WordPress Sicherheit – Webredaktion

WordPress-Sicherheit
Auf dieser Webseite sammeln wir Fundstücke zu Fragen nach einer optimalen Website-Absicherung von WordPress-Websites und einer Strategie für den Notfall.

Inhalt dieser Webseite:

Links zum Thema WordPress-Sicherheit
WP-Login abschirmen mit HTACCESS
WP-Login abschirmen mit Plugin
Passwort-Sicherheit

Links zum Thema WordPress-Sicherheit

WordPress.org-Tipps: WordPress absichern
https://codex.wordpress.org/de:WordPress_absichern
WordPress Security – A Pocket Guide
Kostenloses Ebook von iThemes zum Download
https://ithemes.com/publishing/wordpress-security
WPRecon: WordPress Security Tips
http://wprecon.com/wordpress-security-tips/
WPRecon: WordPress Sicherheitstest
http://wprecon.com
Kuketz IT-Security Blog
https://www.kuketz-blog.de
Kuketz-Artikelserie zur WordPress-Sicherheit:
Der richtige Hoster – WordPress Sicherheit
Basisschutz – WordPress absichern Teil 1
Schutzmaßnahmen – WordPress absichern Teil 2
Security Plugins – WordPress absichern Teil 3
.htaccess Schutz – WordPress absichern Teil 4
Serverseitiger Schutz – WordPress absichern Teil 5
Spam-Bot Protection – WordPress absichern Teil 6
Parasitenabwehr von Bots – WordPress absichern Teil 7
https://www.kuketz-blog.de/der-richtige-hoster-wordpress-sicherheit-teil1
Yoast: WordPress Security in a few easy steps
Ausführlicher Blogbeitrag mit diesen Ratschlägen:
Don’t use admin as a username
Use a less common password
Add Two-Factor Authentication
Employ Least Privileged principles
Hide wp-config.php and .htaccess
Use WordPress security keys for authentication
Disable file editing
Limit login attempts
Be selective with XML-RPC
Hosting & WordPress security
Stay up-to-date
(Free) plugins & themes
https://yoast.com/wordpress-security
In fünf Schritten die WordPress-Security erhöhen
http://t3n.de/magazin/
fuenf-schritten-wordpress-security-erhoehen-sicheren-235764
Test your WordPress Application (WPScan)
https://hackertarget.com/wordpress-security-scan

WP-Login abschirmen mit HTACCESS

Geringer Aufwand mit mächtiger Wirkung
WordPress-betriebene Websites sind bevorzugtes Ziel von Hacker-Angriffen. Um eine WordPress-Installation vor den beliebten Angriffen auf die Login-Seite abzusichern, kann man zum Beispiel die wp-login.php-Datei mit einem Passwordschutz abschirmen und so verstecken.
Dazu schreibt man ein paar Codezeilen in die HTACCESS-Datei (.htaccess) und lädt eine zusätzliche HTPASSWD-Datei (.htpasswd) in das Root-Verzeichnis der Installation.
Die Details dazu beschreibt Mike Kuketz in seinem Blog:

.htaccess Schutz – WordPress absichern Teil 4
https://www.kuketz-blog.de/htaccess-schutz-wordpress-absichern-teil4/

WP-Login abschirmen mit Plugin

WordPress mit Login LockDown zusätzlich absichern
Ein anderer Weg zum gleichen Ziel führt über ein WordPress-Plugin, zum Beispiel
mit dem Plugin »Login LockDown«
https://wordpress.org/plugins/login-lockdown

Vladimir Simovic aka Perun hat anläßlich der Aktualisierung des Plugins ein Erklär-Video gedreht und einen Blogbeitrag geschrieben:
Login LockDown richtig konfigurieren und die Sicherheit von WordPress erhöhen.
http://www.perun.net/2016/09/16/login-lockdown-richtig-konfigurieren-und-die-sicherheit-von-wordpress-erhoehen/

https://youtu.be/W8SMU6qRwl8

Passwort-Sicherheit

Sichere Kennwörter einfach verwalten
Das Computermagazin c’t rät in seiner Ausgabe 18/2014 zu einem Grundpasswort, das man durchaus sicher mit Zettel und Stift verwalten kann. Das ideale Passwort besteht aus einem zufälligen Mix aus Klein- und Großbuchstaben, Ziffern sowie Sonderzeichen und ist mindestens 14 Zeichen lang. Als wären diese Vorgaben nicht schon kompliziert genug, sollte man unbedingt für jeden Dienst ein anderes verwenden.

Solche Kennwörter können Passwort-Manager ganz komfortabel auf Computer oder Smartphone generieren. Als besonders geeignet hat sich hier das kostenlose Tool KeePass erwiesen, das es für Desktop-Computer, Android- und für Apple-Geräte gibt.

Es sei keinesfalls eine schlechte Idee, sich Passwörter auf einem Zettel zu notieren. Verwahrt an einem sicheren Ort wie der Geldbörse ist die einfachste zugleich auch eine der sichersten Möglichkeiten, ein Passwort zu speichern. Schließlich greifen Trojaner nicht ins Portemonnaie und Langfinger interessiert eher das Bargeld.

Um unknackbare Passwörter mit System zu erstellen, denkt sich der Anwender ein Grundpasswort aus. Da er sich ohnehin nur noch dieses eine merken muss, sollte es auch kompliziert sein. Im nächsten Schritt fügt er nur noch ein Kürzel der jeweiligen Domain am Anfang oder am Ende an, etwa Fa für Facebook. So ergeben sich stets individuelle Passwörter.

Wer sich auch ein Grundpasswort nicht merken kann oder will, dem hilft die Passwortkarte, die das Computermagazin c’t in Ausgabe 18/2014 zum Ausdrucken vorstellt. Man trägt einfach in jedes Feld der Tabelle bis zu drei zufällige Zeichen ein, Groß- und Kleinbuchstaben gemischt, gerne auch Sonderzeichen. Aus dem Domainnamen für den jeweiligen Account lassen sich im Anschluss die Kennwörter leicht ablesen.
https://www.heise.de/ct/