schnittstelle sehr häufig, denn hier kann genau wie über die Anmeldung ein Zugriff auf das WordPress erfolgen.

Lösung 1 – .htaccess
Diesen Codeschnipsel in die Datei .htaccess kopieren

<Files xmlrpc.php>
Order allow,deny
Deny from all
</Files>

Lösung 2 – Das Plugin Disable XML-RPC
Download: https://de.wordpress.org/plugins/disable-xml-rpc/

Nicht das Ende der Fahnenstange

Diese Tipps bieten schon viel Sicherheit, sind aber lange nicht das Ende der Fahnenstange. Für eine umfassende Absicherung einer WordPress Installation werden noch einige andere Maßnahmen benötigt. Eine gute Hilfe ist hier z.B. ein Hostingpaket, welches Plesk als Verwaltungsoberfläche bietet (hier kann ein WordPress sehr gut per Mausklick gesichert werden) oder ein auf WordPress spezialisiertes Hosting (siehe dazu meinen Blogbeitrag zum Thema Hosting).

    Michael Hömke

    Seit über 20 Jahren Webdesigner, Coder, Servicepartner, Technik-Coach und Onlinestratege. Arbeitet mit WordPress, Weblication®, WooCommerce, Gambio und Shopware. Betreut Einzelunternehmer und Unternehmen aus unterschiedlichsten Branchen in Deutschland und der Schweiz. Von mir erhalten Sie flexible und konkret auf Sie abgestimmte Lösungen und Services zu fairen Preisen, mit denen Sie Ihre Besucher für sich gewinnen und aus ihnen interessierte Kunden machen.
    Mehr über mich hier »