WordPress Sicherheit

WordPress-Sicherheit
Auf dieser Webseite sammeln wir Fundstücke zu Fragen nach einer optimalen Website-Absicherung von WordPress-Websites und einer Strategie für den Notfall.

Links zum Thema WordPress-Sicherheit

• WordPress.org-Tipps: WordPress absichern
  https://codex.wordpress.org/de:WordPress_absichern
      
• WordPress Security – A Pocket Guide
  Kostenloses Ebook von iThemes zum Download
  https://ithemes.com/publishing/wordpress-security
      
• WPRecon: WordPress Security Tips
  http://wprecon.com/wordpress-security-tips/
      
• WPRecon: WordPress Sicherheitstest
  http://wprecon.com
      
• Kuketz IT-Security Blog
  https://www.kuketz-blog.de
  Kuketz-Artikelserie zur WordPress-Sicherheit:
  Der richtige Hoster – WordPress Sicherheit
  Basisschutz – WordPress absichern Teil 1
  Schutzmaßnahmen – WordPress absichern Teil 2
  Security Plugins – WordPress absichern Teil 3
  .htaccess Schutz – WordPress absichern Teil 4
  Serverseitiger Schutz – WordPress absichern Teil 5
  Spam-Bot Protection – WordPress absichern Teil 6
  Parasitenabwehr von Bots – WordPress absichern Teil 7
  https://www.kuketz-blog.de/der-richtige-hoster-wordpress-sicherheit-teil1
      
• Yoast: WordPress Security in a few easy steps
  Ausführlicher Blogbeitrag mit diesen Ratschlägen:
  Don’t use admin as a username
  Use a less common password
  Add Two-Factor Authentication
  Employ Least Privileged principles
  Hide wp-config.php and .htaccess
  Use WordPress security keys for authentication
  Disable file editing
  Limit login attempts
  Be selective with XML-RPC
  Hosting & WordPress security
  Stay up-to-date
  (Free) plugins & themes
  https://yoast.com/wordpress-security
      
• In fünf Schritten die WordPress-Security erhöhen
  http://t3n.de/magazin/
  fuenf-schritten-wordpress-security-erhoehen-sicheren-235764
      
• Test your WordPress Application (WPScan)
  https://hackertarget.com/wordpress-security-scan
      

WP-Login abschirmen mit HTACCESS

Geringer Aufwand mit mächtiger Wirkung
WordPress-betriebene Websites sind bevorzugtes Ziel von Hacker-Angriffen. Um eine WordPress-Installation vor den beliebten Angriffen auf die Login-Seite abzusichern, kann man zum Beispiel die wp-login.php-Datei mit einem Passwordschutz abschirmen und so verstecken.
Dazu schreibt man ein paar Codezeilen in die HTACCESS-Datei (.htaccess) und lädt eine zusätzliche HTPASSWD-Datei (.htpasswd) in das Root-Verzeichnis der Installation.
Die Details dazu beschreibt Mike Kuketz in seinem Blog:

.htaccess Schutz – WordPress absichern Teil 4
https://www.kuketz-blog.de/htaccess-schutz-wordpress-absichern-teil4/

WP-Login abschirmen mit Plugin

WordPress mit Login LockDown zusätzlich absichern
Ein anderer Weg zum gleichen Ziel führt über ein WordPress-Plugin, zum Beispiel
mit dem Plugin »Login LockDown«
https://wordpress.org/plugins/login-lockdown

Vladimir Simovic aka Perun hat anläßlich der Aktualisierung des Plugins ein Erklär-Video gedreht und einen Blogbeitrag geschrieben:
Login LockDown richtig konfigurieren und die Sicherheit von WordPress erhöhen.
http://www.perun.net/2016/09/16/login-lockdown-richtig-konfigurieren-und-die-sicherheit-von-wordpress-erhoehen/

https://youtu.be/W8SMU6qRwl8

Passwort-Sicherheit

Sichere Kennwörter einfach verwalten
Das Computermagazin c’t rät in seiner Ausgabe 18/2014 zu einem Grundpasswort, das man durchaus sicher mit Zettel und Stift verwalten kann. Das ideale Passwort besteht aus einem zufälligen Mix aus Klein- und Großbuchstaben, Ziffern sowie Sonderzeichen und ist mindestens 14 Zeichen lang. Als wären diese Vorgaben nicht schon kompliziert genug, sollte man unbedingt für jeden Dienst ein anderes verwenden.

Solche Kennwörter können Passwort-Manager ganz komfortabel auf Computer oder Smartphone generieren. Als besonders geeignet hat sich hier das kostenlose Tool KeePass erwiesen, das es für Desktop-Computer, Android- und für Apple-Geräte gibt.

Es sei keinesfalls eine schlechte Idee, sich Passwörter auf einem Zettel zu notieren. Verwahrt an einem sicheren Ort wie der Geldbörse ist die einfachste zugleich auch eine der sichersten Möglichkeiten, ein Passwort zu speichern. Schließlich greifen Trojaner nicht ins Portemonnaie und Langfinger interessiert eher das Bargeld.

Um unknackbare Passwörter mit System zu erstellen, denkt sich der Anwender ein Grundpasswort aus. Da er sich ohnehin nur noch dieses eine merken muss, sollte es auch kompliziert sein. Im nächsten Schritt fügt er nur noch ein Kürzel der jeweiligen Domain am Anfang oder am Ende an, etwa Fa für Facebook. So ergeben sich stets individuelle Passwörter.

Wer sich auch ein Grundpasswort nicht merken kann oder will, dem hilft die Passwortkarte, die das Computermagazin c’t in Ausgabe 18/2014 zum Ausdrucken vorstellt. Man trägt einfach in jedes Feld der Tabelle bis zu drei zufällige Zeichen ein, Groß- und Kleinbuchstaben gemischt, gerne auch Sonderzeichen. Aus dem Domainnamen für den jeweiligen Account lassen sich im Anschluss die Kennwörter leicht ablesen.
https://www.heise.de/ct/