5+ Schritte um das WordPress Backend abzusichern

wordpress-backend-loginWordPress ist weltweit das meist verbreitete CMS und dadurch werden natürlich auch die Angriffe auf das Backend von Webseiten immer häufiger. Um sich davor zu schützen, möchten ich die meiner Meinung nach wichtigsten 5 Schritte zeigen, wie man WordPress absichert:

1. Sicheres Passwort

Auch wenn man sich admin123 leichter merken kann, ist ein sicheres Passwort der beste Schutz von allen. Es sollte aus mindestens 8 Zeichen bestehen und Klein- und Großbuchstaben und Zahlen enthalten. Zusätzlich sollte man ein eigenes Passwort erstellen und nicht auf mehreren Webseiten dasselbe verwenden.

2. Login mit einem zusätzlichen Passwort absichern

Es gibt außerdem noch die Möglichkeit das Login Fenster mit einem weiteren Passwort abzusichern. Dies wird mit einer .htaccess Datei gemacht.

3. Login nur mit bestimmter IP zugänglich machen

Ebenso ist es möglich mit der .htaccess das WordPress Backend nur für bestimmte IP zugänglich zu machen. Das macht jedoch nur Sinn wenn man eine fixe IP Adresse hat und man von dieser immer auf den Admin Bereich zugreift.

4. Login mit Google Authenticator verknüpfen (danke für den Tipp an Philipp Nagele)

Mit diesem Plugin kann man eine 2 Weg Authentifikation mittels Android/iPhone/Blackberry leicht über das Nutzerprofil einrichten. Einfach aktivieren im jeweiligen Profil – QR Code mit Smartphone einscannen und fertig.

Bonus

5. Keinen Admin Nutzer

Bei der Installation von WordPress wird der Benutzername admin vorgeschlagen. Diesen sollte man sofort ändern und bei älteren Versionen einen neuen User mit Administrationsrechten anlegen und den User admin löschen.

6. Aktuelles WordPress

Die WordPress Version sollte auf dem aktuellsten Stand sein und auch die Plugins sollten bei sicherheitsrelevanten Updates sofort nachgezogen werden.

7. Limit Login Attempts Plugin

Diese Plugin hilft Angreifer nach x fehlgeschlagenen Anmeldungen zu sperren und baut damit eine zusätzliche Barriere auf.

8. Aktueller Provider

Auch der Provider sollte für PHP und MySQL immer die Sicherheitsupdates einspielen und somit verhindern, dass über einen Hintertür eingebrochen werden kann und zum Beispiel URLs überschrieben werden oder neue Installationen in Unterordnern erstellt werden.