wordpress anleitung Archive - Jörg Rothhardt | Webdesign Lausitz & Online Marketing

Zugriff auf sogenannte WP Rest API beschränken

Warum es wichtig ist, den Zugriff auf die WP REST API einzuschränken

Kritischer Fehler erlaubt es nicht autorisierten Besuchern, jeden Beitrag auf Ihrer Website zu bearbeiten.

Hast Du eine WordPress-basierte Website? Herzlichen Glückwunsch! Sie bietet ein großartiges Tool für Hacker vom ersten Tag an. Es ist die WordPress REST API, die standardmäßig aktiviert ist. Die WP REST API erlaubt es, fast alle Aktionen und administrativen Aufgaben auf einer Website aus der Ferne auszuführen. Die WordPress REST API ist standardmäßig ab WordPress Version 4.7.0 aktiviert.

Aber es ist eine noch nicht ganz ausgereifte Technologie und ihr Code enthält derzeit einige Bugs. Deshalb musst Du den Zugriff auf die REST-API mit einem Sicherheitsplugin wie WP Cerber einschränken. Bitte, nehmt es ernst, Leute, denn ich habe schlechte Nachrichten für euch. Kürzlich, gleich nachdem eine neue Version von WordPress 4.7 veröffentlicht wurde, wurde ein kritischer Fehler gefunden. Dieser Fehler erlaubt es nicht autorisierten Besuchern, jeden Beitrag auf Deiner Website zu bearbeiten. Der Fehler wurde von Ryan Dewhurst gefunden und vom WordPress-Team allerdings schon in WordPress 4.7.2 behoben.

Die Vorgängerversion WordPress 4.7.1, die als Sicherheits- und Wartungsrelease angekündigt wurde und acht Fehler behebt. Leider ist der REST-API-Fehler noch nicht ganz behoben. Das lässt Millionen von Websites ungeschützt auf der ganzen Welt zurück. Es ist schwer zu glauben, aber die Aktualisierung von WordPress auf Shared Hostings kann bis zu mehreren Wochen, ja bei einem meiner Hoster gar Monate, dauern. Wie viele Websites wurden bereits gehackt und infiziert? Das weiss niemand genau, da viele Nutzer keine Ahnung haben und ihrem Hoster voll vertrauen. Dieser aber die Verantwortung den Nutzern per Vertrag aufbürdet.

Seitdem die REST-API für jede Website stillschweigend aktiviert wurde, wurden 20 (zwanzig) Fehler entdeckt und behoben. Es ist eine ganze Reihe von Fehlern für die Technologie verantwortlich, die es jedem ermöglicht, administrative Aufgaben auf einer Website im Hintergrund auszuführen.

Das WP Cerber Security Plugin ermöglicht es Dir, den Zugriff auf die REST API vollständig zu blockieren. Egal, wie viele Bugs REST API hat. Um den Schutz zu aktivieren, gehe einfach auf die Registerkarte“Härten“ auf der Plugin-Administrationsseite und aktivieren Sie die Option „Zugriff auf die WordPress REST-API blockieren“. Optional kannst Du den Zugriff auf die REST-API für Hosts aus der White IP Access List zulassen.

jrothhardt

Jörg Rothhardt ist der Betreiber dieser Webseite zu den Themen: Affiliate-Marketing, WordPress und dem Elementor Pagebuilder inkl. der Gestaltung von Landingpages. Er beschäftigt sich seit 2009 mit WordPress. Seine Liebe und Leidenschaft ist es Menschen zu helfen WordPress und seine tollen Möglichkeiten verstehen zu lernen und das ohne hunderte oder gar tausende für Kurse und Trainings ausgeben zu müssen.

Sicherheitsrisiken in 3 WordPress-Plugins

[ACHTUNG] Sicherheitsrisiken in folgenden WordPress-Plugins: Formidable Forms, Duplicator und Yoast SEO Plugins

Die Angriffe auf WordPress-Seiten in den letzten Wochen, siehe hier, haben wiederum deutlich gezeigt wie wichtig es für jeden WordPress-Nutzer ist, regelmäßig folgendes zu tun:

Regelmäßige sein WordPress zu sichern
Regelmäßige sein WordPress upzudaten
Regelmäßige seine WordPress-Plugins abzudaten
Die folgenden WordPress-Plugins zur Sicherheit zu nutzen:
Wordfence Security
Cerber
All-in -one-Security

So das war jetzt allgemein geschrieben. Mitte November hat Wordfence.com in einem Blogartikel darauf hingewiesen, dass die oben genannten WordPress-Plugins eine Sicherheitslücke aufweisen. Wobei wohl für die Allermeisten die 2 WordPress-Plugins. Duplicator und Yoast Seo infrage kommen dürften.

meine dringende Empfehlung lautet, sofort ein Update durchzuführen, unabhängig davon, ob Sie die Premium-Version von Wordfence verwenden oder nicht.

Die Details der Sicherheitslücken sind im Folgenden aufgeführt, wobei ich wie schon oben erwähnt nur auf die WordPress-Plugins Duplicator und Yoast Seo eingehe:

Duplicator 1.2.28 und älter anfällig für gespeichertes XSS
WPVulnDB berichtet auch, dass der Duplicator, der auf über 1 Million aktiven Sites läuft, eine gespeicherte Cross-Site-Scripting-Schwachstelle behoben hat, die die Versionen 1.2.28 und älter betrifft. In diesem Bericht wurden auch die Code-Änderungen berücksichtigt.

Duplicator Version 1.2.29 behebt dieses Problem, aber ihr Changelog erwähnt keine Sicherheitslücke (für Version 1.2.29 gibt es derzeit überhaupt keinen Eintrag). Wordfence verfügt über einen integrierten Schutz vor solchen Angriffen, so dass sowohl Premium- als auch Gratisbenutzer sicher sein sollten.

Yoast SEO 5.7.1 und älter anfällig für unauthentifiziertes XSS
Ryan Dewhurst’s WPVulnDB berichtet, dass Yoast SEO eine unauthentifizierte Cross-Site-Scripting-Schwachstelle behoben hat, die die Versionen 5.7.1 und älter betraf. Die Code-Änderung, die den Fix anzeigt, ist mit dem WPVulnDB-Report verknüpft. In der Version Yoast SEO 6.0 ist die Lücke behoben.

Schlussfolgerung

Ich ermutigen dich, diese Sicherheitslücken mit deinen Freunden in den Sozialen Medien zu teilen, um Website-Besitzer vor Schaden zu schützen.

jrothhardt

10 Gründe für eine sichere WordPress-Webseite

10 triftige Gründe, warum du eine sichere WordPress-Webseite sofort haben musst!

Bist du dir wirklich sicher, dass dein WordPress-Webseite nicht attackiert wird? Glaubst du tatsächlich eine sichere WordPress-Webseite zu haben?

Bestimmt fragst Du dich jetzt was soll das! Klar habe ich eine sichere WordPress-Webseite. Ja, das denken Millionen von WordPress-Nutzern auch.

Wer und weshalb attackiert man uns

Aber FAKT ist, dass täglich Millionen WordPress-Webseiten angegriffen werden. Da draussen im Internet tobt eine KRIEG. Nicht nur die verschiedenen Staaten der Machtböcke dieser Welt versuchen einander mit Cyberattacken zu schaden. Nein, hunderte sogenannte Bots, Kriminelle und frustierte Menschen oder Personen die sich profilieren wollen, attackieren getarnt jeden Tag deine WordPress-Webseite.

So gab es weltweit 2015 fast 60 Millionen Cyber-Attaken und die Zahl steigt zunehmend und erschreckend schnell. Wie hier nachzulesen ist. Und das Handelsblatt schreibt in einem Artikel, das im Jahr 2016 bereits jedes 5. Mittelstandsunternehmen von Internetangriffen heimgesucht wurde. Den gesamten Artikel kannst du über diesen Link auch nachlesen. Und gerade jetzt habe ich von zahlreichen kleinen Unternehmen und selbst am eigenen Leib erlebt, das die Bedrohung im Internet immer weiter zunimmt.

Aber es gibt auch eine gute Nachricht

Die gute Nachricht für dich ist, es geht nicht um dich persönlich, wenn deine kleine WordPress-Webseite angegriffen wird. Warum? In diesem Fall sind es einfach meist Jugendliche und Studenten, die aus Blödsinn oder um etwas zu beweisen deine WordPress-Webseite überfallen. Wenn man sie fragen würde, würden sie es als Sport betrachten. Für sie ist es nur Profilierungssucht und Machtgehabe. Nur ein kleiner Teil zerstört deine Webseite oder versucht damit Geld zu erpressen, weil sie genau wissen bei dir ist nicht viel zu holen.

Aber was sind jetzt die Gründe um das zu verhindern und dich zu schützen. Das habe ich hier in den 10 Punkten zusammen gefasst.

1. Grund - Dein Benutzername

der wohl am häufigsten gefundenen Gründe, warum es die Meisten den Angreifern so leicht machen, ist, sie benutzen den Standard – Benutzernamen und das wissen auch diese Kids.

Also ist der erste Schritt zu überprüfen wie lautet der Benutzernamen. So versucht man einfach erst einmal den Standard – Benutzernamen, den WordPress bei einer Standard-Installation automatisch vergibt zu nutzen. Und wie lautet jetzt dieser Standard – Benutzernamen! Ganz simpel „admin„. Anschließend versucht man weiter mit „administrator„, dann den Webseitennamen und wenn es schlecht für dich läuft ist der Eindringling in deiner Webseite.

Was ist also die erste und kostenlose Maßname, die das verhindern kann. Wir nutzen nicht dies Benutzernamen! Sonder wir denken uns jetzt einen Benutzernamen aus. Und der sollte nicht aus den Namen von Frau, Kind, Hund und Katze bestehen. Auch die 10 am häufigsten benutzten Namen der Deutschen solltest du nicht nutzen.

Welche das sind habe ich in diesem Beitrag schon beschrieben.

Ein weiterer Punkt für mehr Sicherheit ist folgender. Lege dir einen eigenen Account als Redakteur an, welchen du zum schreiben deiner Beiträge benutzen kannst. Dein Administrator-Zugang ist wirklich nur dazu da, um Updates und sonstige wichtige und notwendige Aufgaben auszuführen, die nur der Admin durchführen darf. Was sind das für Tätigkeiten. Also, dazu zählen WordPress-Sicherheits-, Themen-, Plugin-updates oder Backups, neue Installationen und grundsätzliche Einstellungen an WordPress.

Einen weiteren Tipp habe ich heute gelesen. Wenn ihr einen neuen WordPress aufgesetzt habt, könnt ihr den Nutzer „admin“ lassen weil dieser mit der Benutzer-„ID=1“ leicht von Hackern herausgefunden wird. Allerdings musst du diesem Rolle „Subscriber“ zuweisen, aber vergib ein sehr starkes Passwort. Wenn der Hacker jetzt wirklich in deine sichere WordPress-Webseite gelangt, wird er sich ärgern, weil er nicht machen kann. Diesen wertvollen Tipp habe ich aus einem Kommentar von Marian.

2. Grund - Dein Passwort

Das Passwort ist der 2. Grund warum es so viele nicht sichere WordPress-Webseiten gibt, die von Hackern gekapert werden. Wer erinnert sich nicht an die Meldungen im letzten Jahr, als mehrere Systeme von Krankenhäusern mit Schadsoftware infiltriert sowie verschlüsselt wurden, tagelang nicht funktionierten und zum Schluss erst durch Zahlung eines Lösegeldes wieder zu nutzen waren. Genau Zahlen werden streng geheim gehalten.

Jedoch bemerke ich täglich wie oft versucht wird meine gut gesicherten WordPress-Webseiten zu knacken.

Bis zu 20 Versuche am Tag sind keine Seltenheit. Und das sind mal locker mehr als 7300 Angriffsversuche im Jahr.

Zurück zum Thema, einfache, kurze Passwörter zählen zu den Hauptgründen über die es gelingt in deine WordPress-Backend zu gelangen. Aber wie schaffen des die Hacker jetzt an dein Passwort zu gelangen. Zuerst versuchen sie es mit den am häufigsten genutzten Passwörtern. Meistens haben sie automatische Scripte, die aus einem system eine reihe von Passwörtern automatisch in deinen Login einzutragen. Solche Listen mit den beliebtesten Passwörtern kann man leicht im Internet finden. Bestimmt lassen sich Listen mit zig-tausenden Passwörtern über das sogenannte Darknet auch käuflich erwerben.

Wenn Du dein Passwort richtig ausgewählt hast, solltest du auf der sicheren Seite sein.

Doch wie sollte ein sicheres Passwort aussehen und wie kann man es sich überhaupt merken? Denn auch eines sollte Dir klar sein. Ein Passwort sollte niemals, auf deinem Rechner in einer einfachen Textdatei gespeichert sein. Diese Hinweise stammen noch aus den Stein-Zeiten der Computeranfänge. Und ich kann mich noch gut an solche Coaches erinnern, die das so gelehrt haben in den 1980 Jahren.

Also, ein Passwort sollte heute, nicht nur meiner Meinung nach, mindestens 12 – 20 unterschiedliche Zeichen haben. Und zwar, Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen. Nur so ist gewährleistet das dein Passwortsicher wirklich ist und sich auch durch Programme nicht schnell knacken läßt. Zudem sollst, ja musst du dir für jeden deiner Zugänge ein separates Passwort zulegen. Und ich wes, dass das kaum jemand macht, stimmt’s?

Und ja es kann dich auch vor Trojanern schützen, die dich ausspähen wollen. Und nein, es gibt für staatliche Behörden Möglichkeiten und Zugänge an Deine Passwörter zu kommen. Und das ist in Deutschland zumindest noch nicht so einfach, wenn du dir nicht zu schulden kommen lässt.

Jetzt fragst Du dich mit sehr großer Sicherheit und wie soll ich mir das Passwort bzw. Die zahlreichen Passwörter merken.

Du hast ein Passwort für deine hoffentlich jetzt sichere WordPress-Webseite. Für deinen Rechner, für deine diversen EMail-Accounts, bei deinem provider, deinem Hoster, bei facebook, twitter, Linkedin, Xing, Pinterest usw. Bei diversen Videoplattformen, Video-Schulungen, Affiliate-Plattformen, Händlern, Ebay etc. Ich spar mir jetzt die weiteren Aufzählungen. Denn da kommen ganz schnell 20 50, 100, ja vielleicht 1.000 Passwörter zusammen und die kann sich niemand merken.

Aus diesem Grund kann ich dir nur ans Herz legen und dir diese Empfehlung geben. Lege Dir ein Programm zu das deine Passwörter für Dich speichert und bereit hält. Ich habe mehrere Programme ausprobiert und getestet. Für mich hat sich LastPass als das beste Programm erwiesen. Und zwar aus mehreren Gründen. Zum einen kann man es kostenlos ausprobieren und wenn man es nur a eigenen Rechner nutzen will ist es auf Dauer kostenlos. Nur wenn man es auf mehreren System nützen will kostet es Geld. Was meine ich damit. Ich nutze LastPass auf dem iMac. Auf dem iPhone, dem iPad und auf Android und meinem Laptop. So habe ich immer Zugriff auf meine Passwörter und muss mir nur 1 Passwort merken. Genial was?

LastPass kannst Du hier herunterladen.

Aber es gibt noch andere Programme, wie RoboForm, KeyPass. Eine Übersicht findest du hier bei Computer Bild.

3. Grund - Deinen Login vor Angriffen zu schützen

Falls, noch Jemand durch eine sogenannte BruteForce-Attacke versucht dein WordPress anzugreifen gibt es noch weitere Wege deine Webseite zu schützen.

Ein Weg davon ist, die IP-Adresse des möglichen Aggressors zu sperren, wenn dieser sich beispielsweise 3 mal, mit falschem Benutzernamen oder nicht korrektem Passwort, versucht anzumelden. Unter der IP-Adresse versteht man eine eindeutige Kombination von Zahlen, welche jedem Rechner, meist täglich, vom Hoster zugewiesen wird, um diesen eindeutig zu erkennen. Und diese IP-Adresse muss auch immer, von deinem Hostingunternehmen protokolliert werden, denn nur so ist in einem möglichen Verfahren ein Rechner, einer bestimmten Person o. Unternehmen, zuzuordnen. Falls du deine eigene IP-Adresse gerne erfahren möchtest, über diesen Link ist das möglich:

Meine eignen IP-Adresse.

Wie kannst du jetzt damit eine sichere WordPress-Webseite erreichen. Nun, es gibt ja für WordPress tausende kleiner Progrämmchen, die Plugins. So werden auch für solch eine Möglichkeit spezielle Plugins bei WordPress.org angeboten. Im konkreten Fall wird durch ein Plugin der Zugang für einen solchen Fall eine gewisse Zeit gesperrt und falls das nicht ausreicht wird dieser Zeitraum weiter ausgeweitet. Du bist da der Chef über das System. Über Jahre wurde das Plugin Limited Logins Attempts als das Beste angepriesen. Auch ich hatte es lange Zeit im Einsatz. Jedoch wurde das Plugin seit Jahren nicht weiter gepflegt, so das es als unsicher gilt. Jetzt empfehle ich dir

Cerber Security & Antispam

Die Einstellungen lassen sich deinen Verhältnissen anpassen und du kannst dich auch per Email informieren lassen, kannst bestimmte IPs zulassen (White-Lists) und sperren (Black-List). Zudem kannst du dir das alles in deinem WordPress im WP-Werber Dashboard als Ausschnitt einmal ansehen:

So, wie du siehst, sind es regelmäßig einige Versuche die in mein WordPress wollen und jetzt habe ich zusätzlich die IP die seit tagen versucht mich zu attactieren auf die Schwarze Liste (Black-List) gesetzt.

Und jetzt bist auch du, falls du das umsetzt einen Schritt weiter zu einer sicheren WordPress-Webseite. Aber dieses Aussperren von IP-Adressen funktioniert leider nur bedingt. Denn die Angreifer sind ja auch nicht dumm. Wie du oben auf dem Bild siehst steht ganz rechts in grau Bot detected (Bot erkannt), also ein automatisches System und dort existieren bestimmt noch weitere Bots mit anderen IP-Adressen. So dass die Sperre der IP alleine auf Dauer nicht ausreichen wird. Dir ist sicherlich die Geschichte vom Hasen und Igel bekannt und so ist das im Internet auch.

4. Grund - Deinen WordPress-Login noch weiter absichern

Wie schon in Grund 3 geschrieben, nützen bestimmte Maßnahmen, wie das Aussperren der IP-Adresse, nur bedingt. So kann es ratsam sein WordPress weiter abzusichern. Eine Möglichkeit ist den normalen WordPress-Login zu verschleiern. Denn eines ist dir ja wohl klar, diese Burschen wissen genau wie der Link zu WordPress-Login lautet.

Und wie können wir das erreichen?

Dazu stelle ich Dir hier 2 Methoden vor.

Methode 1: den Login umzubennenen.

Dieser Weg sieht vor, den Standard-Login Zugang nicht über die normale URL zugänglich zu machen. Das ganze hat den Vorteil, da automatische Systeme wie Bots oder Scripte ja Maschinen sind die ein bestimmtes Programm abarbeiten und so gesteuert werden, den Standard Pfad jeder WordPress-Installation anzusteuern. Also rufen sie automatisch die Datei „wp-login.php“ auf. Also muss das Ziel sein diese Datei umzubenennen. Dazu gibt es wieder, na klar, Plugins.

Da ist zum einen das Plugin WPS Hide Login

Zum Anderen, und das ist meine klarer Favorit: WP Security

Warum jetzt das Plugin WP Security? Weil es einfach mehr kann & macht als nur den WordPress-Login zu schützen und zu verstecken wenn es nötig ist auch nachträglich. Allerdings, und davor muss ich warnen, bei einem vorhandenen WordPress kann es beim verstecken leicht zu Problemen kommen. Aus diesem Grund bietet das Plugin WP Security auch an den Login mit einem Captcha zu versehen. Das ist in diesem Fall eine kleine Rechenaufgabe und außerdem kann das Plugin die Versuche mit den üblichen Standard Loginnamen auch unterbinden.

Methode 2: den Zugang über die Datei htaccess

Diese zweite Möglichkeit, der Passwortgeschützte Zugang über die htaccess-datei ist ein sehr effektiver Schutz. Allerdings ist sie mit einigem Aufwand und bestimmten Fähigkeiten verbunden. Ich beschreibe hier einmal die grundsätzliche Vorgehensweise. Normalerweise besitzt jede WordPress-Installation eine versteckte Datei die .htaccess heißt und über deinen FTP-Zugang zu finden ist. Wenn Du jetzt dein WordPress Zugang schützen willst musst du diese Datei mit einem weiteren Passwort schützen. Wie das geht beschreiben einige Artikel im Internet.

Dieser Artikel beschreibt das recht gut: 5 Tipps, wie Sie Ihr WordPress sicherer machen

Und hier habe ich noch einen guten Htaccess & Htpasswd Generator

Die Schwierigkeiten, die wohl die allermeisten normalen WordPress-Nutzer haben ist zum einen die htaccess bearbeiten zu können und zum anderen den korrekten Pfad zur Datei htpasswd in die Datei htaccess einzutragen. Das erfordert doch einiges an Computerwissen und Erfahrung.

Wenn du allerdings einen der 2 Tipps anwendest, ist schon wieder ein Steinchen in deinem Puzzle zu einer sicheren WordPress-Webseite eingesetzt und dein Puzzle wird immer perfekter.

5. Grund - Deinen WordPress Datenbank-Tabellen Prefix umbenennen

Was viele User, und das ist nicht böse oder überheblich gemeint, wissen nich, das die ganzen Daten einer WordPress-Webseite auf Ihrem Webspace in einer Datenbank gespeichert werden und diese Datenbank ist natürlich über das Internet erreichbar. Das wissen die Hacker ganz genau und sie kennen auch den allgemeinen Zugangspfad zu einer Datenbank. Jede WordPress-Datenbank wird bei der Installation, gerade oft bei Billighostern mit dem Standard-Tabellen Prefix „wp_“ versehen. Warum? Nur so ist eine einfache, automatische und schnelle WordPress-Installation zu bewerkstelligen.

Durch die Technik der „SQL-Injection“ versuchen die Angreifer aus deiner Datenbank die User und das Passwort auszulesen. Weit schlimmer aber wäre es wenn sie durch eine schlecht gesicherte Datenbank, die dort enthaltenen Daten manipulieren könnten. Aus diesem kühlen Grunde ist auch die Datenbank mit einem sicheren Benutzernamen und Passwort zu schützen. Ein weiterer Vorteil ist ein erweiterter Tabellen Prefix.

Jeder dieser Scriptkids, kennt die Tools, die es im Darknet gibt, um so etwas auszuführen. Und diese Jungs wissen auch das die Tabelle „wp_user“ die Benutzernamen und das Passwort gespeichert haben. Und die Tabelle „wp_posts“ den Inhalt der Beiträge enthält.

Hier hilft dir jetzt wieder das Plugin WP Security. In diesem Plugin wird geprüft ob dein Tabellen Prefix noch Standar ist und du kannst es entsprechen anpassen, falls das noch nicht der Fall sein sollte.

Besser jedoch ist es wenn das direkt bei der Installation bereits geschieht. Hier bei der 1-Click-Installation bei BitPalast geschieht das automatisch.

Auch dabei hilft dir wieder das Plugin Wp Security, denn damit kannst du das im Dashboard unter Database Security ändern.

So kann ein Tabelle Prefix zum Beispiel so lauten „Xg03AZTp_“

Das WP-Plugin schlägt Dir einen Präfix von 6 Stellen vor.

Und ist in diesem Fall für diese Hacker wohl sehr schwer und langwierig zu ermitteln. Und das ist ja wohl das Wichtigste, da du ja eine sichere WordPress-Webseite haben willst und musst. Und wieder sind wir einen Schritt vorangekommen.

6. Grund - sichere WordPress-Webseite, welche Plugins braucht es echt.

Im Grunde ist WordPress sehr sicher und dass es überhaupt gekapert werden kann, müsse die in jedem Programm vorhanden Sicherheitslücken ausgenutzt werden. Deshalb wird WordPress auch immer wieder überprüft, allerdings bleiben immer wieder Risiken, entweder im Kern oder den Plugins bei WordPress.

Und wie schon weiter oben geschrieben sind Plugins im Grunde eine tolle Sache. Der eigentliche WordPress Kern, also das eigentlich WordPress, ist recht simpel und ohne viele Funktionen programmiert. Jedoch erst die vielen Plugins, die WordPress um die ganzen Funktionen erweitert haben, haben WordPress zu dem Erfolg verholfen, den es heute zurecht hat. So gibt es auf den offiziellen WordPress-Plugin-Seite mehr als 50.000 Plugins. Zudem werden noch zahlreiche weitere Erweiterungen, zum größten Teil kostenpflichtige, außerhalb von WordPress.org angeboten.

So entdeckst du viele gute und hilfreiche Plugins, die du gerne installieren möchtest und das auch machst. Weil sie dir empfohlen werden, so wie hier, oder weil sie Funktionen bieten, welche du brauchst oder glaubst zu brauchen.

Aber das ist das perfide daran. Denn viele Plugins helfen hervorragend, können aber genauso eine Problem darstellen. Warum? Nun, da WordPress ein quelloffenes System ist, werde die Plugins ohne Überprüfung von vielen, Vielen Menschen programmiert und manche sind einfach nicht ausgereift oder schlimmer noch voller Fehler.

Zwar kannst du, falls du des Englischen / Amerikanischen mächtig bist, aus der Beschreibung den Nutzen heraus lesen. Ob das Plugin aber hält was es verspricht ist sehr schwer nachvollziehbar.

Das einzige was ein Anhaltspunkt für dich sein kann, ist die Anzahl der Installationen und die Bewertungen. Und weil auch die Installation so bequem ist, hat man sehr schnell viele Plugins installiert.

Für die Hacker wiederum ist es einfach. Weil der Quellcode der meisten kostenlosen Plugins einfach einzusehen ist, kann dieser auch bequem auf Angriffspunkte untersucht werden. Aus diesem Grunde kann man feststellen, dass Plugins die größte Schwachstelle für die Sicherheit deiner WordPress-Installation darstellen können.

So achte bei der Installation eines Plugins auf folgende 4 Punkte:

Ein weiterer Punkt, auf den es zu achten gilt, ist der Punkt Support und Service. Das kannst du allerdings auch leicht überprüfen. Gehe, wenn du das Plugin über dein Backend installierst, bevor du den Button jetzt installieren bestätigst auf den Punkt weitere Details. Hier siehst du alles was du über das Plugin wissen musst. Achte besonders darauf ob viele Supportanfragen da sind und diese zeitnah beantwortet bzw. Behoben wurden. Sind dort viele unbeantwortet, sei vorsichtig.

Der letzte Punkt zu diesem Themenkomplex. Überlege sehr gut ob und welche Plugins dir wirklich brauchst. Mein wohl wichtigster Tipp zu diesem Thema ist: „Weniger ist oft mehr und sicherer„.

7. Grund - sichere WordPress-Webseite, regelmäßig updaten

WordPress ist im Wesentlichen eine sehr sichere Software. Und wenn du von vielen geknackten WordPress-Installationen hörst, liegt, das meist nicht an der WordPress-Software. Sonder daran, dass irgend Jemand nicht diese 10 Gründe für eine sichere WordPress-Webseite beachtet hat. Wie sagt man so schön:

Das Problem ist nicht im System , sondern vor dem System!

Und trotz und allem kommt es , wie bei allen komplexen Systemen, so auch in WordPress immer wieder mal vor, dass eine Sicherheitslücke entdeckt wird oder eine Funktion nicht so perfekt funktioniert wie sie soll. Das Alles ist für die Mehrzahl der Benutzer nicht relevant.

Die vielen Programmierer hinter WordPress merzen diese Fehler und Sicherheitslücken regelmäßig aus. Aber was nützt das, wenn die einzelnen User, das nicht in ihrer WordPress-Software machen.

Darum ist es eminent wichtig regelmäßig zu schauen ob es Updates und Verbesserungen bei WordPress gibt. da es WordPress jedem sehr bequem macht sein WordPress aktuell zu halten, sollte man das auch tun, denn es ist innerhalb von wenigen Minuten erledigt und es tut auch nicht weh.

Weh tut es nur, wenn durch solche Nachlässigkeit ein System korrumpiert ist und du mehrere Stunden oder Tage brauchst um es wieder zum laufen zu bringen.

Auch wenn das zum größten Teil bequem und leicht geht. Gibt es allerdings auch immer mal wieder bei den Updates Probleme. Insbesondere betroffen sind Themes manchmal auch Plugins. Du kannst dich dabei an den Versions-Nummern orientieren. Diese bestehen aus 3 Ziffern. Die zur Zeit des Verfassens dieses Artikels aktuelle Version von WordPress ist 4.9.1. Wobei die letzte Ziffer nur für fehlerbereinigte Versionen steht. Und ja, es gab hin und wieder Probleme mit Updates. Mir ist es aktuell bei einer vergessenen Webseite passiert. Dort war noch WordPress 3.8.7 installiert und ich mußte das ganze von Hand auf die Version 4.9.1 updaten. Gerade bei Versionen, bei denen sich die erste Ziffer verändert sind oft größere Veränderungen am Code der Software vorgenommen worden, die meist Sicherheitslücken betrafen.

Wenn du dir einmal einen Überblick über die verschiedenen Versionen verschaffen möchtest, dann ist diese Seite hier die richtige Wahl:“https://wordpress.org/news/category/releases/“ Hier ist alles wichtig zu Fehlern und Verbesserungen nachzulesen.

8. Grund - Eine sichere WordPress-Webseite, heißt Themes und Plugins regelmäßig updaten

Weiter oben im Grund Nr. 6 habe ich dir schon die Vorzüge aber auch Nachteile von Plugins geschrieben.

So sind die Funktionen der Plugins sehr hilfreich und erweitern WordPress zu dem was uns allen gefällt, können aber auch ein Problem für die Sicherheit darstellen.

Dasselbe trifft auch auf die Themes zu, die, wie du ja weißt für das Aussehen deiner WordPress-Webseite verantwortlich sind. Und immer häufiger werden diese Themes auch von Plugins bzw. Den Funktionen in einem Plug gesteuert.

Somit ist eines klar. Themes und Plugins sind aufgrund Ihre vielen Funktionen sehr komplex und dadurch gerade sehr anfällig für Angriffe von Hackern. Und ja, die Hacker suchen sich gerade gezielt solche schwach gesicherten und schlampig programmierten Plugins und Themes für Ihre Angriffe aus.

Dadurch potenzieren sich die Fehler durch viele Plugins und Themes auf deiner WordPress-Webseite.

Aus diesem Grund gebietet es sich einfach schnell eventuelle Updates für Themes und Plugins auf deiner WordPress-Webseite einzuspielen. Denn in deinem Backend zeigt dir WordPress welche Aktualisierungen du vornehmen solltest.

9. Grund - Regelmäßige Backup bedeuten eine sichere WordPress-Webseite.

Du hast jetzt schon eine große Anzahl an Gründen kennen gelernt, warum und wie du deine WordPress-Webseite absichern solltest.

Der Grund Nr. 9 gehört eigentlich nicht direkt dazu eine sichere WordPress-Webseite zu machen. Allerdings kann ja immer wieder ein Fehler passieren. dazu gehören nicht nur Hackeangriffe auf deine WordPress-Webseite direkt.

Es gibt so viel Gründe, die Tag für Tag passieren können. So gibt es defekte Hardware, die deinen Computer betrifft, während du an deiner Webseite arbeitest. Oder dein Webhoster ist pleite und nichts geht mehr. Ein Partner hat dir ein Bild per Mail geschickt und du hast das Bild von deinem Rechner zu WordPress hochgeladen. Und letztendlich kann dir auch ein Benutzerfehler unterlaufen. Wir alle sind nicht frei von Fehlern.

Schlimm für dich aber wäre jetzt, wenn du das erst liest nachdem die das passiert ist. denn im Nachhinein ist es schwer einen solchen Fehler auszumerzen.

Aber vielleicht hast du ja einen tollen Hoster und der macht jeden Tag eine Sicherung. Ja, das macht eigentlich jeder Hoster. Aber die schlechte Nachricht ist jetzt. Er macht eine gesamte Sicherung all seiner Festplatten. Und dann ist das mit Kosten verbunden und meist nicht billig. Denn du gast ja keinen Zugriff auf diese BackupsDu bist also auf deinen provider und seine Mitarbeiter angewiesen. Und diese sind meist auch nicht 24 Stunden im Dienst und oft hast du auch keinen Einfluss darauf was in dein System zurück gespielt wird.

Aber es gibt ja auch wirklich vorbildliche Provider, die dir die Möglichkeit bieten Dein System selbst zu sichern. Ich habe bereits im Laufe der Jahre einige Hoster kennenlernen dürfen und ein vorbildlicher Hoster ist BitPalast und dort kann ich im Backup-Manager regelmäßig Backups machen. Siehe hier unten:

Wenn ich dort eingeloggt bin kann ich oben über die 5 Menüpunkte auf alle Funktionen zugreifen.

Aber es ist natürlich nur 1 teil einer Backup-Strategie. Noch besser ist es regelmäßig ein Backup deiner Webseite selbst zu erstellen. Wie und was musst du dafür tun.

Also es gibt, wie dir von weiter oben bekannt ist für WordPress einige Sicherungs-Plugins. Davon sind einige sehr gut und sichern dir deine WordPress-Webseite ganz einwandfrei. Im Laufe der letzen Jahre habe ich mehrere getestet und auch für 2 Plugins eine kostenpflichtige Version erworben. Und ja, du wirst dich jetzt vielleicht wundern.

Meine klare Empfehlung an dich lautet Updraft Plus und ja ich benutze diese Plugin jetzt seit Jahren auf den meisten meiner 50 WordPress-Webseiten ohne Probleme. Und es gibt eine kostenlose und eine kostenpflichtige Version. Zu Beginn reicht die kostenlose Updraft Plus Version voll aus. Denn sie bietet alles was du brauchst.

Und wenn du ab sofort regelmäßig Backups erstellst, bist du auch der sicheren Seite. Aber denkst du jetzt, das kann doch nicht alles so einfach sein. Ja und nein, denn es lauern doch noch einige Tücken die es zu umgehen gilt.

Die Sicherungen haben nicht auf deinem Webspace zu suchen!

Die meisten Backup-Plugins sind toll und man kann sie meist auch einfach einrichten, aber sie haben ein Manko! Sie lagern alles in deinem WordPress-Account. Du denkst jetzt sicherlich. Klasse, dann ist ja alles OK.

Aber, und jetzt kommt das Unglück. Was ist wenn eines Tages deine WordPress-Webseite angegriffen und der Zugang geknackt wurde? Dann ist alles zu spät. Denn dann hat der Angreifer vielleicht deinen Account zerstört, beschädigt oder mit Trojaner, Viren, Malware verseucht und deine Webseite verschickt Spam-Mail oder wurde von einem Pornoring unterwandert. Du denkst jetzt sicher, Mensch der spinnt, aber glaube mir das alles kann passieren. Und nun? Damit ist deine WordPress-Webseite nicht mehr zu retten. Ja, vielleicht ist deine Domain sogar so negativ bewertet, das du sie auch noch vergessen kannst und dein Provider kündigt dir den Vertrag von heute auf morgen fristlos.

Denn das muss dir klar sein, wenn die Backups auf deinem Webspace liegen kann sie der Angreifer verändern oder löschen. Und dann hast du das nachsehen. Sind deine Backups von den Hackern nur gelöscht worden ist das zwar schlimm und mit viel Aufwand, Zeit und /oder Geld verbunden. Würden diese aber verändert und du spielst ein solches Backup ahnungslos ein, kann der Schaden vielleicht noch größer sein. warum? Du weißt ja nicht sofort was deine Webseite macht. Vielleicht wird sie heimlich zur Spamschleuder, weil im Hintergrunddeine Webseite teil eines Bot-Netzwerkes wurde.

Darum hier noch einmal mein dringender Appell an dich. Ein Backup gehört auf deinen Rechner oder in die Cloud. denn ein Backup ist die gepackte Version deiner Webseite und kann deshalb auch leicht wiederhergestellt werden. Und gute Sicherungs-Plugins bieten diesen Service an. Du kannst zumindest auf einen Cloudspeicherplatz sichern. Meist ist es der Speicherplatz in der Dropbox und diesen kannst du für 2 GB meist kostenlos bekommen. Ein gutes Beispiel liefert hier Updraft Plus:

noch sichere WordPress-Webseite, mit verschlüsseltem Backup

Ein weiteres Mosaiksteinchen zu einem sehr sicheren System ist ein verschlüsseltes Backup. Hier ist alles sehr gut geschützt. Wenn du ein sichresPassworthast.

Dies ist aber nicht mehr mit einem kostenlosen Sicherungs-Plugin zu bekommen. Dafür brauchst du beispielsweise die kostenpflichtige Pro-Version von Updraft Plus. Diese Version bietet dir aber noch mehr. So kannst du dein Backup auf mehreren externen Plätzen sichern. Aber wie schon weiter oben geschrieben, für den Anfang reicht das kostenlose Plugin.

10. Grund - sichere WordPress-Webseite, dank sperren der Dashboard Edit Funktion

Der letzte Punkt für mich ist der, sollt es jetzt wirklich einmal ein Eindringling schaffen in deine sichere WordPress-Webseite zu kommen, dann sollte es ihm nicht gelingen in die internen Editoren zu gelangen und dort noch extra Schaden anrichten können.

Denn eines ist Fakt, ist ein Hacker einmal eingedrungen, kannst du und ich nicht erkennen welchen Schaden er angerichtet hat. Hat er sich in irgend einem Teil deiner WordPress-Webseite einen Backdoor-Trojaner hinterlegt um jederzeit und heimlich einen Zugang zu deinem Webspace zu haben und damit unbemerkt zu spamen.

Vielleicht hat der böse Junge ja schon vor Monaten heimlich und ohne das du es bemerkt hast dein System übernommen. So sind auch deine Backups mit einem Virus oder einem Backdoor-Trojaner infiziert und somit unbrauchbar für eine Reparatur deines Systems. Und eine Veränderung der Themes und Plugins etc. ist in einer WordPress-Installation sehr einfach zu machen. In der aktuellen Version von WordPress findest Du im Dashboard unter Plugin und Design den Menüpnkt Editor und dort kannst du direkt Schadsoftware in ein Plugin oder Theme einbringen

das fatale ist, wenn ein Angreifer eingedrungen ist und Administratorrechte besitzt, kann er alles verändern.

Darum zeige ich Ihnen jetzt die Möglichkeit das zu schützen. Allerdings ist das nicht so einfach möglich und kann nur über den FTP-Zugang zu deinem Webspace erreicht werden. Sollte das bei Dir nicht möglich sein, musst du diesen Artikel an den Administrator deiner Webseite schicken, damit er das für dich erledigen kann.

Wie du siehst gibt es viele Dinge die jedem Angreifer das Eindringen in deine WordPress-Webseite schwerer machen.

Um jetzt noch das zu ändern musst du folgendes in deine wp-config.php einfügen:

define( ‚DISALLOW_FILE_EDIT‘, true );

So das war das ganze Hexenwerk. Nun sollte auch diese Lücke geschlossen sein und der Editor sollte nicht mehr in deinem dashboard zu sehen sein.

Fazit:

In diesem Artikel habe ich dir jetzt 10 triftige Gründe und dir Tipps für eine sichere WordPress-Webseite gegeben.

Das aber ist nur ein Schritt zu einer sicheren Webseite, denn du musst es auch umsetzten. Also ist TUN jetzt das Gebot der Stunde für dich.

Falls du Fragen, Anregungen oder Kommentare hast, dann schreibe diese gerne unten in den Kommentar und ich werde versuche diese zu beantworten.

Dir wünsche ich jetzt viel Erfolg bei der Umsetzung meiner Hinweise und Vorschläge.

WordPress-Sicherheit interessiert mich nicht

WordPress-Sicherheit, interessiert kein Schwein, oder?

WordPress-Sicherheit interessiert offensichtlich kein Schwein, oder?

In den letzten tagen habe ich, aus wichtigem Anlass, mehrere Artikel zum Thema „WordPress-Sicherheit“ veröffentlicht. Und damit scheine ich nicht den Nerv meiner bisherigen Leser getroffen zu haben! Woran liegt das?

Ist das Thema nicht interessant?
Ist WordPress-Sicherheit unwichtig?
Oder, ist es weil du nicht davon betroffen zu sein scheinst?
Vielleicht gibt es ganz andere wichtige Themen für dich!

OK, das kann ich alles gut verstehen. Du bist im Internet unterwegs um Geld zu verdienen, stimmt’s? Warum solltest Du dich trotzdem oder gerade deshalb mit diesem Thema beschäftigen!

Bestimmt denkst Du, mir ist ja bisher noch nichts passiert und alles ist sicher mit WordPress. Denn WordPress ist eines der erfolgreichsten Systeme im Internet und mein Hoster wird schon dafür sorgen, das alles sicher ist.

Leute, glaubt ihr alle noch an den Weihnachtsmann? Es gibt nichts was 100 % sicher ist auf dieser Welt und das sollte wohl JEDEM schon klar geworden sein. Oder glaubst du, dass dein Hoster, dem du monatlich lächerliche 3-5 € für das Hosting und die Domain bezahlt, da ein Auge darauf haben kann, ob dein WordPress oder deine Domain zum SPAMEN auf der ganzen Welt benutzt wird.

DU allein bist für die Sicherheit deines WordPress-Accounts zuständig und ja ich weis, das ist Arbeit! Woher weis ich das, weil ich ca. 50 WordPress-Seiten betreue und fast täglich Plugins und WordPress updaten muss.

Mit großer Sicherheit, denkst du jetzt bestimmt, ich hab ja nur 1 o. 2 Blogs und die sind so neu die kennt ja keiner.

Bist Du dir da wirklich sicher? Hast Du das geprüft?

Schaue mal hier, da habe ich beschrieben, wie es mir geht und was dir dabei hilft. Und unterhalb habe ich dir eine Bild gemacht, das zeigt mit welchen Benutzernamen sich Häcker versuchen Zutritt zu verschaffen. Auf dem Screenshot den ich gerade gemacht habe, sieht Du, dass 82 versuche unternommen wurden mit 5 verschiedenen Benutzernamen.

Desweiteren wurden in den letzten 3 Tagen 28 Versuche unternommen, die Dank eines sehr starken Passwortes und eines guten Benutzernamens nicht überwunden werden. Mein Schutz ist sehr gut aber nicht 100%. Obwohl das Plugin WP-Cerber mir sagt mein Passwort könnte erst in 2 Millonen Jahren geknackt werden (nach dem jetzigen Kenntnisstand).

Aber der heutige Wissensstand, ist der Irrtum von morgen!

Darüber sollte sich jeder im klaren sein.

Du siehst hier ganz deutlich, meine Aussage bestätigt was die Haupt-Angriffspunkte der Häcker sind: „Nämlich hauptsächlich 5 Worte, die da lauten“:

Admin
Domainname
Administrator
Spitzname des Benutzers
Benutzername

Darum mein Apell an dich, beschäftige dich einmal mit diesem Thema und richte dir zumindest das Plugin WP-Cerber auf deinem WordPress ein. Das kannst du dir über den Link oben im Text herunterladen oder du gibst in deinem WordPress unter Plugins >> installieren den Suchbegriff cerber ein und installierst es dort. Falls Du Fragen hast, gib diese unten im Kommentar ein und ich beantworte diese zeitnah.

Jetzt wünsche ich dir noch eine ruhige Adventszeit, frohe und gesegnete Weihnachten und ein erfolgreiches Jahr 2018.

Herzliche Grüße aus Calau

Jörg Rothhardt

Das neue Elementor Beitrags Widget

Was ist jetzt ganz neu in Elementor PRO?

Neu ist seit heute „Das neue Beitrags Widget“ ist seit heute in der neuen Version 10.2 von Elementor Pro integriert. Was bietet nun das Beitrags Widget für zusätzliche Funktionen?

Zu nennen sind 5 zusätzliche Elemente o. Widgets, die unter dem Punkt „Themen Elements“ in dem Seiten-Widget zusammen gefasst sind und in Zukunft Teil des mit Ungeduld erwarteten Elementor Theme Builder sein werden.

Dadurch wirst du bald imstande sein zusätzlich Seiten und Elementen auch Header, Footer, Blogbeiträge und weiteres mit Elementor zu realisieren. Das aber nur am Rande erwähnt.

Jetzt stelle ich dir die ersten, der neuen Widgets hier vor. Und 2 davon habe ich schon auf dieser Seite in dem Beitrag unterhalb eingebaut. Da ist zum einen die AutorenBox, welche du hier siehst und zum anderen gibt es darunter noch die Beitragsnavigation. Dort kann sich der Leser bequem durch die Beiträge klicken.

Als weiter Punkte, die man im Moment hinzufügen kann, sind die Widgets: „WordPress Kommentare“, die“Yoast Breadcrumps“ und das „Suchen Widget“ zu nennen.

Unter den Breadcrumps (Brotkrümeln) versteht man eine Navigationsleiste, welche dir bzw. Dem Leser anzeigt, wo er sich gerade befindet. Oberhalb der Überschrift in diesem Beitrag habe ich das Widget eingebaut.

Ich hoffe dir gefällt der Artikel und du hast wieder einmal mehr von den Vorzügen des Elementor PageBuilders erfahren.

Gerne höre ich von dir und beantworte gerne deine Fragen dazu.

jrothhardt

WordPress-Sicherheit Teil 2

Warum hacken sich Hacker in eine Webseite ein?

WordPress-Sicherheit! Sie werden sich fragen, warum Leute sich überhaupt die Mühe machen, WordPress-Blogs zu hacken. Insbesondere auch ganz kleinere Blog, die nicht viel Traffic haben. Es gibt eine Vielzahl von unterschiedlichen Gründen, warum Hacker das machen, was sie machen.
Hier sind ein paar Faktoren:

Eine Menge Hacker tun es aus Neugierde, Langeweile, Langeweile, oder aus Angst, sie hegen keine böse Absicht. Sie wollen einfach nur ihre gerade erlernten Fähigkeiten anwenden oder vor ihren Freunden prahlen, in die sie es geschafft haben in einen WordPress-Blog einzudringen. Das Übelste, was diese Art von Hacker wahrscheinlich tun wird, ist, Ihre Website mit einer Visitenkarte zu verunstalten, um ihren Freunden zu beweisen, dass sie es getan haben.
Diese Sorte Hacker hat nur ein Ziel und das ist, dir zu schaden oder dich wütend zu machen. Sie sind in der Lage, Inhalte zu löschen, zu blockieren, indem sie dein Passwort ändern, deine WordPress-Seite auf pornografische Websites umzuleiten, um deinem Ruf zu schaden oder ähnliches.
Sie können deinen Blog auf ihre eigene Website verweisen lassen, oder sie können finanzielle Informationen stehlen, die du in deinem Blog gespeichert hast. Diese Typen von Hackern stehlen wahrscheinlich vertrauliche Informationen und verwenden bzw. verkaufen sie oder installieren bösartige Software, die sich auf den Computern der Besucher installiert und deren System mit Adware infiziert.
Du kannst sogar von Konkurrenten angegriffen werden, die dich hacken, um dich dazu zu bringen, deine Suchmaschinenplatzierungen zu verlieren, Traffic zu unterbrechen oder deinen Ruf zu schädigen.

Es gibt viele andere Gründe, warum jemand einen WordPress-Blog hacken möchte, aber diese sind eigentlich die gängigsten.

Hier unten mal ein Beispiel, mit welchen Benutzername, die Häcker versuchen sich einzuloggen. Das alles sind von mir ermittelte Ergebnisse, der vergangenen Monate von mehr als 10.000 Versuchen sich auf meine Webseiten einzudringen.

Grundlegende WordPress-Sicherheit

Dieser Abschnitt wird sich auf einige sehr grundlegende Dinge konzentrieren, die du tun kannst, um deine WordPress-Installationen abzusichern. Du solltest diese Schritte auf jedem einzelnen Blog, den du einrichtest, vornehmen und du solltest das unbedingt gleich tun!

WordPress aktualisieren

Die einfachste Sache, die du selbst leicht machen kannst, um deinen Blog vor Hackern zu schützen, ist, deine WordPress Installation regelmäßig zu aktualisieren. WordPress gibt von Zeit zu Zeit kritische Sicherheitsupdates heraus. Werde also nicht gleichgültig und denken nicht, dass alle Updates rein kosmetisch sind oder neue Funktionen bieten. Diese Sicherheitsupdates sind absolut lebensnotwendig und sie können einige wirklich üble Dinge aufhalten!

Wähle einen guten Benutzernamen

Achte darauf, keinen einfachen Benutzernamen für das Einloggen in deinen WordPress-Administrationsbereich zu wählen. Stelle sicher, dass dieser nicht einfach zu erraten ist und was auch immer du nimmst, verwende nie den Benutzernamen admin! Fast jeder benutzt ihn, weil dieser standardmäßig installiert ist, also vermeide ihn wie die Pest!
Verwende auch nicht deinen Namen oder eine Variation davon. Verwende ebenso nichts, was mit dem Namen oder der Nische deines Blogs zu tun hat. Verwenden Sie keine Variationen deiner E-Mail-Adresse oder anderer Benutzernamen, die du eventuell hast.

Verwende ein sicheres Passwort

Ein starkes Passwort ist absolut unverzichtbar, dennoch wählen die meisten Leute etwas, das leicht zu merken ist und denken, dass sie nie gehackt werden. Das könnte ein großer Fehler sein! dein Passwort sollte zumindest aus Ziffern und Buchstaben (Groß- und Kleinbuchstaben gemischt) bestehen und minimum 8 Zeichen lang sein. Besser 12 bis 20 Zeichen.

Verwende in der Konsequenz niemals eine Variation deines Benutzernamens, Namens, deiner E-Mail-Adresse, deines Geburtsdatums, deines Geburtstags, deiner Telefonnummer oder anderer Informationen, auf die ein Hacker Zugriff haben könnte. Und verwende resultierend daraus niemals gängige Passwörter oder nehme diese sogar in deine Passwörter auf.

Das Hasso-Plattner-Institut hat eine Liste mit den Top 10 der am meisten verwendeten Passwörter in Deutschland erstellt.
Die 9 gebräuchlichsten Passwörter in Deutschland sind:

hallo
passwort
hallo123
schalke04
passwort1
qwertz
arschloch
schatz
hallo1

Das zehnte der gebräuchlichsten Passwörter ist etwas frivol und deshalb nutze ich es nicht. Wen es dennoch interessiert, kann es hier nachlesen. Vermeide es, etwas davon zu verwenden, das auch nur in der Nähe dieser Passwörter liegt!

Aus meiner Sicht sind die häufigsten Benutzernamen, welche bei mir zum eindringen benutzt wurden, die folgenden:

Der Webseiten-Name
admin
administrator
Der Spitzname des Administrators
Der Benutzername des Admin
test
Sonstige, wie geld, demo, etc.

Tatsächlich solltest du in jedem Fall einen Passwortgenerator verwenden. Ich selbst benutze Lastpass und das kann ich dir nur empfehlen! Und das beste ist es ist kostenlos zu nutzen! Dort kannst du deine Passwörter dann mit Hilfe eines Passwort-Managers sicher aufbewahren. Es gibt viele natürlich auch noch andere auf dem Markt und die dein Passwort sicher aufbewahren, ohne dass du es vergessen kannst. das ermöglicht es dir auch, einfach unterschiedliche Login-Informationen über mehrere Blogs hinweg zu nutzen.
Ein weiterer Fehler, den zahlreiche Menschen häufig machen, ist die Verwendung der gleichen Login-Informationen für mehrere Blogs. Wenn du mehrere verschiedene Blogs hast, stelle sicher, dass du jeweils unterschiedliche Benutzernamen und Passwörter für jedes einzelne verwendest, so dass, wenn eines davon kompromittiert wird, deine anderen nicht leicht angegriffen werden können.

Hier noch 2 Ausschnitte von meinen Webseiten die dir zeigen, das es wichtig ist sich damit zu beschäftigen. Zwar wird täglich versucht in meine WordPress -Seiten einzudringen, was, Gott sei Dank, nicht gelingt. Warum? Nun, wie schon oben erwähnt benutze ich LastPass und bin so, durch starke Passwörter, recht gut geschützt. Aber es gibt keinen 100% Schutz.

Schön, das du alles bisher gelesen hast. Aber vielleicht fragst du dich gerade, wieso WordPress-Sicherheit Teil 2. Hier geht es zum ersten Teil des Artikels WordPress-Sicherheit.

Falls dir der Artikel gefallen hat, freue ich mich über einen Kommentar und du darfst gespannt sein auf den 3. Teil.

WordPress-Sicherheit

Einführung in die WordPress-Sicherheit. Teil 1

Bestimmt hast du auch schon von den jüngsten Brute-Force-Angriffen auf WordPress-Blogs und Joomla-Websites gehört. Es gibt sogar ein kommerziell erhältliches, webbasiertes Tool, das derzeit zum Starten von Brute-Force-Angriffen verwendet wird, und es ist sehr effektiv.
Es kann viele katastrophale Auswirkungen haben, wenn dein WordPress-Blog gehackt wurde. Einige dieser Angriffsmethoden werden in diesem Bericht behandelt. Sie könnten einfach und leicht reparierbar sein, wie z.B. der Verlust des Zugangs zu Ihrer Website für ein paar Stunden. Oder sie könnten so katastrophal sein, wie der Verlust von deinem Geld, deiner Arbeit oder deinem Ansehen!
Glücklicherweise gibt es ein paar Möglichkeiten, die du tun kannst, um deine WordPress-Seite vor solchen Angriffen zu schützen und deine Seite, deinen Inhalt, deine Produkte, dein Einkommen, deine Daten und die Sicherheit deiner Kunden zu schützen!
Zuerst wirst du über einige der größten Gründe erfahren, warum es absolut wichtig ist, dass du deine WordPress-Installationen sofort absicherst. Dann lernst du ein paar Dinge, die du sofort tun kannst, um deine Website vor Hackern und anderen bösartigen Angriffen zu schützen. Schließlich erfährst du, wie du mehr Hilfe erhältst, um WordPress zu sichern, wenn es dir passiert sein sollte.
Also fangen wir an.

Warum WordPress schützen?

Es gibt eine Menge Dinge, die bei einem WordPress-Blog schief laufen können, und einige dieser Dinge könnten absolut katastrophal für dein Unternehmen sein.

Temporäre Probleme

Wenn du Glück hast (und mit Glück beziehe ich mich auf das im besten-Fall-Szenario, wenn du bzw. deine WordPress-Seite gehackt wurde), wirst du nur geringfügige, temporäre Probleme durch das Eindringen von Hackern feststellen. Diese Probleme können dann aber immer noch zu großen Problemen führen, wenn man sie nicht rechtzeitig bemerkt. Aber was das Eindringen von Hackern angeht, so ist dies einfach nur unschön, sodass es gerade noch mühsam geht.
Als Temporäre Probleme werden einfache Dinge, z.B. wie das Ändern des Passworts und das Aussperren aus deinem Blog für ein paar Stunden, bis du Hilfe bekommen könntest, um wieder in den Blog hineinzukommen, oder die vorübergehende Weiterleitung deines Blogs auf eine andere Website, bis du dich einloggen und ihn wieder in Ordnung bringen kannst, bezeichnet.

Der Verlust von Inhalten

Viel schlimmer als von den temporären Problemen, könntest du von einen Hacker-Login in deinem Konto und diese löschen dir alle deine Artikel. Wenn du kein aktuelles Backup haben solltest, könnte das bedeuten, dass unzählige Stunden harter Arbeit weg wären! Selbst wenn du regelmäßig sicherst, könntest du immer noch Inhalte verlieren, die zwischen den Backups hinzugefügt wurden, zusammen mit Kommentaren, Antworten, neuen Benutzerinformationen und vielem mehr. Du könntest sogar ein Backup verlieren, weil dein Webserver zu voll ist, um das Backup durchzuführen, und du wirst es vielleicht erst merken, wenn es zu spät ist!

Verlorene Produkte

Wenn du virtuelle Produkte wie Videos, eBooks, Grafiken oder andere Inhalte, die du vertreibst, auf deinem Server speicherst, könnten diese Produkte gestohlen werden. Und nicht nur das, sondern auch noch etwas anderes. Hacker könnten dann diesen Inhalt weiter verbreiten, was dir möglicherweise hunderte von Euros an verlorenen Einnahmen kosten würde!
Glaube nicht, dass es von Belang ist, wenn deine Inhalte verteilt werden? Dann denk mal darüber nach. Nun, viele Leute haben zugegeben, dass sie, wenn sie ein digitales Produkt finden, das sie unbedingt wollen, zuerst auf Piratenseiten überprüfen, um zu sehen, ob dieses Produkt kostenlos erhältlich ist. Wenn, und nur wenn, es nicht so zu finden ist, dann werden sie das Produkt kaufen.
Wenn Sie physische Produkte verkaufen, könnte der Schaden noch schlimmer sein. Ein Hacker könnte sich in Ihre Website einloggen und eine Bestellung so erstellen und manipulieren, so dass es aussieht, als ob die Bestellung bereits bezahlt wurde, und du könntest die Artikel unwissentlich versenden, bevor du merkst, dass das Geld nicht auf deinem Konto ist.

Geld verlieren

Wenn ein Hacker deine Website für einen längeren Zeitraum abschaltet, könntest du einen beträchtlichen Teil der Einnahmen verlieren. Wenn deine Website z.B. 2.400 € pro Tag macht, würde es dich möglicherweise 1.200 € kosten, wenn sie 12 Stunden lang nicht erreichbar ist. 10 Tage nicht erreichbar zu sein, könnte dich 24.000 € kosten!
Natürlich könnte der vorübergehende monetäre Einbruch noch zu einem größeren Schaden führen. Stelle dir vor, wenn ein paar deiner Stammkunden an einem solchen Tag vorbeikämen, um etwas zu bestellen und feststellen, dass die Seite nicht erreichbar war. Könnten sie vielleicht annehmen, dass du aus dem Geschäft ausgeschieden bist und nie wieder zurückkehren. Das könnte einen sehr großen Verlust bedeuten, der das Vertrauen dieser Kunden in dein Geschäft erschüttert hätte.
Schlimmer noch, in diesem Fall, wenn Menschen bereits Waren gekauft und bezahlt haben, können sie Rückerstattungen verlangen oder sogar Rückbuchungen über ihre Bank oder Kreditkartenunternehmen beantragen. Dies kann sich negativ auf dein Renommee bei deinem Händlerkonto auswirken!

Der Verlust persönlicher Daten

Wenn du sensible persönliche Daten und Informationen auf deinem Server speicherst, können diese Informationen gestohlen und von Hackern verwendet werden. E-Mails, Passwörter, Finanzinformationen und andere vertrauliche Informationen könnten alle ins Visier genommen werden.
Wenn Ihr WordPress Passwort zufällig mit Ihren E-Mail-Passwörtern, Bank-Passwörtern oder anderen kritischen Passwörtern übereinstimmt, könnten Sie mit finanziellem Verlust, Identitätsdiebstahl oder anderen katastrophalen Ereignissen konfrontiert sein.

Der Verlust der Reputation

Dein Ruf ist alles im Geschäft. Wenn dieser einmal beschädigt ist, kann es Jahre dauern, bis dies repariert ist. In der Tat kann es kaum jemals wieder zu seinem früheren Status zurückkehren.
Du wirst dich vielleicht fragen, wie dein Ruf durch etwas so scheinbar harmloses Ereignis so sehr geschädigt werden kann. Nun, es gibt viele Möglichkeiten, wie zum Beispiel:

Wenn deine Seite unten ist, können die Leute denken, dass du verschwunden bist, oder deine Firma hat sich heimlich aus dem Staub gemacht. Dies gilt insbesondere dann, wenn die Leute eine Bestellung aufgegeben und bezahlt haben, die noch nicht geliefert wurde.
Hacker könnten Ihre Website mit pornographischen Inhalten oder bösartiger Software versehen, die den Computern der Besucher schaden oder deren Daten stehlen könnten. Es kann schwierig sein, Leute davon zu überzeugen, dass Sie nichts damit zu tun haben, besonders wenn Ihr Ruf in Ihrer Branche noch nicht gut etabliert ist.
Benutzerdaten könnten gestohlen werden. Wenn du Personen habest, die sich registrieren haben, um auf Deiner Website zu posten, oder wenn Sie ihre finanziellen Informationen nach dem Kauf auf deiner Website speichern, könnten Hacker diese Informationen stehlen und missbrauchen. Dies könnte extrem schädlich für deinen Ruf sein.

Dies sind nur einige der Möglichkeiten, wie Du im Falle eines Hackversuchs negativ beeinflusst werden könntest. Es gibt noch viel mehr!

Die war der erste Teil einer Serie von Beiträgen zum Theme WordPress Sicherheit. Warum schreibe ich das gerade jetzt. Nun wie oben bereits erwähnt nehmen die Angriffe auch WordPress-Seiten immer mehr zu.

Wie komme ich nun zu dieser Annahme?

Weiter unten wirst Du einen Screenshot aus einer WordPress-Seite sehen. Ich habe in der letzten auf 2 meiner WordPress-Seiten täglich mehrere Versuche erlebt, wie versucht wurde diese zu hacken.

Wenn Dir der Beitrag gefallen hat, schreib mir einen Kommentar, damit ich weiss was ich Dir noch erzählen kann.

Beste Grüße aus Calau

Jörg Rothhardt

WordPress Theme installieren 3 leichte Schritte [Anleitung]

WordPress Theme einfach installiert.

Du willst jetzt gerade ein neues Projektstarten und suchst deshalb ein passendes WordPress-Theme. Die Frage, die Du dir jetzt bestimmt stellst, ist, brauche ich ein Profi-Theme, wie beispielsweise solche von Evanto & Themforest? Aber dazu mehr am Schluss dieses Artikels.
Zunächst möchte ich Dir aber zeigen wie du ein Theme bei WordPress installierst. Und JA, es sind schon einige Themes bei WordPress standardmäßig vorhanden. Im Normalfall sind das die Themes: Twenty Seventeen, Twenty Sixteen, Twenty Fifteen. Diese Themes sind OK und auch für den normalen Blogbetreiber zu gebrauchen. Was Du ja allerdings nicht willst, ist viel Geld ausgeben, denn oft sind einfache Themes auch für Profi-Webseiten und besonders für Landingpages gut zu nutzen. Diese harmonieren auch bestens mit dem Elementor PageBuilder.

Jetzt aber zur Tat.

Wie installiere ich ein WordPress Theme [Anleitung]

Du hast WordPress selbst installiert? Oder Du hast eine bereits installiertes WordPress-Blogsystem.

So suchst Du Dein WordPress Theme

Die Installation eines WordPress-Themas ist einfach und kann viele Male während des gesamten Lebenszyklus Deines WordPress-Blog geändert werden. Es macht auch Spaß das selbst zu fertig zu bekommen und kann richtig süchtig machen. Das Beste daran ist, dass Du tausende Themen kostenlos verwenden kannst, so dass Du das Aussehen Deiner Website so oft ändern könntest, wie Du willst. So kannst Du versuchen und herauszufinden, was der

perfekte Look für Deinen Blog ist.

Es gibt im Internet viele Stellen, an die Du gehen kannst, um ein Thema kostenlos herunterzuladen. Du kannst sie in der Regel ganz einfach über Google suchen.

Auch die WordPress – Hauptseite ist ein guter Anlaufpunkt. Dort sind zur Zeit fast 3.000 Themes gelistet.

WordPress Theme - Die Unterschiede

Es gibt drei Haupttypen von Themen, die Dir zur Verfügung stehen. Damit wird Dein preiswerter Blog, aussehen wie eine professionell gestaltete Website oder ein Weblog. Grundsätzlich sind Themes in Themen mit grundlegenden Funktionen, fortgeschrittene Themen und Widget-freundliche Themen, unterteilt.

Basis-Themen sind die Standard-Thementypen. Sie sind am einfachsten zu bedienen und ideal für Neueinsteiger im Webdesign. Die Templates sind alle sehr attraktiv und obwohl sie vielleicht ein wenig eingeschränkt sind, gibt es einiges was du verändern kannst. Du wirst es immer noch einfach finden, es so klasse aussehen zu lassen, wie Du es wünschst.

Fortgeschrittene Themen sind etwas schwieriger für Einsteiger zu gestalten, aber es ist ein weiterer, großer Schritt,
beim Erlernen wie Du Website-Vorlagen bearbeiten kannst. Website-Design wird immer leichter, wenn Du mehr über dieses Thema erfährst. Du hast jetzt mehr Optionen, aber es kann auch ein wenig kompliziert sein, es herauszufinden.

Die Widget-freundlichen Themen sind diejenigen, die es Dir ermöglichen, alle unterschiedlichen WordPress Widgets zu nutzen. Diese werden Dir
zur Verfügung gestellt, um Dir zu helfen, Dein neues Wissen über Website-Design auf eine neue Ebene zu heben.
WordPress Widgets sind Dinge, die Du in Deine Weblogs Sidebar einfügen kannst, um Deine Website attraktiver zu machen. So kann dieser interaktiv werden für diejenigen, die Deinen Blog besuchen. Das Tolle an ihnen ist, dass man nicht unbedingt
viel über ihre Arbeitsweise wissen muss. Alles, was du tust, ist, das Ding in dein kostenloses Blog einzustecken und es gut sein zu lassen. Du wirst überrascht sein, wie viel attraktiver Deine Seite wirkt, wenn Du
erfährst, wieDu dies in Dein WordPress-Theme einbaust.

Nachdem Du eine der kostenlosen WordPress-Themenseiten besucht hast und Dir das Passende ausgewählt hast, das Du wolltest, wähle einfach nur aus und folgen den Anweisungen auf der Seite, um es herunterzuladen. Sobald es auf Deinen Computer heruntergeladen wurde, kannst Du Dich auf Deine WordPress-Webseite einloggen.

Die Installation des Themes

Im Backend Deiner WordPress-Installation gehst Du jetzt zum Menüpunkt Designs. und siehst die installierten Themen. Dann findest Du oben einen blauen Button mit „Hinzufügen“ beschriftet! Jetzt hast Du 2 Möglichkeiten. Du kannst erstens jetzt noch einmal auf WordPress.org die angezeigten Themes durchsuchen. Diese sind geordnet mit Vorgestellt | Populär | Neueste | Favoriten und Du kannst diese noch über das Zahnrad filtern etc.

Oben ist wider ein Button mit diesem kannst Du ein Theme, das Du, wie vorher beschrieben, auf Deinem Rechner auf Deiner Festplatte als ZIP-Datei hast, in Deine WordPress-Installation hochladen.

Je nach Vorgehensweise erscheint dann eine Vorschau, auf der Du sehen kannst, wie das Theme so aussieht. Und wenn es so wie erhofft aussieht, klicke auf das Bild, um es zu aktivieren.

Spiele jetzt ein wenig mit dem Admin-Bereich (Dashboard) herum. Sobald Du dies getan hast, wirst bald einfachere Wege finden, wie Du Deine eigene Webseite ganz anpassen kannst und lernen, wie man kompliziertere Webseiten erstellt. Es mag zunächst scheinen, dass es schwierig ist, eine Web-Präsenz für sich selbst zu gestalten, aber wenn Du erst einmal gelernt hast, wie Du WordPress installieren kannst. Ist ein Thema zu finden ein viel einfacheres Unterfangen.

Warum es wichtig ist, den Zugriff auf die WP REST API einzuschränken

jrothhardt

[ACHTUNG] Sicherheitsrisiken in folgenden WordPress​-Plugins: Formidable Forms, Duplicator und Yoast SEO Plugins

Schlussfolgerung

jrothhardt

10 triftige Gründe, warum du eine sichere WordPress-Webseite sofort haben musst!

Wer und weshalb attackiert man uns

Aber es gibt auch eine gute Nachricht

1. Grund - Dein Benutzername

2. Grund - Dein Passwort

3. Grund - Deinen Login vor Angriffen zu schützen

4. Grund - Deinen WordPress-Login noch weiter absichern

Und wie können wir das erreichen?

Methode 2: den Zugang über die Datei htaccess

5. Grund - Deinen WordPress Datenbank-Tabellen Prefix umbenennen

6. Grund - sichere WordPress-Webseite, welche Plugins braucht es echt.

7. Grund - sichere WordPress-Webseite, regelmäßig updaten

8. Grund - Eine sichere WordPress-Webseite, heißt Themes und Plugins regelmäßig updaten

9. Grund - Regelmäßige Backup bedeuten eine sichere WordPress-Webseite.

Die Sicherungen haben nicht auf deinem Webspace zu suchen!

noch sichere WordPress-Webseite, mit verschlüsseltem Backup

10. Grund - sichere WordPress-Webseite, dank sperren der Dashboard Edit Funktion

Fazit:

WordPress-Sicherheit interessiert offensichtlich kein Schwein, oder?

Was ist jetzt ganz neu in Elementor PRO?

jrothhardt

Warum hacken sich Hacker in eine Webseite ein?

Grundlegende WordPress-Sicherheit

Wähle einen guten Benutzernamen

Verwende ein sicheres Passwort

Einführung in die WordPress-Sicherheit. Teil 1

Warum WordPress schützen?

Temporäre Probleme

Der Verlust von Inhalten

Wie komme ich nun zu dieser Annahme?

WordPress Theme einfach installiert.

Wie installiere ich ein WordPress Theme [Anleitung]

So suchst Du Dein WordPress Theme

WordPress Theme - Die Unterschiede

Die Installation des Themes

[ACHTUNG] Sicherheitsrisiken in folgenden WordPress-Plugins: Formidable Forms, Duplicator und Yoast SEO Plugins