Sicherheit
Es lohnt sich, die Sicherheit Ihrer Website gut im Auge zu behalten. Regelmässige Updates der WordPress-Installation und der Plugins sind ein guter Ansatz, um Sicherheitslücken zu schliessen. Daneben haben Sie zahlreiche weitere Möglichkeiten, Ihre Website sicherer zu machen.
Wir empfehlen Ihnen den Einsatz eines Child-Themes – damit sind Sie sicher, dass Ihre Anpassungen bei einem Theme-Update nicht überschrieben werden. Wie Sie ein Child-Theme erstellen, erfahren Sie im Beitrag «Ein Child-Theme anlegen – ein Must im Webdesign».
WordPress lässt sich recht sicher machen; aber es erlaubt Usern bisweilen auch, ziemlich einfache Passwörter zu setzen. Es gibt zwar Warnungen; aber teilweise bleibt es beim Mahnfinger. Sie können aber nachbessern und die Passwortrichtlinien verschärfen. Wir zeigen Ihnen wie's geht.
Die Standard-Login-Seite von WordPress ist funktional, aber ansprechend ist sie nicht. Ein individuelles Design wäre wünschenswert. Mit einem einfachen PHP-Snippet können Sie BenutzerInnen von der Standard-Login-Seite auf eine benutzerdefinierte Seite umleiten. Das ist recht simpel.
Ab und an möchten Sie vielleicht eine vollständige WordPress-Website schützen und sicherstellen, dass nur eingeloggte BenutzerInnen Zugriff auf die Inhalte haben. Dies ist besonders nützlich für private Blogs, interne Unternehmenswebsites oder Mitgliederseiten. Es gibt zahlreiche Plugins, die dies bewerkstelligen – es geht aber noch einfacher: mit einem einfachen PHP-Snippet.
Die Datei wp-config.php liegt im Serververzeichnis einer jeden WordPress-Installation. Sie ist gewissermassen die Schaltzentrale von WordPress und beinhaltet auch sensible Daten - wie etwa die Zugangsdaten (Server, Adresse, Datenbank-User und Passwort) der WordPress-Datenbank. Wenn diese Datei in falsche Hände gerät - was sie allerdings kaum tut - dann lässt sich damit viel Unfug betreiben. Doch es gibt einen kleinen Trick, um die Datei wp-config.php zu schützen.
WordPress bringt einen Code-Editor mit, in dem die Dateien des Themes und Plugin-Dateien geändert werden können. Falsch benutzt ist jedoch der Theme-Editor eine Sicherheitsrisiko. Der Editor lässt sich aber abschalten.
Nun ja: So richtig sicher vor Spambots auf Harvest-Tour sind Ihre Mailadressen nicht, sobald Sie diese auf einer Website anzeigen. Aber immerhin: Es gibt ein paar Tricks, wie Sie wenigstens etwas mehr Sicherheit erreichen können. Und wir räumen mit Scheinsicherheiten auf: Wir sagen, warum das [at] mittlerweile wirklich bloss noch ein Scherz ist.
WordPress lässt auf der Loginseite zum Backend eine unbeschränkte Anzahl Versuche zu. Das gibt Robots die Möglichkeit beliebige Kombinationen durchzuprobieren. Auch wenn der Zugriff nicht funktioniert: Die Serverlast steigt ob Brute-Force-Attacken. Doch Sie können die Zahl der vergeblichen Loginversuche beschränken.
Wenn Sie sich ins WordPress-Backend einloggen und beim Passwort oder Usernamen einen Fehler machen, ist WordPress recht freizügig mit Hinweisen: Die Login-Seite teilt mit, ob alle Eingaben falsch sind oder welcher Part nicht korrekt eingegeben wurde - das lässt Rückschlüsse zu, welcher Part passt. Sie können diese Hinweise jedoch verschleiern und schützen damit auch das Backend eine Spur besser vor unerlaubtem Zugriff.
Das Kernstück Ihrer WordPress-Installation ist die Datenbank, in welcher alle Informationen und Einstellungen Ihrer Website abgelegt sind: Ihre Beiträge, Seiten, Information zu Bildern usw. Ohne diese Datenbank ist Ihre WordPress-Website nicht mehr als ein Haufen Dateien ohne verständlichen Inhalt. Diese Datenbank sollten Sie darum regelmässig sichern, was WordPress aber mit Hausmitteln gar nicht vorsieht. Wir zeigen Ihnen, wie Sie selber automatische Backups Ihrer WordPress-Datenbank anlegen.
Einer meiner Kunden hatte einige Wochen nach dem Launch seiner Website unerklärliche Posts unter seinen Beiträgen. Pure Werbung für dubiose Inhalte. Nun ja: Die Posts waren rasch gelöscht und die neuen Passwörter für die beiden Administratoren sofort gesetzt. Seither ist Ruhe. Allerdings haben wir umgehend die Sicherheit erhöht - ganz einfach mit einem Plugin, welches seither den Zwei-Faktor-Zugang sichert.
Keine Inhalte gefunden.
Werbung
