Warum und wie sollte man WordPress sicherer machen?
500 Versuche am Tag
An guten Tagen habe ich auf meiner Website über 500 fremde Anmeldeversuche, da macht dann z.B. ein sicheres Passwort den Unterschied zwischen einer funktionierenden und einer gehackten Website aus. Genauso wichtig: Eine sichere Installation, die zeitnahe Aktualisierung und ein regelmäßiges Backup schützen vor Sicherheitslücken und deren Folgen. In den folgenden drei Tipps führe ich auf, was sozusagen als Basisschutz gemacht werden sollte um WordPress sicherer zu machen…
Ändern der Login URL
Die Login-URL bei WordPress lautet standardmäßig /wp-admin. Hier versuchen potenzielle Angreifer natürlich als erstes Ihr Glück. Diese URL kann man ganz leicht ändern, indem man z.B. dieses Plugin nutzt: WPS Hide Login: https://de.wordpress.org/plugins/wps-hide-login/
Anzahl der Anmeldeversuche beschränken
Das Plugin Limit Login Attempts Reloaded begrenzt die Anzahl der möglichen Anmeldeversuche. Die Anzahl Anmeldeversuche nach der ein Besucher gesperrt werden soll, läßt sich einstellen, ebenso die Zeit, die er gesperrt bleiben soll. Das Plugin läßt sich DSGVO konform betreiben.
Download: https://de.wordpress.org/plugins/limit-login-attempts-reloaded/
Zugriffe auf die xmlrpc Schnittstelle unterbinden
Dies ist die Pingback-API und ermöglicht die Vernetzung zwischen Blogs und dient gleichzeitig als Schnittstelle, um WordPress über externe Programmen verwalten zu können. Potentielle Angreifer nutzen diese Schnittstelle sehr häufig, denn hier kann genau wie über die Anmeldung ein Zugriff auf das WordPress erfolgen.
Lösung 1 – .htaccess
Diesen Codeschnipsel in die Datei .htaccess kopieren
<Files xmlrpc.php>
Order allow,deny
Deny from all
</Files>
Lösung 2 – Das Plugin Disable XML-RPC
Download: https://de.wordpress.org/plugins/disable-xml-rpc/
Nicht das Ende der Fahnenstange
Diese Tipps bieten schon viel Sicherheit, sind aber lange nicht das Ende der Fahnenstange. Für eine umfassende Absicherung einer WordPress Installation werden noch einige andere Maßnahmen benötigt. Eine gute Hilfe ist hier z.B. ein Hostingpaket, welches Plesk als Verwaltungsoberfläche bietet (hier kann ein WordPress sehr gut per Mausklick gesichert werden) oder ein auf WordPress spezialisiertes Hosting (siehe dazu meinen Blogbeitrag zum Thema Hosting).