Webseiten vor Cyber-Angriffen schützen?!
Wordpress ist das am häufigsten verwendete Content Management System, zur Erstellung von Webseiten. Was als Content Management System zur Erstellung von Blogs begann, hat sich in den letzten Jahren zu dem Standard für Webseiten aller Art etabliert. Nicht nur Blogs können mit WordPress erstellt werden, sondern fast jede Art von Webseiten. Mittlerweile gibt es auch eine große Anzahl an Online Shops, die auf Basis von WordPress laufen.
WordPress Sicherheit
Die Einrichtung einer WordPress Seite ist für nicht technische Anwender sehr einfach. Diese Seite nun auch gegen Cyberangriffe zu schützen, stellt allerdings eine Herausforderung dar, die oft unterschätzt wird. Es gibt unzählige Plugins und Konfigurationen, die dabei helfen die WordPress Webseite sicherer zu machen. Ich zeige nun, welche ich verwenden würde, um meine Seite zu schützen. Es sei hier aber angemerkt, dass es nicht „den“ richtigen Weg gibt. Es kann auch mit anderen Kombinationen von Plugins ein ähnlicher Schutz erreicht werden. Als Disclaimer noch vorweg, ich habe keine Kooperationen mit irgendwelchen Plugins. Alles was ich in diesem Video nenne, ist meine eigene Meinung.Login URL verstecken und Admin umbenennen
Die Standard Login URL ist webseitenname/wp-admin. Diese Sollte definitiv geändert werden, da jeder Angreifer diese URL kennt und somit Angriffe auf den Login des Backends starten kann. Hierzu nutze ich das Plugin WPS Hide Login. Nach der Installation geht man auf Settings und auf General und kann die neue Admin URL eintragen. In meinem Fall habe ich „adminlogin“ gewählt. Damit ist der Admin Bereich nun nicht mehr über „/wp-admin“ erreichbar, sondern über „/adminlogin“. Bei der Wahl der URL sollte man etwas kreativer sein als ich. Somit erreicht man, dass ein Angreifer nicht auf einfache Weise den Login der Seite findet. Ganz wichtig keiner der Benutzernamen sollte leicht zu erraten sein. Daher darf kein Nuzter „admin“ heißen oder einen Namen haben, den man als Angreifer leicht erraten kann. Ich habe beispielsweise bei mir auf der Webseite täglich Angreifer, die sich mit dem Benutzernamen „admin“ versuchen einzuloggen. Diesen Benutzer gibt es nicht, daher werden die IPs der Angreifer auch direkt gesperrt.Zwei-Faktor Authentifizierung
Die 2-Faktor Authentifizierung ist ein Muss für jeden WordPress Seite. Wie funktioniert das. Nun, neben dem Username und Passwort muss man bei der Anmeldung noch einen zusätzlichen Code angeben. Dieser wird jedes Mal neu erzeugt. Ich nutze das Plugin „Two Factor Authentication“ für diesen Zweck. Dazu installiert man sich die Microsoft Authenticator App auf seinem Smartphone. Die App gibt es sowohl für iPhones als auch für Android Geräte. In der App erstellt man eine neue Verbindung und scannt den QR-Code, den das Plugin auf der Settings Seite anzeigt. Damit ist der zweite Faktor synchronisiert und kann nun verwendet werden. Was nun noch fehlt ist, dass jeder Benutzer die Verwendung des 2FA selbst aktivieren muss. Hierfür loggt sich der User wie gewohnt auf der Seite ein und klickt links im Admin Menü auf „Two Factor Auth“ und setzt die 2FA auf „enabled“. Nach diesem Schritt ist es schon sehr viel schwerer geworden, den Admin Account Ihrer Webseite zu hacken.Automatische Security Updates
Als Erstes sollte man die automatischen WordPress Security Updates aktivieren. Dazu geht man auf das Dashboard und auf Updates. Hier kann man die entsprechenden Updates aktivieren. Als nächstes empfehle ich alle installierten Plugins auf automatische Updates zu setzen. Dadurch muss man sich um die Pflege der Updates nicht mehr kümmern und man hat automatisch immer die neuste Version der Plugins.Application Firewall
Die Einrichtung einer Web Application Firewall kann davor schützen, dass die Webseite durch verschiedene Techniken angegriffen wird. Die Firewall blockt Anfragen, wenn es Auffälligkeiten gibt. Das passiert zum Beispiel, wenn jemand versucht verschiedene Benutzernamen zu testen, die es allerdings gar nicht gibt. Hierfür nutze ich das Plugin „All In One WP Security & Firewall“. Dieses Plugin bietet eine ganze Reihe von Security Funktionen, die man aktivieren kann. Ich zeige jetzt, welche Einstellungen ich für die Firewall empfehlen würde. Im Bereich Basic Firewall Rules, genau die, wie in der Grafik gezeigt. Für Additional Firewall Rules habe ich alle Optionen aktiviert.Brute Force Blocking
Brute Force ist nichts anderes, als wenn ein Angreifer alle möglichen Kombinationen von Usernamen oder Passwörtern testet. Auch hierfür nutze ich das Plugin „All In One WP Security & Firewall“. Geht man auf die Brute Force Einstellung und anschließend auf „Login Captcha“, so kann man zusätzlich ein Captcha für den Login aktivieren. Das hat den Vorteil, dass man nicht mehr automatisiert eine große Anzahl an Angriffen auf den Login durchführen kann. Die Option, die ich gewählt habe, zeige ich in dem Screenshot. In den Brute Force Einstellungen unter „Honeypot“ sollte man die Option auch aktivieren.Login Lockdown
Hierunter verstehen wir, dass man sich nur eine bestimmte Anzahl an fehlerhaften Logins leisten kann, bevor man geblockt wird. Auch hier hilft mir wieder das Plugin „All In One WP Security & Firewall“. In den Einstellungen des Plugins für „User Login“ findet man den Tab „Login Lockdown“. Hier empfehle ich die Konfiguration, wie im Bild dargestellt.Bonus Tipp: Backups
Die Erstellung regelmäßiger Backups sollte man immer durchführen. Ich weiß, dass es eine lästige Sache ist, daher kann man die Erstellung von Backups der WordPress Seite auch automatisieren. Hierfür nutze ich das Plugin „Duplicator Pro“. In der Pro Version habe ich die Möglichkeit einen Zeitplan festzulegen, an dem Backups erstellt werden sollen. Also beispielsweise jeden zweiten Tag. Diese Backups kann ich nun automatisch in einem Cloud-Dienst wie Google Drive oder Dropbox speichern und habe somit immer eine Vollständige Kopie meiner WordPress Seite. Wenn es nun dazu kommt, dass die Seite aus irgendwelchen Gründen nicht mehr funktioniert, dann kann ich mir die komplette Seite mit allen Daten und allen Plugins eins-zu-eins aus einem der Backups wiederherstellen lassen.
Wenn Ihnen dieses Video gefallen hat, dann hinterlassen Sie einen Like und abonnieren Sie meinen Kanal: