hacker-wordpress-webseite-absichern

10 triftige Gründe, warum du eine sichere WordPress-Webseite sofort haben musst!

hacker-wordpress-webseite-absichern

Bist du dir wirklich sicher, dass dein WordPress-Webseite  nicht attackiert wird? Glaubst du tatsächlich eine sichere WordPress-Webseite zu haben?

Bestimmt fragst Du dich jetzt was soll das! Klar habe ich eine sichere Wordpress-Webseite. Ja, das denken Millionen von WordPress-Nutzern auch. 

Wer und weshalb attackiert man uns

Aber FAKT ist, dass täglich Millionen WordPress-Webseiten angegriffen werden. Da draussen im Internet tobt eine KRIEG. Nicht nur die verschiedenen Staaten der Machtböcke dieser Welt versuchen einander mit Cyberattacken zu schaden. Nein, hunderte sogenannte Bots, Kriminelle und frustierte Menschen oder Personen die sich profilieren wollen, attackieren getarnt jeden Tag deine WordPress-Webseite. 

So gab es weltweit 2015 fast 60 Millionen Cyber-Attaken und die Zahl steigt zunehmend und erschreckend schnell. Wie hier nachzulesen ist. Und das Handelsblatt schreibt in einem Artikel, das im Jahr 2016 bereits jedes 5. Mittelstandsunternehmen von Internetangriffen heimgesucht wurde. Den gesamten Artikel kannst du über diesen Link auch nachlesen. Und gerade jetzt habe ich von zahlreichen kleinen Unternehmen und selbst am eigenen Leib erlebt, das die Bedrohung im Internet immer weiter zunimmt.

Aber es gibt auch eine gute Nachricht

Die gute Nachricht für dich ist, es geht nicht um dich persönlich, wenn deine kleine Wordpress-Webseite angegriffen wird. Warum? In diesem Fall sind es einfach meist Jugendliche und Studenten, die aus Blödsinn oder um etwas zu beweisen deine Wordpress-Webseite überfallen. Wenn man sie fragen würde, würden sie es als Sport betrachten. Für sie ist es nur Profilierungssucht und Machtgehabe. Nur ein kleiner Teil zerstört deine Webseite oder versucht damit Geld zu erpressen, weil sie genau wissen bei dir ist nicht viel zu holen.

Aber was sind jetzt die Gründe um das zu verhindern und dich zu schützen. Das habe ich hier in den 10 Punkten zusammen gefasst.

1. Grund - Dein Benutzername

der wohl am häufigsten gefundenen Gründe, warum es die Meisten den Angreifern so leicht machen, ist, sie benutzen den Standard – Benutzernamen und das wissen auch diese Kids.

Also ist der erste Schritt zu überprüfen wie lautet der Benutzernamen. So versucht man einfach erst einmal den Standard – Benutzernamen, den WordPress bei einer Standard-Installation automatisch vergibt zu nutzen. Und wie lautet jetzt dieser Standard – Benutzernamen! Ganz simpel “admin“. Anschließend versucht man weiter mit “administrator“, dann den Webseitennamen und wenn es schlecht für dich läuft ist der Eindringling in deiner Webseite. 

Was ist also die erste und kostenlose Maßname, die das verhindern kann. Wir nutzen nicht dies Benutzernamen! Sonder wir denken uns jetzt einen Benutzernamen aus. Und der sollte nicht aus den Namen  von Frau, Kind, Hund und Katze bestehen. Auch die 10 am häufigsten benutzten Namen der Deutschen solltest du nicht nutzen.

Welche das sind habe ich in diesem Beitrag schon beschrieben.

Ein weiterer Punkt für mehr Sicherheit ist folgender. Lege dir einen eigenen Account als Redakteur an, welchen du zum schreiben deiner Beiträge benutzen kannst. Dein Administrator-Zugang ist wirklich nur dazu da, um Updates und sonstige wichtige und notwendige Aufgaben auszuführen, die nur der Admin durchführen darf. Was sind das für Tätigkeiten. Also, dazu zählen WordPress-Sicherheits-, Themen-, Plugin-updates oder Backups, neue Installationen und grundsätzliche Einstellungen an WordPress.

Einen weiteren Tipp habe ich heute gelesen. Wenn ihr einen neuen WordPress aufgesetzt habt, könnt ihr den Nutzer “admin” lassen weil dieser mit der Benutzer-“ID=1” leicht von Hackern herausgefunden wird. Allerdings musst du diesem Rolle “Subscriber” zuweisen, aber vergib ein sehr starkes Passwort. Wenn der Hacker jetzt wirklich in deine sichere WordPress-Webseite gelangt, wird er sich ärgern, weil er nicht machen kann. Diesen wertvollen Tipp habe ich aus einem Kommentar von Marian.

2. Grund - Dein Passwort

Das Passwort ist der 2. Grund warum es so viele nicht sichere WordPress-Webseiten gibt, die von Hackern gekapert werden. Wer erinnert sich nicht an die Meldungen im letzten Jahr, als mehrere Systeme von Krankenhäusern mit Schadsoftware infiltriert sowie verschlüsselt wurden, tagelang nicht funktionierten und zum Schluss erst durch Zahlung eines Lösegeldes wieder zu nutzen waren. Genau Zahlen werden streng geheim gehalten.

Jedoch bemerke ich täglich wie oft versucht wird meine gut gesicherten WordPress-Webseiten zu knacken.

Bis zu 20 Versuche am Tag sind keine Seltenheit. Und das sind mal locker mehr als 7300 Angriffsversuche im Jahr.

Zurück zum Thema, einfache, kurze Passwörter zählen zu den Hauptgründen über die es gelingt in deine WordPress-Backend zu gelangen. Aber wie schaffen des die Hacker jetzt an dein Passwort zu gelangen. Zuerst versuchen sie es mit den am häufigsten genutzten Passwörtern. Meistens haben sie automatische Scripte, die aus einem system eine reihe von Passwörtern automatisch in deinen Login einzutragen. Solche Listen mit den beliebtesten Passwörtern kann man leicht im Internet finden. Bestimmt lassen sich Listen mit zig-tausenden Passwörtern über das sogenannte Darknet auch käuflich erwerben.

Wenn Du dein Passwort richtig ausgewählt hast, solltest du auf der sicheren Seite sein.

Doch wie sollte ein sicheres Passwort aussehen und wie kann man es sich überhaupt merken? Denn auch eines sollte Dir klar sein. Ein Passwort sollte niemals, auf deinem Rechner in einer einfachen Textdatei gespeichert sein. Diese Hinweise stammen noch aus den Stein-Zeiten der Computeranfänge. Und ich kann mich noch gut an solche Coaches erinnern, die das so gelehrt haben in den 1980 Jahren.

Also, ein Passwort sollte heute, nicht nur meiner Meinung nach, mindestens 12 – 20 unterschiedliche Zeichen haben. Und zwar, Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen. Nur so ist gewährleistet das dein Passwortsicher wirklich ist und sich auch durch Programme nicht schnell knacken läßt. Zudem sollst, ja musst du dir für jeden deiner Zugänge ein separates Passwort zulegen. Und ich wes, dass das kaum jemand macht, stimmt’s?

Und ja es kann dich auch vor Trojanern schützen, die dich ausspähen wollen. Und nein, es gibt für staatliche Behörden Möglichkeiten und Zugänge an Deine Passwörter zu kommen. Und das ist in Deutschland zumindest noch nicht so einfach, wenn du dir nicht zu schulden kommen lässt.

Jetzt fragst Du dich mit sehr großer Sicherheit und wie soll ich mir das Passwort bzw. Die zahlreichen Passwörter merken.

Du hast ein Passwort für deine hoffentlich jetzt sichere WordPress-Webseite. Für deinen Rechner, für deine diversen EMail-Accounts, bei deinem provider, deinem Hoster, bei facebook, twitter, Linkedin, Xing, Pinterest usw. Bei diversen Videoplattformen, Video-Schulungen, Affiliate-Plattformen, Händlern, Ebay etc. Ich spar mir jetzt die weiteren Aufzählungen. Denn da kommen ganz schnell 20 50, 100, ja vielleicht 1.000 Passwörter zusammen und die kann sich niemand merken.

Aus diesem Grund kann ich dir nur ans Herz legen und dir diese Empfehlung geben. Lege Dir ein Programm zu das deine Passwörter für Dich speichert und bereit hält. Ich habe mehrere Programme ausprobiert und getestet. Für mich hat sich LastPass als das beste Programm erwiesen. Und zwar aus mehreren Gründen. Zum einen kann man es kostenlos ausprobieren und wenn man es nur a eigenen Rechner nutzen will ist es auf Dauer kostenlos. Nur wenn man es auf mehreren System nützen will kostet es Geld. Was meine ich damit. Ich nutze LastPass auf dem iMac. Auf dem iPhone, dem iPad und auf Android und meinem Laptop. So habe ich immer Zugriff auf meine Passwörter und muss mir nur 1 Passwort merken. Genial was?

LastPass kannst Du hier herunterladen.

Aber es gibt noch andere Programme, wie  RoboForm, KeyPass. Eine Übersicht findest du hier bei Computer Bild

3. Grund - Deinen Login vor Angriffen zu schützen

Falls, noch Jemand durch eine sogenannte BruteForce-Attacke versucht dein WordPress anzugreifen gibt es noch weitere Wege deine Webseite zu schützen.

Ein Weg davon ist, die IP-Adresse des möglichen Aggressors zu sperren, wenn dieser sich beispielsweise 3 mal, mit falschem Benutzernamen oder nicht korrektem Passwort, versucht anzumelden. Unter der IP-Adresse versteht man eine eindeutige Kombination von Zahlen, welche jedem Rechner, meist täglich, vom Hoster zugewiesen wird, um diesen eindeutig zu erkennen. Und diese IP-Adresse muss auch immer, von deinem Hostingunternehmen  protokolliert werden, denn nur so ist in einem möglichen Verfahren ein Rechner, einer bestimmten Person o. Unternehmen, zuzuordnen. Falls du deine eigene IP-Adresse gerne erfahren möchtest, über diesen Link ist das möglich:

Meine eignen IP-Adresse.

Wie kannst du jetzt damit eine sichere WordPress-Webseite erreichen. Nun, es gibt ja für WordPress tausende kleiner Progrämmchen, die Plugins. So werden auch für solch eine Möglichkeit spezielle Plugins bei WordPress.org angeboten. Im konkreten Fall wird durch ein Plugin der Zugang für einen solchen Fall eine gewisse Zeit gesperrt und falls das nicht ausreicht wird dieser Zeitraum weiter ausgeweitet. Du bist da der Chef über das System. Über Jahre wurde das Plugin Limited Logins Attempts als das Beste angepriesen. Auch ich hatte es lange Zeit im Einsatz. Jedoch wurde das Plugin seit Jahren nicht weiter gepflegt, so das es als unsicher gilt. Jetzt empfehle ich dir 

Cerber Security & Antispam

wp-cerber
WP-Cerber die Standard-Einstellungen

Die Einstellungen lassen sich deinen Verhältnissen anpassen und du kannst dich auch per Email informieren lassen, kannst bestimmte IPs zulassen (White-Lists) und sperren (Black-List). Zudem kannst du dir das alles in deinem WordPress im WP-Werber Dashboard als Ausschnitt einmal ansehen:

WP-Cerber Dashboard

So, wie du siehst, sind es regelmäßig einige Versuche die in mein WordPress wollen und jetzt habe ich zusätzlich die IP die seit tagen versucht mich zu attactieren auf die Schwarze Liste (Black-List) gesetzt.

Und jetzt bist auch du, falls du das umsetzt einen Schritt weiter zu einer sicheren WordPress-Webseite. Aber dieses Aussperren von IP-Adressen funktioniert leider nur bedingt. Denn die Angreifer sind ja auch nicht dumm. Wie du oben auf dem Bild siehst steht ganz rechts in grau Bot detected (Bot erkannt), also ein automatisches System und dort existieren bestimmt noch weitere Bots mit anderen IP-Adressen. So dass die Sperre der IP alleine auf Dauer nicht ausreichen wird. Dir ist sicherlich die Geschichte vom Hasen und Igel bekannt und so ist das im Internet auch.

4. Grund - Deinen WordPress-Login noch weiter absichern

Wie schon in Grund 3 geschrieben, nützen bestimmte Maßnahmen, wie das Aussperren der IP-Adresse, nur bedingt. So kann es ratsam sein WordPress weiter abzusichern. Eine Möglichkeit ist den normalen WordPress-Login zu verschleiern. Denn eines ist dir ja wohl klar, diese Burschen wissen genau wie der Link zu WordPress-Login lautet.

Und wie können wir das erreichen?

Dazu stelle ich Dir hier 2 Methoden vor.

Methode 1: den Login umzubennenen.

Dieser Weg sieht vor, den Standard-Login Zugang nicht über die normale URL zugänglich zu machen. Das ganze hat den Vorteil, da automatische Systeme wie Bots oder Scripte ja Maschinen sind die ein bestimmtes Programm abarbeiten und so gesteuert werden, den Standard Pfad jeder WordPress-Installation anzusteuern. Also rufen sie automatisch die Datei “wp-login.php” auf. Also muss das Ziel sein diese Datei umzubenennen. Dazu gibt es wieder, na klar, Plugins.

Da ist zum einen das Plugin WPS Hide Login

Zum Anderen, und das ist meine klarer Favorit: WP Security

Warum jetzt das  Plugin WP Security? Weil es einfach mehr kann & macht als nur den WordPress-Login zu schützen und zu verstecken wenn es nötig ist auch nachträglich. Allerdings, und davor muss ich warnen, bei einem vorhandenen WordPress kann es beim verstecken leicht zu Problemen kommen. Aus diesem Grund bietet das Plugin WP Security auch an den Login mit einem Captcha zu versehen. Das ist in diesem Fall eine kleine Rechenaufgabe und außerdem kann das Plugin die Versuche mit den üblichen Standard Loginnamen auch unterbinden.

 

WP-Login verstecken

Methode 2: den Zugang über die Datei htaccess

Diese zweite Möglichkeit, der Passwortgeschützte Zugang über die htaccess-datei ist ein sehr effektiver Schutz. Allerdings ist sie mit einigem Aufwand und bestimmten Fähigkeiten verbunden. Ich beschreibe hier einmal die grundsätzliche Vorgehensweise. Normalerweise besitzt jede WordPress-Installation eine versteckte Datei die .htaccess heißt und über deinen FTP-Zugang zu finden ist. Wenn Du jetzt dein WordPress Zugang schützen willst musst du diese Datei mit einem weiteren Passwort schützen. Wie das geht beschreiben einige Artikel im Internet.

Dieser Artikel beschreibt das recht gut: 5 Tipps, wie Sie Ihr WordPress sicherer machen

Und hier habe ich noch einen guten Htaccess & Htpasswd Generator

Die Schwierigkeiten, die wohl die allermeisten normalen WordPress-Nutzer haben ist zum einen die htaccess bearbeiten zu können und zum anderen den korrekten Pfad zur Datei htpasswd in die Datei htaccess einzutragen. Das erfordert doch einiges an Computerwissen und Erfahrung.

Wenn du allerdings einen der 2 Tipps anwendest, ist schon wieder ein Steinchen in deinem Puzzle zu einer sicheren WordPress-Webseite eingesetzt und dein Puzzle wird immer perfekter.

5. Grund - Deinen WordPress Datenbank-Tabellen Prefix umbenennen

Was viele User, und das ist nicht böse oder überheblich gemeint, wissen nich, das die ganzen Daten einer WordPress-Webseite auf Ihrem Webspace in einer Datenbank gespeichert werden und diese Datenbank ist natürlich über das Internet erreichbar. Das wissen die Hacker ganz genau und sie kennen auch den allgemeinen  Zugangspfad zu einer Datenbank. Jede Wordpress-Datenbank wird bei der Installation, gerade oft bei Billighostern mit dem Standard-Tabellen Prefix “wp_” versehen. Warum? Nur so ist eine einfache, automatische und schnelle WordPress-Installation zu bewerkstelligen. 

Durch die Technik der “SQL-Injection” versuchen die Angreifer aus deiner Datenbank die User und das Passwort auszulesen. Weit schlimmer aber wäre es wenn sie durch eine schlecht gesicherte Datenbank, die dort enthaltenen Daten manipulieren könnten. Aus diesem kühlen Grunde ist auch die Datenbank mit einem sicheren Benutzernamen und Passwort zu schützen. Ein weiterer Vorteil ist ein erweiterter Tabellen Prefix. 

Jeder dieser Scriptkids, kennt die Tools, die es im Darknet gibt, um so etwas auszuführen. Und diese Jungs wissen auch das die Tabelle “wp_user” die Benutzernamen und das Passwort gespeichert haben. Und die Tabelle “wp_posts” den Inhalt der Beiträge enthält.

Hier hilft dir jetzt wieder das Plugin WP Security.  In diesem Plugin wird geprüft ob dein Tabellen Prefix noch Standar ist und du kannst es entsprechen anpassen, falls das noch nicht der Fall sein sollte.

Besser jedoch ist es wenn das direkt bei der Installation bereits geschieht. Hier bei der 1-Click-Installation bei BitPalast geschieht das automatisch.

Auch dabei hilft dir wieder das Plugin Wp Security, denn damit kannst du das im Dashboard unter Database Security ändern.

sicher WordPress-Webseite Datenbank Sicherheit
So kann ein Tabelle Prefix zum Beispiel so lauten “Xg03AZTp_”
 Das WP-Plugin schlägt Dir einen Präfix von 6 Stellen vor.
 
Und ist in diesem Fall für diese Hacker wohl sehr schwer und langwierig zu ermitteln. Und das ist ja wohl das Wichtigste, da du ja eine sichere WordPress-Webseite haben willst und musst. Und wieder sind wir einen Schritt vorangekommen.

6. Grund - sichere WordPress-Webseite, welche Plugins braucht es echt.

Im Grunde ist WordPress sehr sicher und dass es überhaupt gekapert werden kann, müsse die in jedem Programm vorhanden Sicherheitslücken ausgenutzt werden. Deshalb wird WordPress auch immer wieder überprüft, allerdings bleiben immer wieder Risiken, entweder im Kern oder den Plugins bei WordPress.

Und wie schon weiter oben geschrieben sind Plugins im Grunde eine tolle Sache. Der eigentliche WordPress Kern, also das eigentlich WordPress, ist recht simpel und ohne viele Funktionen programmiert. Jedoch erst die vielen Plugins, die WordPress um die ganzen Funktionen erweitert haben, haben WordPress zu dem Erfolg verholfen, den es heute zurecht hat. So gibt es auf den offiziellen WordPress-Plugin-Seite mehr als 50.000 Plugins. Zudem werden noch zahlreiche weitere Erweiterungen, zum größten Teil kostenpflichtige, außerhalb von Wordpress.org angeboten.

de:wordPress.org:Plugins

So entdeckst du viele gute und hilfreiche Plugins, die du gerne installieren möchtest und das auch machst. Weil sie dir empfohlen werden, so wie hier, oder weil sie Funktionen bieten, welche du brauchst oder glaubst zu brauchen.

Aber das ist das perfide daran. Denn viele Plugins helfen hervorragend, können aber genauso eine Problem darstellen. Warum? Nun, da WordPress ein quelloffenes System ist, werde die Plugins ohne Überprüfung von vielen, Vielen Menschen programmiert und manche sind einfach nicht ausgereift oder schlimmer noch voller Fehler.

Zwar kannst du, falls du des Englischen / Amerikanischen mächtig bist, aus der Beschreibung den Nutzen heraus lesen. Ob das Plugin aber hält was es verspricht ist sehr schwer nachvollziehbar.

Das einzige was ein Anhaltspunkt für dich sein kann, ist die Anzahl der Installationen und die Bewertungen. Und weil auch die Installation so bequem ist, hat man sehr schnell viele Plugins installiert.

Für die Hacker wiederum ist es einfach. Weil der Quellcode der meisten kostenlosen Plugins einfach einzusehen ist, kann dieser auch bequem auf Angriffspunkte untersucht werden. Aus diesem Grunde kann man feststellen, dass Plugins die größte Schwachstelle für die Sicherheit deiner WordPress-Installation darstellen können.

So achte bei der Installation eines Plugins auf folgende 4 Punkte:

Plugin-Punkte zu ueberpruefen

Ein weiterer Punkt, auf den es zu achten gilt, ist der Punkt Support und Service. Das kannst du allerdings auch leicht überprüfen. Gehe, wenn du das Plugin über dein Backend installierst, bevor du den Button jetzt installieren bestätigst auf den Punkt weitere Details. Hier siehst du alles was du über das Plugin wissen musst. Achte besonders darauf ob viele Supportanfragen da sind und diese zeitnah beantwortet bzw. Behoben wurden. Sind dort viele unbeantwortet, sei vorsichtig.

Der letzte Punkt zu diesem Themenkomplex. Überlege sehr gut ob und welche Plugins dir wirklich brauchst. Mein wohl wichtigster Tipp zu diesem Thema ist: “Weniger ist oft mehr und sicherer“.

7. Grund - sichere WordPress-Webseite, regelmäßig updaten

WordPress ist im Wesentlichen eine sehr sichere Software. Und wenn du von vielen geknackten WordPress-Installationen hörst, liegt, das meist nicht an der WordPress-Software. Sonder daran, dass irgend Jemand nicht diese 10 Gründe für eine sichere WordPress-Webseite beachtet hat. Wie sagt man so schön:

Das Problem ist nicht im System , sondern vor dem System!

Und trotz und allem  kommt es , wie bei allen komplexen Systemen, so auch in WordPress immer wieder mal vor, dass eine Sicherheitslücke entdeckt wird oder eine Funktion nicht so perfekt funktioniert wie sie soll. Das Alles ist für die Mehrzahl der Benutzer nicht relevant.

Die vielen Programmierer hinter WordPress merzen diese Fehler und Sicherheitslücken regelmäßig aus. Aber was nützt das, wenn die einzelnen User, das nicht in ihrer WordPress-Software machen.

Darum ist es eminent wichtig  regelmäßig zu schauen ob es Updates und Verbesserungen bei WordPress gibt. da es Wordpress jedem sehr bequem macht sein WordPress aktuell zu halten, sollte man das auch tun, denn es ist innerhalb von wenigen Minuten erledigt und es tut auch nicht weh.

Weh tut es nur, wenn durch solche Nachlässigkeit ein System korrumpiert ist und du mehrere Stunden oder Tage brauchst um es wieder zum laufen zu bringen.

Auch wenn das zum größten Teil bequem und leicht geht. Gibt es allerdings auch immer mal wieder bei den Updates Probleme. Insbesondere betroffen sind Themes manchmal auch Plugins. Du kannst dich dabei an den Versions-Nummern orientieren. Diese bestehen aus 3 Ziffern. Die zur Zeit des Verfassens dieses Artikels aktuelle Version von WordPress ist 4.9.1. Wobei die letzte Ziffer nur für fehlerbereinigte Versionen steht. Und ja, es gab hin und wieder Probleme mit Updates. Mir ist es aktuell bei einer vergessenen Webseite passiert. Dort war noch WordPress 3.8.7 installiert und ich mußte das ganze von Hand auf die Version 4.9.1 updaten. Gerade bei Versionen, bei denen sich die erste Ziffer verändert sind oft größere Veränderungen am Code der Software vorgenommen worden, die meist Sicherheitslücken betrafen. 

Wenn du dir einmal einen Überblick über die verschiedenen Versionen verschaffen möchtest, dann ist diese Seite hier die richtige Wahl:”https://wordpress.org/news/category/releases/” Hier ist alles wichtig zu Fehlern und Verbesserungen nachzulesen.

8. Grund - Eine sichere WordPress-Webseite, heißt Themes und Plugins regelmäßig updaten

Weiter oben im Grund Nr. 6 habe ich dir schon die Vorzüge aber auch Nachteile von Plugins geschrieben.

So sind die Funktionen der Plugins sehr hilfreich und erweitern WordPress zu dem was uns allen gefällt, können aber auch ein Problem für die Sicherheit darstellen.

Dasselbe trifft auch auf die Themes zu, die, wie du ja weißt für das Aussehen deiner WordPress-Webseite verantwortlich sind. Und immer häufiger werden diese Themes auch von Plugins bzw. Den Funktionen in einem Plug gesteuert.

Somit ist eines klar. Themes und Plugins sind aufgrund Ihre vielen Funktionen sehr komplex und dadurch gerade sehr anfällig für Angriffe von Hackern. Und ja, die Hacker suchen sich gerade gezielt solche schwach gesicherten und schlampig programmierten Plugins und Themes für Ihre Angriffe aus.

Dadurch potenzieren sich die Fehler durch viele Plugins und Themes auf deiner WordPress-Webseite.

WordPress AktualisierungenAus diesem Grund gebietet es sich einfach schnell eventuelle Updates für Themes und Plugins auf deiner Wordpress-Webseite einzuspielen. Denn in deinem Backend zeigt dir Wordpress welche Aktualisierungen du vornehmen solltest.

9. Grund - Regelmäßige Backup bedeuten eine sichere WordPress-Webseite.

Du hast jetzt schon eine große Anzahl an Gründen kennen gelernt, warum und wie du deine WordPress-Webseite absichern solltest.

Der Grund Nr. 9 gehört eigentlich nicht direkt dazu eine sichere WordPress-Webseite zu machen. Allerdings kann ja immer wieder ein Fehler passieren. dazu gehören nicht nur Hackeangriffe auf deine WordPress-Webseite direkt. 

Es gibt so viel Gründe, die Tag für Tag passieren können. So gibt es defekte Hardware, die deinen Computer betrifft, während du an deiner Webseite arbeitest. Oder dein Webhoster ist pleite und nichts geht mehr. Ein Partner hat dir ein Bild per Mail geschickt und du hast das Bild von deinem Rechner zu Wordpress hochgeladen. Und letztendlich kann dir auch ein Benutzerfehler unterlaufen. Wir alle sind nicht frei von Fehlern.

Schlimm für dich aber wäre jetzt, wenn du das erst liest nachdem die das passiert ist. denn im Nachhinein ist es schwer einen solchen Fehler auszumerzen.

Aber vielleicht hast du ja einen tollen Hoster und der macht jeden Tag eine Sicherung. Ja, das macht eigentlich jeder Hoster. Aber die schlechte Nachricht ist jetzt. Er macht eine gesamte Sicherung all seiner Festplatten. Und dann ist das mit Kosten verbunden und meist nicht billig. Denn du gast ja keinen Zugriff auf diese BackupsDu bist also auf deinen provider und seine Mitarbeiter angewiesen. Und diese sind meist auch nicht 24 Stunden im Dienst und oft hast du auch keinen Einfluss darauf was in dein System zurück gespielt wird. 

Aber es gibt ja auch wirklich vorbildliche Provider, die dir die Möglichkeit bieten Dein System selbst zu sichern. Ich habe bereits im Laufe der Jahre einige Hoster kennenlernen dürfen und ein vorbildlicher Hoster ist BitPalast und dort kann ich im Backup-Manager regelmäßig Backups machen. Siehe hier unten:

Backup-Manager BitPalast

Wenn ich dort eingeloggt bin kann ich oben über die 5 Menüpunkte auf alle Funktionen zugreifen.

Aber es ist natürlich nur 1 teil einer Backup-Strategie. Noch besser ist es regelmäßig ein Backup deiner Webseite selbst zu erstellen. Wie und was musst du dafür tun.

Also es gibt, wie dir von weiter oben bekannt ist für WordPress einige Sicherungs-Plugins. Davon sind einige sehr gut und sichern dir deine WordPress-Webseite ganz einwandfrei. Im Laufe der letzen Jahre habe ich mehrere getestet und auch für 2 Plugins eine kostenpflichtige Version erworben. Und ja, du wirst dich jetzt vielleicht wundern.

Meine klare Empfehlung an dich lautet Updraft Plus und ja ich benutze diese Plugin jetzt seit Jahren auf den meisten meiner 50 WordPress-Webseiten ohne Probleme. Und es gibt eine kostenlose und eine kostenpflichtige Version. Zu Beginn reicht die kostenlose Updraft Plus Version voll aus. Denn sie bietet alles was du brauchst.

Und wenn du ab sofort regelmäßig Backups erstellst, bist du auch der sicheren Seite. Aber denkst du jetzt, das kann doch nicht alles so einfach sein. Ja und nein, denn es lauern doch noch einige Tücken die es zu umgehen gilt.

Die Sicherungen haben nicht auf deinem Webspace zu suchen!

Die meisten Backup-Plugins sind toll und man kann sie meist auch einfach einrichten, aber sie haben ein Manko! Sie lagern alles in deinem WordPress-Account. Du denkst jetzt sicherlich. Klasse, dann ist ja alles OK.

Aber, und jetzt kommt das Unglück. Was ist wenn eines Tages deine WordPress-Webseite angegriffen und der Zugang geknackt wurde? Dann ist alles zu spät. Denn dann hat der Angreifer vielleicht deinen Account zerstört, beschädigt oder mit Trojaner, Viren, Malware verseucht und deine Webseite verschickt Spam-Mail oder wurde von einem Pornoring unterwandert. Du denkst jetzt sicher, Mensch der spinnt, aber glaube mir das alles kann passieren. Und nun? Damit ist deine WordPress-Webseite nicht mehr zu retten. Ja, vielleicht ist deine Domain sogar so negativ bewertet, das du sie auch noch vergessen kannst und dein Provider kündigt dir den Vertrag von heute auf morgen fristlos.

Denn das muss dir klar sein, wenn die Backups auf deinem Webspace liegen kann sie der Angreifer verändern oder löschen. Und dann hast du das nachsehen. Sind deine Backups von den Hackern nur gelöscht worden ist das zwar schlimm und mit viel Aufwand, Zeit und /oder Geld verbunden. Würden diese aber verändert und du spielst ein solches Backup ahnungslos ein, kann der Schaden vielleicht noch größer sein. warum? Du weißt ja nicht sofort was deine Webseite macht. Vielleicht wird sie heimlich zur Spamschleuder, weil im Hintergrunddeine Webseite teil eines Bot-Netzwerkes wurde.

Darum hier noch einmal mein dringender Appell an dich. Ein Backup gehört auf deinen Rechner oder in die Cloud. denn ein Backup ist die gepackte Version deiner Webseite und kann deshalb auch leicht wiederhergestellt werden.  Und gute Sicherungs-Plugins bieten diesen Service an. Du kannst zumindest auf einen Cloudspeicherplatz sichern. Meist ist es der Speicherplatz in der Dropbox und diesen kannst du für 2 GB meist kostenlos bekommen. Ein gutes Beispiel liefert hier Updraft Plus:

Updraft Plus - Backups einfach in die Cloud

noch sichere WordPress-Webseite, mit verschlüsseltem Backup

Ein weiteres Mosaiksteinchen zu einem sehr sicheren System ist ein verschlüsseltes Backup. Hier ist alles sehr gut geschützt. Wenn du ein sichresPassworthast.

Dies ist aber nicht mehr mit einem kostenlosen Sicherungs-Plugin zu bekommen. Dafür brauchst du beispielsweise die kostenpflichtige Pro-Version von Updraft Plus. Diese Version bietet dir aber noch mehr. So kannst du dein Backup auf mehreren externen Plätzen sichern. Aber wie schon weiter oben geschrieben, für den Anfang reicht das kostenlose Plugin.

10. Grund - sichere WordPress-Webseite, dank sperren der Dashboard Edit Funktion

Der letzte Punkt für mich ist der, sollt es jetzt wirklich einmal ein Eindringling schaffen in deine sichere WordPress-Webseite zu kommen, dann sollte es ihm nicht gelingen in die internen Editoren zu gelangen und dort noch extra Schaden anrichten können.

Denn eines ist Fakt, ist ein Hacker einmal eingedrungen, kannst du und ich nicht erkennen welchen Schaden er angerichtet hat. Hat er sich in irgend einem Teil deiner WordPress-Webseite einen Backdoor-Trojaner hinterlegt um jederzeit und heimlich einen Zugang zu deinem Webspace zu haben und damit unbemerkt zu spamen.

Vielleicht hat der böse Junge ja schon vor Monaten heimlich und ohne das du es bemerkt hast dein System übernommen. So sind auch deine Backups mit einem Virus oder einem Backdoor-Trojaner infiziert und somit unbrauchbar für eine Reparatur deines Systems. Und eine Veränderung der Themes und Plugins etc. ist in einer WordPress-Installation sehr einfach zu machen. In der aktuellen Version von WordPress findest Du im Dashboard unter Plugin und Design den Menüpnkt Editor und dort kannst du direkt Schadsoftware in ein Plugin oder Theme einbringen

Plugins-Editor
Plugin-Editor-Warnung

das fatale ist, wenn ein Angreifer eingedrungen ist und Administratorrechte besitzt, kann er alles verändern.

Darum zeige ich Ihnen jetzt die Möglichkeit das zu schützen. Allerdings ist das nicht so einfach möglich und kann nur über den FTP-Zugang zu deinem Webspace erreicht werden. Sollte das bei Dir nicht möglich sein, musst du diesen Artikel an den Administrator deiner Webseite schicken, damit er das für dich erledigen kann.

Wie du siehst gibt es viele Dinge die jedem Angreifer das Eindringen in deine WordPress-Webseite schwerer machen.

Um jetzt noch das zu ändern musst du folgendes in deine wp-config.php einfügen:

define( ‘DISALLOW_FILE_EDIT’, true );

So das war das ganze Hexenwerk. Nun sollte auch diese Lücke geschlossen sein und der Editor sollte nicht mehr in deinem dashboard zu sehen sein.

Fazit:

In diesem Artikel habe ich dir jetzt 10 triftige Gründe und dir Tipps für eine sichere  WordPress-Webseite gegeben.

Das aber ist nur ein Schritt zu einer sicheren Webseite, denn du musst es auch umsetzten. Also ist TUN jetzt das Gebot der Stunde für dich.

Falls du Fragen, Anregungen oder Kommentare hast, dann schreibe diese gerne unten in den Kommentar und ich werde versuche diese zu beantworten.

Dir wünsche ich jetzt viel Erfolg bei der Umsetzung meiner Hinweise und Vorschläge.