Nach letzten Schätzungen laufen 60% aller Webseiten im Internet mit WordPress. Ein so populäres Content Management System ist natürlich auch bösartigen Angriffen ausgesetzt. Angefangen bei den Hass-Propaganda HackerNachrichten, bis zu übernahmen von PayPal Konten, sind viele Webseiten den Angriffen ausgesetzt. Als WordPress Seiten Besitzer müssen wir uns darauf vorbereiten und einige grundliegende Maßnahmen einleiten. Dabei müssen wir mit den einfachsten Schwachstellen anfangen, den Passwörtern. Oft sind es die Passwörter des Admin, die böswillige Besucher einladen. Mit den sogenannten Brute Force Angriffen wird eine lange Liste mit den meist genutzten Passwörtern abgearbeitet, mit denen die Hacker versuchen Ihr Konto zu benutzen. Mit einem einfachen Programm, können selbst Hobby Hacker Millionen Passwörter in der Minute an Ihrer WordPress Seite ausprobieren. Einfache Passwörter wie „12345“ sind eine Einladung für jeden Verbrecher und sollten auf jede Fälle vermieden werden.

how-to-change-wordpress-password-via-cpanelSeien Sie kreativ mit Ihren Passwörtern, versuchen Sie Name und Passwort so kreativ wie möglich zu wählen. Möglichst Wörter ohne jeden Sinn, wie „HgdeSCIE34$Sder“. Mit Sonderzeichen und ohne logischen Zusammenhang und mit Groß- und Kleinschreibung sind diese Namen und Passwörter fast nicht zu knacken.

Natürlich sollten Sie nie Ihre Eingangsdaten anderen zur Verfügung stellen. WordPress stellt Ihnen eine gute Password Verwaltung zur Verfügung, mit der Sie jedem Benutzer ein eigenes Password erstellen können. Das Sie dann nach dem Gebrauch auch immer löschen können. Vermeiden Sie das Anlegen mehrerer Admin Konten!

Sicherheitskopien! Wenn nichts mehr geht!

11505712_xxlBevor neue Plug-Ins installiert werden um die Sicherheit zu verbessern oder jegliche andere Veränderung an unserer WordPress Seite sollte immer eine Sicherheitskopie erstellt werden. Nichts ist schlimmer, als das alle Kommentare unserer Benutzer und die ganzen Inhalte verloren gehen. Der Frust der Besucher, wenn Sie tagelang nichts mehr sehen, da die Seite wieder neu installiert und eingerichtet wird. Tun Sie sich den gefallen, vor jeder Änderung an Ihrer Seite – ein kurzer Back-up! Wenn alles schief geht, steht die WordPress Seite in weniger als 10 Minuten wieder wie da wie vorher!

Aktualisierungen ein Sicherheitsfaktor?

Fast wöchentlich gibt es neue Aktualisierungen der installierten Plug-Ins und selbst von WordPress. Nach einiger Zeit werden sie lästig und man kümmert sich nur noch sporadisch darum. Dabei können sie ein wichtiger Faktor bei der Sicherheit unserer WordPress Seite sein. Meisten werden die Sicherheitslücken erst bekannt, wenn im Internet die ersten Hacker Erfolg hatten. Dann bemühen sich die Software Entwickler darum schnellst möglich die Sicherheitslücken zu schließen und eine neue Aktualisierung auf den Markt zu bringen. Wenn Sie diese als Benutzer nicht installieren, laufen Sie Gefahr potenzielle Sicherheitslücken auf Ihrer Seite zu haben! Also ist das Installieren von Aktualisierungen immer wichtig! In den „Changelogs“, also den Benachrichtigungen für die Aktualisierungen, werden manchmal wichtige Informationen zu den Gründen der Aktualisierungen mitgeschickt. Also absolut lesenswert!

Content Klau oder Copyrights?

Es ist wohl eines der frustriendesten Sachen die einem WordPress Besitzer passieren kann. Man sitzt stundenlang an neuen Artikeln, versucht sie einfach zu formulieren und möglichst interessant zu gestalten. Dann kommt ein anderer Webseiten Besitzer, findet den Text gut und kopiert ihn einfach in seine Seite. Rechtlich kann man dagegen angehen, bloß wer wird schon einen Anwalt beauftragen wegen einem Text so ein Theater zu veranstalten. Eine viel einfachere Möglichkeit bietet ein copyprotect Plug-In.

essential-wordpress-plugins-wp-copy-protect

WP-CopyProtect

Am einfachsten kann man die Texte von einer anderen Seite mit der copy&paste Funktion klauen. Mit dem CopyProtect Plug-In wird dies unmöglich. Es blockiert die Markierungs-Funktion und die rechte Maustaste zum Kopieren. Eine Nachricht ist optional und kann auf Wunsch verändert werden. Das Plug-In hat natürlich keine Konsequenzen auf die Suchmaschinen Anfragen. Dieses Plug-In verhindert sehr effektiv, das Besucher Texte einfach mit der Kopierfunktion auslesen können. Es gibt natürlich immer noch die Möglichkeit Texte zu klauen, es wird nur viel komplizierter.

SPAM – die geklaute Aufmerksamkeit!

spam-family-of-productsWir wollen für unsere Besucher da sein und Ihnen die Möglichkeit geben sich mit uns über die WordPress Seite mitzuteilen. WordPress bietet dazu die Kommentare an, in der jeder seine Meinung zu einem Artikel bekannt geben kann. Sie helfen uns die Inhalte zu verbessern oder einfach nur Lob zu bekommen. Leider werden auch Sie schon oft Kommentare bekommen haben, die absolut nichts mit Ihren Inhalten zu tun haben. Sie bekommen Werbung und unsinnige Texte. Leider müssen wir Ihnen Aufmerksamkeit schenken, das es ja Besucher sein könnten, die uns Ihre wertvollen Meinungen schicken wollen. Wir müssen Sie also lesen, auch wenn es in 100 Kommentaren nur einen ehrlichen Besucher gibt.

Um die Flut der Spam Nachrichten einzudämmen, gibt es einige Plug-Ins, hier die bekanntesten:

plugin-der-woche-antispam-bee

Antispam Bee

Eine effiziente und zuverlässige Anti-Spam-Lösung für WordPress. Antispam Bee bietet eine äußerst einfache Möglichkeit Herr über die endlosen SPAM Kommentare zu werden. Mit nur wenigen Einstellungsmöglichkeiten, kann man die gesamte WordPress Seite Spam sicher machen, ohne sich um die einzelnen Funktionen kümmern zu müssen. Antispam Bee lernt und wird in Zukunft alle Ihre nicht erwünschten Kommentare nicht mehr annehmen.

Spam Destroyer

Eine genauso einfache Lösung wie Antispam-Bee, die für sich in Anspruch nimmt, die Spam Kommentare komplett zu zerstören. Ohne jegliche Einstellungen vornehmen zu müssen, kümmert sich das Plug-In automatische um alle unerwünschten Nachrichten.

Weitere Plug-Ins, die Ihnen mehr Sicherheit für Ihre WordPress Seite bieten:

limit_login_header

Limit Login Attempts

Dieses Plug-In bietet einen sehr effektiven Schutz gegen Brute-Force Angriffe auf die Passwörter einer WordPress Seite. Es limitiert die Versuche sich mit einem Passwort zu identifizieren. Sollte ein Versuch nicht erfolgreich sein, direkt oder durch einen Cookie, sperrt das Plug-In die IP Nummer des Verursachers und schickt eine entsprechende Email. Auf Wunsch werden alle Login-Versuche registriert und man kann sich einen Report ausgeben lassen. Das gibt die Möglichkeit Angriffe zu erkennen und andere Maßnahmen zu ergreifen.

Idle Logout

Das WP-Idle Logout Plug-In erfüllt eine sehr spezifische Funktion. Es prüft ob Besucher längere Zeit inaktiv sind und logt sie dann aus. Dadurch wird eine Sicherheitslücke geschlossen, die Angreifern die Möglichkeit gibt, sich durch die aktiven Konten in das System zu schleichen.

cloud_cover

IP Blacklist Cloud

Dieses Plug-In geht einen anderen Weg um unerwünschte Nachrichten zu vermeiden. Es registriert die IP Adressen und vergleicht sie mit einer Datenbank auf seiner Webseite. Sollten sie Spam Nachrichten erkannt haben und sie als diese markieren, wird die IP Adresse automatisch in einer Datenbank aufgenommen. In der neuen Version werden sogar Benutzernamen von Spam Nachrichten registriert und abgeglichen.

Registration Honeypot

Eine einfache Plug-In Lösung um unerwünschte Spam Registrierungen zu vermeiden. Honeypot setzt ein verstecktes Feld in die Registrierung, die eine automatische Registrierung sofort versucht auszufüllen. Dies wird dann abgefangen und die Registrierung wird nicht autorisiert. Sehr einfach und sehr effektiv.

wordfence-security-blog1

Wordfence Security

Eine Premium Lösung um Ihre WordPress Seite schneller und sicherer zu Machen. Wordfence verbessert Ihre WordPress Seite vom Source Code aus und macht Sie bis zu 50-mal schneller. Außerdem werden in der kostenpflichtigen Version Sicherheitsfunktionen angeboten, die Ihre Seite rundum schützen.