Quellen: KrautPress → WPCheckliste.de
Mein Blog ist zu klein und unbedeutend um für Hacker interessant zu sein.
Webmasta Duba.blog
Genau das stimmt nicht (siehe Punkt 7)! Mit etwas Vorwissen, Willen und ohne Stress schafft man die folgenden neun Punkte in 30 bis 45 Minuten. Dieser Zeitaufwand ist mir mein guter Schlaf wert.
Also packen wir´s an:
WordPress Sicherheitscheckliste
- SSL: Sicher deine Seite!
- Bei vielen (guten) Providern ist ein SSL-Zertifikat im Preis bereits inkludiert. Wenn nicht, probier den kosstenlosen Dienst Let’s Encryt SSL.
- Regelmäßige Backups
- Ist vielleicht auch in eurem Paket mit dabei. Ich benutze das kostenlose Plugin UpdraftPlus und bin bis dato zufrieden.
- Nutzt du die neueste WordPress-Version?
- Damit ich mir diese Frage nicht mehr stellen muss hab ich das Managed WordPress Hosting Paket von IONOS gewählt. Ansonsten sollte regelmäßig im Dashboard/Aktualisierungen kontolliert werden.
- Kein „admin“-Benutzer!
- Ein NoGo der ersten Stunde! Falls das bei der Fall ist legt einen neuen User (mit Admin-Rechten!) an und löscht den User „admin“. Noch mehr Sicherheit bringt das Ändern der WordPress Admin-Url.
- Entferne unbenutzte Themes und Plugins
- Was die Themes betrifft würde ich zumindest ein „Fall back“-Theme behalten falls das Eigene mal abstürzt. Zu empfehlenn ist dafür des jeweils akktuelle WordPress Default-Theme. Zu den Plugins: Auch deaktivierte Plugins sollten gelöscht werden!
- Themes und Plugins aktualisieren
- Achtung: Vorher Datensicherung (siehe Punkt 2).
- Limit Login Attempts
- Das Plugin Limit Login Attempts wird vielseits empfohlen, da es automatisierte Login-Versuche (brute-force attacks) zuverlässig blockiert und den Angreifer aussperrt. Selbst mein Duba.blog mit nur einem Besucher hat schon Attacken aus Malaysien und Taiwan hinter sich!
- Nutze sichere Passwörter
- Das weis ja wohl jeder … aber die Wenigsten halten sich daran. Tip: SaferInternet.at
- Zwei-Faktor-Authentifizierung
- Mit einer Zwei-Faktor-Authentifizierung zusätzlich zu deinem Passwort kann dein WordPress-Konto effektiv vor fremdem Zugriff geschützt werden. Zusätzlich sollte Zwei-Faktor-Authentifizierung mindestens für alle Benutzer mit Administrator-Rechten aktiviert werden. Mein Tipp: “Two Factor Authentication” von den Autoren von “UpdraftPlus” (für mich das Backup Plugin!)
Wem dieser Check zu aufwendig ist oder das technische Verständnis fehlt der kann dazu dem Profi Simon Kraft anheuern (siehe WP-Checkliste/audit).
Ich denke ernsthaft darüber nach die € 200,- zu investieren.
Was sagt ihr dazu? Ich sage „Bis bald und Bleibts gsund!“
