Die Wordpress Sicherheit ist für alle Wordpress Blogger ein wichtiges Thema, denn Wordpress Blogs sind ständigen Hacker Angriffen ausgesetzt, auch wenn wir als Blogger diese nicht immer bewusst wahrnehmen. Seinen Wordpress Blog schützen und die Sicherheit erhöhen ist also für jeden Wordpress Blog wichtig! Daher habe ich auch diese Überschrift für meinen ersten Beitrag in meiner Reihe von Wordpress Tipps & Tricks gewählt, denn mit dem Installieren eines Sicherheitsplugins ist es noch nicht getan. Dies stellt zwar die Grundlage für die Wordpress Sicherheit dar, es kommt aber auf die richtigen Einstellungen des Sicherheitsplugins an und darauf die Warnmeldungen richtig interpretieren zu können. Nur so kann man die Sicherheitslücken auch tatsächlich schließen.
Wordpress für Blogger: Die eigene Verantwortung für die Sicherheit seines Blogs erkennen
Vor einem Jahr bin ich mit meinem Blog von Blogger zu Wordpress umgezogen und in dieser Zeit haben mein Mann und ich viel über Wordpress gelernt. Denn ganz ehrlich: Ohne die Unterstützung von jemanden mit dem entsprechenden technischen Wissen, wäre ich an vielen Stellen aufgeschmissen gewesen. Vieles haben wir uns durch Ausprobieren und Recherche selbst angeeignet. Unsere Erfahrungen mit Wordpress möchte ich gerne mit euch teilen. Denn nicht jeder hat das Glück und kann jemanden in seinem privaten Umfeld zu Wordpress & Co. befragen. Daher hoffe ich, dass ich mit meinen Wordpress Tipps & Tricks Beiträgen dem ein oder anderen weiterhelfen und ein paar Anregungen geben kann.
Beginnen möchte ich mit der wichtigsten Grundlage: Die Wordpress Sicherheit. Denn was nützt die ganze Arbeit und Mühe die man in seinen Wordpress Blog steckt, wenn man ständig Gefahr läuft Opfer eines Hacker Angriffs zu werden, die den Blog mit “Viren” verseuchen.
Immer mehr Blogger wagen den Schritt zum selbst gehosteten Wordpress Blog. Mit dem Umzug zu Wordpress bekommt man als Blogger ein sehr mächtiges Tool an die Hand. Doch damit ist man auch selbst verantwortlich für seinen Wordpress Blog und dessen Sicherheit. Nur mit der Installation eines Sicherheitsplugins ist es noch nicht getan, denn ohne die richtigen Einstellungen lässt man weiterhin viele Sicherheitslücken offen.
Wordpress Blogs sind ein interessantes Ziel für Hacker-Angriffe
Ein Wordpress Blog ist sehr anfällig für Hacker Angriffe. Das liegt daran, dass bei Plugins und bei Wordpress selbst immer wieder Sicherheitslücken gefunden werden. Die Wordpress Sicherheit erhöhen sollte daher am Anfang nach jeder Wordpress Installation stehen.
Wie sicher ist Wordpress? Wordpress ist das weltweit am meisten genutzte CMS und wird für viele Webseiten verwendet. Daher ist es für Hacker die interessanteste Software für Angriffe. Hacker installieren Bots auf Rechnern, die dann für die Hacker weltweit nach Sicherheitslücken auf Webseiten suchen und diese auszunutzen. Haben die Hacker eine Sicherheitslücke gefunden, dann laden sie Dateien auf den Server hoch, wo der Blog installiert ist. Diese Dateien werden dazu verwendet, um im großen Stil Phishing Seiten zu betreiben oder Spam Mails über PHP-Skripte zu verschicken. Umgangssprachlich wird in diesem Kontext auch von Viren gesprochen.
Es ist sehr wahrscheinlich, dass jede Wordpress Seite schon einmal im Fokus eines Hackers bzw. eines Bots stand und auf Sicherheitslücken geprüft wurde. Hinzu kommt das Problem, dass man selbst einen erfolgreichen Hacker Angriff teilweise erst spät feststellen kann. Entweder man hat plötzlich keinen Wordpress Zugang mehr oder Browser wie Firefox oder Chrome stufen den Blog plötzlich als gefährlich ein, weil man auf einer Blacklist für gefährliche Seiten gelandet ist.
Sobald die Hacker einmal erfolgreich waren, kostet es viel mehr Aufwand den Blog wieder von allen Viren zu befreien und nachhaltig abzusichern. Daher sollte man den Aufwand lieber vorher betreiben und sein Wordpress sicher machen. Denn um sicher zu gehen, dass alle Spuren der Hacker tatsächlich beseitigt sind, bleibt meist kein anderer Weg als alles neu zu installieren und beim Backup einspielen jeden Beitrag zu überprüfen.
Als Blogger solltest du die Wordpress Sicherheitslücken kennen
Zuerst noch einmal der Hinweis, dass alle Tipps auf unseren eigenen Erfahrungen beruhen und wir keine Garantie geben können, dass alle Sicherheitslücken eures Wordpress Blogs geschlossen sind und ihr nicht Opfer eines Hacker-Angriffs werdet. Doch es gibt ein paar Tipps wie man einen Virenbefall vorbeugen und die Wordpress Sicherheit deutlich erhöhen kann. Doch warum ist ein Wordpress Blog so eine beliebte Angriffsfläche für Hacker?
Im folgenden gibt es eine Übersicht über potentielle Angriffsflächen
- Wordpress Passwort: Hacker versuchen sich in Wordpress einzuloggen und Admin Zugang zu bekommen. Dafür werden verschiedene Passwörter ausprobiert. Die eigenen Passwörter zu schützen erhöht also die Wordpress Sicherheit. Das Passwort sollte daher möglichst generiert sein aus Groß- und Kleinbuchstaben und Sonderzeichen. Außerdem solltet ihr das Passwort nur für diese Seite verwenden.
- Nicht ordnungsgemäße Wordpress Installationen: Über nicht ordnungsgemäße Wordpress Installationen kann man Hackern leichten Zugriff gewähren ohne dass man diesen selbst bemerkt. Eine Wordpress Installation über Hoster wie Strato oder All Inkl ist grundsätzlich sicher. Möchte man Wordpress hingegen selbst installieren, muss man darauf achten keine Fehler zu machen. Bei nicht richtig installierten Wordpress Installationen sind beispielsweise oft die falsch konfigurierten Dateiberechtigungen ein Problem. Wichtige Dateien wie zum Beispiel wp-config.php, in der unter anderem das Datenbank Passwort im Klartext sowie Parameter zur Verschlüsselung der Passwörter von Usern stehen, müssen unbedingt durch eine richtig gesetzte Dateiberechtigung vor einem Zugriff von außen geschützt werden.
- Sicherheitslücke Wordpress Plugins: Ein großes Sicherheitsproblem sind Plugins. Wordpress selbst ist inzwischen relativ sicher, sofern man immer die aktuellste Wordpress Version verwendet. Dagegen sind Plugins problematischer, wenn diese nicht mehr regelmäßig upgedatet oder von zu wenigen Nutzern verwendet werden. Hat ein Plugin nur sehr wenige Installationen, werden Sicherheitslücken oft erst sehr spät bekannt. Ein Beispiel für ein bekanntes Plugin welches in der Vergangenheit häufig Sicherheitslücken hatte, ist das NextGEN Gallery Plugin. Mittlerweile ist dieses relativ sicher.
Wordpress sicher machen: Wie du die Wordpress Sicherheit erhöhen kannst
Im Gegensatz zu speziellen Hostern, die sich auf Wordpress spezialisiert haben, setzt der Großteil der Hoster nur einen Bruchteil der notwendigen Absicherungen tatsächlich um. Daher muss man selbst für die Wordpress Sicherheit sorgen. Dabei stehen einem verschiedene Möglichkeiten zur Verfügung, um seinen Wordpress Blog zu schützen.
1) Schütze deine Zugangsdaten
Der Benutzername sollte nicht leicht zu erraten sein. Das heißt, er sollte nicht aus dem Domain-Namen, Blog-Namen oder Personen-Namen bestehen.
Außerdem besteht die Gefahr, dass Wordpress selbst den Benutzernamen unbeabsichtigt für jeden Nutzer öffentlich einsehbar macht, nämlich über die Links zur Autorseite. Wenn diese Links den Benutzernamen enthalten, dann liefert man dem Hacker die halbe Information, die er braucht um sich Zugang zu verschaffen, quasi auf dem Präsentierteller.
Stellst du fest, dass dein Benutzername im Link zur Autoren-Seite sichtbar ist, kannst du mit folgenden zwei Plugins das Problem beheben:
- Edit Author Slug: Im Benutzerprofil in Wordpress kann man den Slug zur Autorseite ändern. Man sollte einen Slug wählen der nicht dem Benutzernamen entspricht.
- Username Changer: Dieses Plugin ist vielfach zusätzlich notwendig, da die Gefahr besteht, dass der Username schon öffentlich bekannt wurde. Da man nicht ausschließen kann, dass der Benutzername den Hackern schon potentiell bekannt ist, sollte man auf jeden Fall den Nutzernamen ändern, nachdem man den Slug geändert hat.
2) Installiere ein Wordpress Sicherheitsplugin und konfiguriere dieses richtig
Ein Hinweis vorweg: Sicherheitsplugins benötigen meist sehr viel Speicher, daher empfehlen diese Plugins ein PHP Memory Limit von mindstens 128 MB. Denn in Kombination mit anderen Plugins und wenn der Blog sehr groß ist, kann es dann schnell zu Out of Memory Fehlern beim Aufrufen des Blogs kommen.
Doch oft geben die Hoster die Höhe des PHP Memory Limits nur auf Nachfrage preis. Ein Indiz für die Höhe des Memory Limits ist aber auch meistens die Paketgröße des Hosters. Ein Pro Paket wird in der Regel ein höheres Memory Limit haben als ein Basis Paket.
Falls ihr euer Memory Limit nicht kennen solltet, fragt am besten direkt beim Hoster nach. Zwar findet man im Internet häufig Hilfestellungen wie man sein Memory Limit scheinbar erhöhen kann. Doch solange der Hoster die Einstellungen nicht erhöht, haben diese Tipps keinen Erfolg. Denn man kann immer nur auf den Maximalwert des Vertrags beim Hoster setzen. Sollte das Memory Limit durch eine Einstellung künstlich begrenzt sein, dann sollte man diese Einstellung entfernen und damit automatisch den Maximalwert des Hosters nutzen.
2.1) iThemes Security Plugin: Wichtige Einstellungen
Da wir die besten Erfahrungen für unsere Wordpress Blogs mit dem iThemes Security Plugin gemacht haben, konzentrieren wir uns im Folgenden darauf.
Nach der Installation sollte man einmal am Anfang die Sicherheitsüberprüfung durchlaufen lassen. Diese aktiviert die wichtigsten Sicherheitseinstellungen. Im Screenshot oben habe ich die aus unserer Sicht wichtigsten Einstellungen rot markiert.
2.2) Lokaler Brute-Force-Schutz: Standardeinstellungen belassen
Die Standardeinstellungen kann man zwar anpassen, man sollte diese Werte aber nicht so hoch einstellen, da sich sonst der Schutz verringert.
Brute-Force bedeutet, dass im großen Stil Tausende Passwörter pro Sekunde ausprobiert werden. Das Plugin sorgt dafür, dass eine gewisse Anzahl von Fehlversuchen von einer bestimmten IP-Adresse oder mit einem bestimmten Account aus Sicherheitsgründen gesperrt wird.
Der Account wird nur für eine bestimmte Zeit gesperrt, die IP-Adresse hingegen potentiell komplett. Doch IP-Adressen ändern sich ständig und Hacker verwenden auch immer wieder andere. Daher hat man keine Garantie dafür, dass man den Hacker für immer ausgeschlossen hat, nur weil seine IP-Adresse gesperrt ist.
Schlägt der Brute-Force-Schutz an und man kann sich mit seinem Benutzernamen nicht mehr einloggen, weil dieser für eine Stunde gesperrt ist, ist dies ein Zeichen dafür, dass der Benutzername bekannt geworden ist. Dann sollte man unbedingt wie oben beschrieben vorgehen und die beiden Plugins Edit Author Slug und Username Changer verwenden. Es wäre ein Fehler den Brute Force Schutz in Bezug auf “Benutzername sperren” auszustellen, da man dann dem Hacker den Angriff erleichtert.
2.3) Tipp: Datenbank Backup Funktion deaktiveren
Wir haben die Datenbank Backup Funktion von iThemes Security deaktiviert, da diese Funktion in unserem Fall teilweise zu Out of Memory-Fehlern führt. Für Datenbank Backups gibt es andere Plugins die teilweise flexibler sind und nicht diese Memory Limit Probleme verursachen. Das Thema Backup wird aber noch in einem eigenen Wordpress Blogger Tipps-Beitrag folgen, in dem ich euch von meinen Erfahrungen berichten werde.
Der Out-Of-Memory-Fehler tritt nur in Zusammenhang mit einer gewissen Datenbankgröße auf. Es kann also sein, dass es bei eurem Wordpress Blog jetzt noch zu keinen Memory Limit Problem kommt, wenn eure Datenbank noch nicht so groß oder euer Memory Limit sehr hoch ist. Dies stellt aber keine Garantie dar, dass es in der Zukunft nicht doch zu diesen Problemen kommt. Daher bietet es sich an diese Einstellung gleich vorzunehmen, damit man später nicht auf die Suche nach der Ursache gehen muss.
2.4) Backend verstecken aktiveren
Standardmäßig lautet normalerweise euer Zugang zu Wordpress immer domainname/wp-login. Das wissen natürlich auch alle anderen. Doch durch eine Einstellung im iThemes Security Plugin kann man die Zugangs-URL ändern.
Leider funktioniert diese Einstellung nicht bei allen Hostern. In diesem Fall funktioniert der wp-login immer noch, obwohl ihr Backend verstecken aktiviert habt. Am besten probiert ihr einfach mal im Browser aus, ob die URL domainname/wp-login noch funktioniert, zusätzlich zu eurer neu definierten Zugangs-URL. Dann bietet diese Einstellung für euch leider keinen Schutz.
In diesem Fall gibt es zwar eine Lösung, doch wir empfehlen diese nur, wenn ihr euch mit den Einstellungen der .htaccess-Datei auskennt. Mit dem Hinzufügen des folgendem Eintrags in der .htaccess-Datei im Hauptordner kann man den wp-login auf “not found” setzen: RewriteRule ^(/)?wp-login.php?$ /not_found [QSA,L]
2.5) Dateiberechtigungen
In dieser Einstellung kann man anhand eines Ampelsystems sehen, ob Dateien unbefugt eingesehen, hochgeladen oder geändert werden könnten. Bestimmte Dateien und Ordner sollten vor dem Zugriff von außen zusätzlich geschützt werden. Das iThemes Security Plugin gibt dafür entsprechende Hinweise wie man die Berechtigungen setzten sollte.
Ihr könnt die Berechtigungen beim Hoster Dashboard im WebFTP oder per FTP Programm setzen. Im Screenshot oben werden zum Beispiel alle Vorschläge bis auf .htaccess erfüllt, Dort steht statt dem Vorschlag 444 eine 644 und damit eine Warnung. In diesem Fall bedeutet das, dass es Plugins gestattet wird in dieser Datei Änderungen vornehmen zu können. Das liegt daran, dass es einige Plugigs gibt, die auf diese Datei Zugriff benötigen.
2.6) Dateiänderungserkennung
Ist die Dateiänderungserkennung aktiviert, erhält man immer dann eine Mail, wenn im Server Dateien hinzugefügt oder geändert wurden. War ein Hacker Angriff erfolgreich und es wurden Dateien im Server hochgeladen, dann erhält man per Mail eine Information über diese Dateiänderung.
Man bekommt aber auch Mails wenn man Plugins oder die Wordpress Version aktualisiert hat. In diesem Fall ist die Änderung auf die eigene Aktion zurückzuführen. Erhält man dann eine Mail, muss man diese also richtig zu interpretieren wissen.
Zusätzlich kann es sein, dass ein Plugin oder der Hoster in regelmäßigen Abständen Dateien ändert (zum Beispiel täglich generierte Statistiken). In diesem Fall kann man die betreffenden Ordner in den Einstellungen komplett aus der Dateiänderungserkennung entfernen, damit man nicht ständig Mails erhält und man die gefährlichen Dateiänderungen in der täglichen Mail-Flut übersieht.
Natürlich muss man dabei berücksichtigen, dass diese Ordner dann nicht mehr automatisiert überprüft werden. Das sollte man aber sowieso nur machen wenn diese Ordner nicht ohne Passwort für den externen Zugriff öffentlich erreichbar sind.
Es empfiehlt sich die Dateiüberprüfung in mehrere Teile aufzuteilen. Dafür setzt man in den Einstellungen einfach den Haken an der entsprechenden Stelle.
3) Die Wordpress Sicherheit erhöhen mit dem Wordfence Sicherheits-Plugin
Ein weiteres beliebtes Wordpress Sicherheitsplugin ist das Wordfence Plugin. Leider hat dies bei mir zu Out of Memory Problemen geführt. Dieses Plugin bietet ähnliche Funktionen wie das iThemes Security Plugin. Allerdings ist es so, dass beide Plugins jeweils Funktionen haben, die das andere nicht hat. Doch beides zusammen zu installieren wird sehr wahrscheinlich ebenfalls zu Memory Limit Problemen führen.
4) Zwei-Faktoren Authentifizierung
Eine weitere Alternative, um die Sicherheit eines Wordpress Blogs zu erhöhen, ist die Two-Factor Authentifizierung. Hier gibt es zum Beispiel das Clef Plugin, bei dem man auch gleichzeitig auf dem Smartphone eine App installieren muss. Man kann sich dann nur noch in Wordpress anmelden wenn man sich gleichzeitig in der App einloggt und den auf der Login Seite angezeigten Code mit dem Smartphone scannt. Ich nutze die Zwei-Faktor Authentifizierung seit ein paar Tagen selbst und bin sehr zufrieden damit.
Im Clef Plugin kann man einstellen, dass sich die User, die sich per Clef authentifizieren, nicht mehr mit dem Username und Passwort einloggen können, sondern nur noch per Clef App. Damit ist dieser Account abgesichert.
5) So wenige Plugins wie nötig installieren
Wie ich oben bereits beschrieben habe, stellen Plugins eine mögliche Sicherheitslücke für Wordpress Blogs dar. Daher kann ich folgende Tipps bezüglich Plugins geben:
- Nur Plugins verwenden die nicht veraltet sind, d.h. das letzte Update sollte nicht länger als 12 Monate her sein.
- Verwendet nur Plugins, die eine möglichst hohe Anzahl an Installationen haben.
- Nicht benötigte Plugins deinstallieren.
- Plugins, von denen man nicht weiß wofür man sie braucht, wieder deinstallieren.
- So wenig Plugins wie nötig installieren.
Mein Fazit zur Wordpress Sicherheit
Obwohl Wordpress Blogs zu sehr beliebten Zielen von Hacker Angriffen gehören, kann man mit den richtigen Einstellungen die Sicherheit deutlich erhöhen. Doch dafür muss man sich zunächst einmal bewusst werden, dass man für die Sicherheit seines selbst gehosteten Wordpress Blogs selbst verantwortlich ist. Wer auf einem Wordpress Blog bloggt, muss auch regelmäßig Zeit in Updates investieren, mit neuen Plugins vorsichtig sein und das passende Security Plugin wählen und richtig konfigurieren.
Die investierte Zeit lohnt sich, denn sollte der Blog tatsächlich einmal Opfer eines Hacker Angriffs werden, ist der Aufwand die unbefugt hochgeladenen Dateien auf dem Server zu finden und zu entfernen, um ein vielfaches höher. Ganz zu schweigen von dem ganzen Ärger, der damit einher geht.
Ich hoffe euch hat mein erster Beitrag zum Thema Wordpress Sicherheit in meiner Reihe über Wordpress Tipps gefallen? Über welches Worpdress Thema würdet ihr gerne noch mehr erfahren? Welches Sicherheitsplugin nutzt ihr und welche Erfahrungen habt ihr bisher gemacht?
43 comments
Liebe Diana
vielen Dank für deinen informativen Beitrag. Das ist auch einer der Gründe, warum ich lieber bei Blogger bleibe. Ich mag mir einfach nicht soviel Kopf machen um die Einstellungen meines Blogs. Noch schlimmer ist es, wenn ich denke das er gehakt wird und auf einmal ist meine ganze Arbeit umsonst.
Liebe Grüße
Marina
Und der Grund warum ich am liebsten zu Blogger zurück kommen würde, denn ich hatte solche Fälle seit 2012 schon mehrfach und diese Belastung, die das mit sich bringt nervt mich persönlich sehr. Ich wäre da lieber bei Blogger geblieben…aber einfach so zurück geht es wohl leider nicht =/
Vielen Dank, für diesen tollen und vor allem ausführlichen Artikel!!!
Irgendwie denke ich immer: das wird schon und mir passiert so etwas nicht, wer sollte denn auch an meiner Seite Interesse haben….
Deswegen werde ich mir jetzt mal mehr Gedanken darüber machen und Deine Tipps beherzigen, denn Fakt ist, dass die Gefahr besteht. 😉
Liebe Grüße
Julia
Und ganz wichtig: alles Backuppen für den absoluten Notfall! Dazu benutze ich das Plugin Updraft. 🙂
Danke! Der Beitrag ist echt super informativ und umfassend.
Ich werde mir ihn die nächsten Tage etwas genauer ansehen und einige Sachen umsetzen. Gebookmarkt habe ich ihn schon mal.
LG,
Sandra
Danke für den super Beitrag, ich gehe die Punkte gerade durch. Die Sache bei 2.5 schnalle ich aber gerade nicht xD Wie genau setze ich diese Berechtigung? Ich hab da nämlich bei 3 Sachen ne Warnung, heißt das bei denen müsste das geändert werden?
Auf jeden Fall ein ganz toller Beitrag!
Freut mich sehr, dass dir mein Beitrag gefällt 🙂 Ja genau, da würde ich die Dateiberechtigung an deiner Stelle anpassen. Wie das geht, findest du normalerweise in den FAQ deines Hosters. Dort sollte geschrieben stehen, wie du per FTP Programm die Vorschläge vom iThemes Security übernimmst.
Das verstehe ich auch nicht. Wenn da steht Warnung.
Was soll man dann machen? Vorschlag 444 Wert 644? What?
Sagt mir so gar nichts. Und da wüsste ich auch nicht was ich den Hoster, bei mir 1und1, fragen soll^^
Super, dass das mal jemand erklärt 😀 Ich habe ja auch schon oft hin und her überlegt, ob ich wechseln soll oder nicht, traue es mir aktuell aber echt nicht zu. Den Wechsel vielleicht schon, da hab ich weniger Bedenken, aber eben die Wartung und die Sicherheit machen mir große Sorgen. Da hab ich einfach viel zu wenig (gegen Null gehendes) Know How und wäre absolut überfordert. Und ich habe nun mal niemanden in meinem Umfeld, der sich damit auskennt.
Ich nutze Blogger, daher habe ich nicht das Problem mit Plugins.
Allerdings habe ich auch große Angst vor Hacker Angriffen…Gott, will gar nicht dran denken!
Liebst, Colli
gut geschrieben, liebe Diana 😉 werde ich gleich mal mit meinen Einstellungen und Installationen abgleichen (lassen) ;D Danke für deinen Beitrag!
Toller Beitrag! Ich bin vor 3 Tagen mit meinem Blog von Blogger zu Wordpress umgezogen und da kam mir dieser Beitrag gerade recht.
Hab alles nach deiner Anleitung gemacht und hoffe jetzt das alles Sicher ist. Vor allem weil ich seit Samstag mehrmals am Tag E-Mails erhalten habe wo drin stand das sich jemand versucht bei mir anzumelden! Jetzt hab ich gleich mal meinen User Namen geändert.
Danke für den Beitrag!
Vielen Dank, dass Du das Thema mal so aufgreifst. Ich lese ansonsten immer nur überall wie toll Wordpress ist und überlege deshalb auch immer mal wieder überzuwechseln. Das ist dann aber mal ein triftiger Grund – abgesehen vom Mangel an Wissen – dies nicht zu tun (auch wenn das jetzt nicht die Intention Deines Posts war :D).
Vielen Dank für die Tipps liebe Diana,
ich gebe diese Angelegenheiten immer in die Hände eines Profis. Ich als fast 50-jährige blicke da sonst nicht mehr durch. Ich hoste den Blog selbst und nicht über Wordpress.
Bis bald und liebe Grüße
Marion
Ich persönlich hoste meinen “Blog” nicht über WordPress, arbeite aber im E-Commerce Bereich in der Technik und finde den Beitrag daher richtig interessant.
Liebe Grüße,
Eva
Danke Eva für dein Feedback! Das freut mich sehr, dass dir mein Beitrag gefällt, auch wenn du keinen Worpdress Blog hast. Umso schöner, dass er dich wegen deiner Arbeit trotzdem interessiert 🙂 Freue mich immer wenn ich viele Menschen mit meinen Beiträgen erreichen und ihnen weiterhelfen kann.
Ein wirklich toller Beitrag. Ich bin nach wie vor bei Blogger, habe aber schon häufig überlegt zu wechseln. Bisher hat mich der Aufwand und die Zeit immer etwas abgeschreckt, aber ich muss sagen das man dort natürlich auch nicht so viel Aufwand mit der Pflege hat, man ist allerdings auch um einiges eingeschränkter.
Liebe Diana,
wooooooow – so ein toller Beitrag! Zwar läuft mein Blog über Blogger, aber ich bin mir sicher, dass deine Tipps trotzdem viiiielen weiterhelfen werden! 🙂
Liebe Grüße
Anna <3
Ein sehr interessanter Post, bin aber nicht bei WordPress 😀
Bei Blogger is mir bisher noch nichts passiert, habe aber auch ein extremes Passwort, da brauchen die Hacker erstmal lange xD
Ich habe sie noch nicht probiert, aber ich denke auch dass sie mir schmecken werden 😀 Stehe ja eh auf alles mit Quinoa. Der Sale is aber auch praktisch =P
Das is echt total seltsam und ich habe bisher leider auch nicht mehr herausgefunden. Wird wohl ein Gewinnspiel von Catrice direkt gewesen sein und ein Verpackungsfehler.
Sind sie auch, ich würde meine kostbare Zeit gar nicht für sowas verschwenden wollen 😀 Sehe ich auch so, wenn sie meinen dass es ihr Hobby is, dann sind sie arm dran *lach*.
Ja der Tag is auch jetzt immer noch sehr beliebt 😀 Mache ihn seit 2013 immer fleißig mit *lach*. Danke das freut mich, finde dass auch immer sehr spannend. Gerne doch.
Liebe Grüße
Sehr gut und mega hilfreicher Artikel, das speichere ich mir gleich mal ab. Ich will dieses Jahr auch ENDLICH mal zu Wordpress umziehen, schiebe das immer vor mir her.
Toll, dass du alles nochmal so schön niedergeschrieben hast! Danke dir nochmal tausendfach!! 🙂
Wow, ich habe vor längerer Zeit auch mit dem Gedanken gespielt auf WordPress umzuzuiehen. Jedoch war mir das dann doch zu kompliziert, auch wenn ich jemanden gehabt hätte, der mir helfen könnte. Aber ich sehe jetzt, wie komplex das ganze Thema ist und bin eigentlich froh, die Finger davon gelassen zu haben. Auf jeden Fall sehr hilfreicher Artikel für Leute wie mich, die von nix eine Ahnung haben 🙂
LG natalie
Also wenn ich das alles so sehe, bin ich doch froh das ich bei Blogger bin. Ich hatte bisher noch nie Probleme dort.
sehr interessant! ich wusste garnicht das man so viel beachten muss 😮
gut das ich bei blogger bin ^-^
Liebe Grüße Stadtqrinzessin♡
Wirklich ein sehr interessanter Beitrag. Ich verwende auch ein Sicherheitsplugin. Allerdings kannte ich viele Tipps noch nicht, die ich gleich mal umsetzten werde :O
Vielen Dank!
Liebste Grüße
Sassi
Ein super ausführlicher Beitrag und viele achten wirklich viel zu wenig auf die Sicherheit ihres Blogs – vor allem, wenn man von Blogger zu Wordpress wechselt und gewohnt ist, dass alles für einen erledigt wird. Aber andererseits, hat man es so auch wirklich in der Hand und kann sicher sein, dass an alles gedacht ist, wenn man sich ausreichend mit der Materie beschäftigt hat.
Liebe Grüße ♥
Ich selber habe meinen Blog nicht bei Wordpress, aber ich finde es trotzdem toll, dass du dir die Mühe für einen solch ausfühtlichen Beitrag gemacht hast 🙂
LG
Faye
Super informativer Post!
Da bin ich ja froh, dass ich bei Blogspot bin 😉
LG Binara
Find ich gut, dass du das Thema für die Wordpress Nutzer aufgreifst. Ich denke, dass da echt tolle und hilfreiche Tipps mit dabei sind.
Oh wow was für ein super recherchierter und gründlicher Beitrag. Man merkt wirklich, wie intensiv du dich mit der Thematik auseinander gesetzt hast. Ich habe mich – zugegebenermaßen – bisher noch nicht so sehr damit auseinander gesetzt. Aber ich denke, es ist an der Zeit.
Liebe Grüße,
Kiamisu
Ich benutzte kein Wordpress, habe mich auch noch nie damit beschäftigt.
Ich bin mit Google Blogger total zufrieden, vieleicht ein paar Einschränkungen beim Design aber darüber kann man hinweg sehen :).
Liebe Grüße
Ein wirklich interessanter Beitrag. Ich bin ja noch bei Blogger, habe aber schon häufiger überlegt zu wechseln. Wenn ich das jetzt alles so lese. Schreckt es mich doch immer mehr ab zu Wordpress zu ziehen.
Ein sehr interessantes Thema. Darüber habe ich mir ehrlich gesagt noch nicht wirklich viele Gedanken gemacht. Danke für deine Tipps.
Liebe Grüsse
Dana
Hallo Diana,
ich kann mit der WP-Sicherheit etliches anfangen und setze Wordfence auf jedem WP-Blog ein. Zudem erfuhr ich schon vor Jahren vom Plugin Edit Author Slug und diese darf in keiner WP-Installation fehlen. Den User Changer schaue ich mir auch gerne an, denn ich habe es in Erinnerung, dass irgendwelche Webuser bereits von mir öffentliche Daten zum Login verwendeten. Da wurde mehrfach alles ausprobiert, aber Wordfence sperrt sie alle schon mal. Stellt ihr selbst das Plugin sehr sehr hart ein. Komplette IP-Sperrung und auch Länder könnt ihr dabei sperren.
Da gibt es noch das kostenlose WP-Plugin Limit Login Attempts, was ebenfalls als BruteForce-Attacken-Schutz gilt. Wordfence erfüllt aber das auch und hat noch mehr Funktionen. Zudem wenn du mit Wordfence deine Installation scannst, werden auch alle Unterverzeichnisse sowie Files im FTP-Account abgescannt. Falls du weitere Projekte und CMS in den Unterverzeichnissen hast, gilt der Wordfence-Schutz auch dafür. Manchmal sperrt mich Wordfence, wenn ich Adsense einbinden will. Das ist mit Absicht so und schützt gegen jegliche Code-Injizierung in den Dateien.
Ich besitze noch einen Server und da werde ich schauen, wie die Sicherheit noch mehr erhöht werden kann. In Plesk sind es etliche Tools, die von Haus aus installiert wurden. Leider funktioniert nicht alles nach Wunsch, denn beim Aktivieren bestimmter Schutzregeln, bekomme ich keinen Zugang zu meinen Webseiten.
Wordfence verhindert zum Beispiel den Zugang zum ACP eines PHPBB-Forums, wenn das Board im Unterverzeichnis auf der Domain, wo Wordfence läuft, installiert ist. Auf dem Stammblog von mir werden haufenweise IPs täglich und mehrmals täglich gesperrt. Soll mir nur recht sein, denn das sind alles potentielle Bots und Hacker. Zum Glück sind es in der letzten Zeit nur Login-Daten von den nicht existenten Accounts. Meinen Login-User-Namen kennt niemand und es hat nichts mit meinem Leben zu tun 😉
[…] Diana seitens https://www.ineedsunshine.de mit dem Post Warum dein Blog in Gefahr ist: WordPress-Tipps für mehr Sicherheit im Blog […]
[…] sehr schönen und umfangreichen Artikel zum Thema WordPress-Sicherheit gab es bei I need sunshine. Warum ein WordPress-Blog erhöhter Hacker-Angriffsgerfahren […]
[…] sehr schönen und umfangreichen Artikel zum Thema WordPress-Sicherheit gab es bei I need sunshine. Warum ein WordPress-Blog erhöhter Hacker-Angriffsgerfahren […]
Meine liebe Diana,
nun komme ich endlich mal dazu, auf deinem Blog einen Kommentar zu hinterlassen. Schlimm ist das in letzter Zeit mit mir!! Du weißt ja, dass ich mich zuletzt noch mal intensiv mit dem Thema Sicherheit auseinandergesetzt habe. Ich besitze zwar immer ein Backup, aber Hacker Angriffe sind trotzdem unheimlich nervig. Ich habe jetzt allerdings kaum noch auf Plugins gesetzt, sondern vieles einfach direkt selbst über Codes geregelt. Im Grunde habe ich damit alle Punkte, die du aufgelistet hast, einfach so gemacht. So ist es ein Risiko weniger. Allerdings hatte ich bisher ein gutes Spamfilter Plugin, dass leider nicht mehr so gut funktioniert. Das muss ich also auch schon wieder dran. Irgendwie ist es doch eine never ending Story.
Liebste Grüße an dich
genialer beitrag, den werde ich gleich verlinken!
Hallo Diana und alle Kommentierenden
genau das ist mir passiert. Mein Blog wurde gehackt.Da ich einen Admin habe, weil ich mich technisch nicht auskenne, bin ich absolut hilflos und wirklich traurig. Ich dachte schon daran alles aufzugeben. Allmählich sehe ich kein Land mehr. Es kommt immer wieder zu unerwünschten Werbeeinschaltungen.! Hat jemand schon ähnliche Erfahrungen gemacht?
Die Website gebe ich erst mal gar nicht bekannt zum Schutz.Lg. Gabi
Hi Diana,
hab Dank für den informativen Beitrag! Ich habe im März 2017 zu Wordpress gewechselt und der Lernprozess ist längst noch nicht zu Ende. Du hast mir Neuigkeiten zu IThemes security geliefert, das werde ich gleich mal checken.
Viele Grüße
Karen
Toller Artikel, vielen Dank! Grüße Andreas
Super Webseite, danke für diesen tollen Beitrag… werde hier auch in Zukunft zurückgreifen 😉 DANKE !!!! Liebe Grüße Mia