+49 6762 936 80 30 info@ts-itconsult.de

In diesem Artikel zeige ich dir, wie du nach der WordPress Installation deine Seite sicherer machen kannst und dadurch einen besseren Schutz vor Hacker bekommst.

Benutze nicht 'Admin' als Anmeldenamen

Dies sollte eigentlich selbstverständlich sein, allerdings nutzen dennoch viele den Benutzer Admin. Das war früher üblich aber das bedeutet nicht, dass es heute auch noch so sein muss. Verwende bitte einen anderen Namen, der nichts mit der Domain oder dem Webseitentitel zu tun hat. Hacker testen immer zuerst den Benutzer Admin / Administrator / root.

Wenn du dein Benutzername Admin ist, dann lege ich dir nahe, dass du ihn änderst. Dies geht allerdings nur über ein Plugin oder direkt in der Datenbank.

Benutze ein starkes Passwort

Es gibt immer noch WordPress-Seiten , die als „Passwort“ oder „Passwort12345“ als Passwort nutzen.
Für deinen WordPress-Benutzer solltest du dir ein sicheres Passwort erzeugen lassen.

Dies kannst du unter Benutzer > Alle Benutzer einstellen.

Wordpress - sicheres Passwort erzeugen

 

Wenn du auch anderen Usern Zugriff auf deine Installation gibst, dann solltest du ein Plugin wie zum Beispiel Force Strong Passwords installieren.

Damit du dir die Passwörter auch merken kannst, empfehle ich den Einsatz von Passwort-Managern wie z.B. Sticky Password, KeePass oder Dashlane.

r

Ändere die Login URL

Da man sehr leicht erkennen kann, ob es sich um eine WordPress-Installation handelt, liegt es nahe, dass Hacker den Login unter /wp-admin vermuten und suchen werden. Dies ist nämlich die Standard URL die von WordPress vorgegeben wird.

Wo keine Tür ist, kann auch niemand eintreten oder sich Zugang verschaffen.

Auch hier gibt es Plugins dafür, die dies für uns ändern.
Die beiden Plugins heißen Loginizer und WPS Hide Login.
Während Loginizer viel mehr Funktionalität bietet, als nur diese URL zu verschieben, macht WPS Hide Login genau eine Sache, und die macht es gut.

Ich denke, dass es selbstverständlich ist, dass man den neuen Anmeldelink nicht gerade /admin oder /login nennen sollte!
Für Firmen bietet sich hier /Mitarbeiter bzw. /Staff an.

 

Manuelles Ändern der Login URL

Wenn du nicht noch ein Plugin installieren möchtest, kann ich das gut verstehen. Es gibt da noch die Möglichkeit, das manuell zu ändern.

Das ist natürlich etwas komplizierter als ein Plugin aber nicht wirklich schwierig.

Du solltest in der Lage sein, PHP Dateien wie zum Beispiel wp-config-php zu ändern und Zugriff auf die Datei .htaccess haben.

Schritte:

1. Füge eine Konstante zur wp-confing.php hinzu

define('WP_ADMIN_DIR', 'secret-folder');
define( 'ADMIN_COOKIE_PATH', SITECOOKIEPATH . WP_ADMIN_DIR);

 

2. Füge folgenden Filter zur functions.php hinzu

add_filter('site_url',  'wpadmin_filter', 10, 3);
 function wpadmin_filter( $url, $path, $orig_scheme ) {
  $old  = array( "/(wp-admin)/");
  $admin_dir = WP_ADMIN_DIR;
  $new  = array($admin_dir);
  return preg_replace( $old, $new, $url, 1);
 }

3. Füge diese Zeile in die .htaccess Datei hinzu
RewriteRule ^Mitarbeiter/(.*) wp-admin/$1?%{QUERY_STRING} [L]

 

~

Plugins für mehr Sicherheit

Zur weiteren Absicherung empfehle ich noch einige Plugins. Diese beinhalten viele verschiedene Dinge, abhängig vom Plugin selbst, aber im Allgemeinen erhalten Sie Malware-Scans, Login-Schutz, Web Application Firewalls, und vieles mehr.

Ich selbst nutze mittlerweile Block Bad Queries (BBQ)

  • Loginizer
  • MalCare Security
  • Sucuri (our detailed overview of Sucuri)
  • WordFence (our detailed overview of WordFence)
  • iThemes Security
  • Jetpack (or VaultPress)
  • All-in-One WP Security and Firewall
  • Block Bad Queries (BBQ)

Letztendlich ist es eine Frage des Geschmackes und am Ende ist es nicht so wichtig, welches Sicherheits-Plugin installiert wurde, sondern DASS eines installiert ist.

Du möchtest mehr über das Absichern von WordPress Seiten wissen oder du möchtest, dass ich deine Seite absichere? Dann hast du hier die Möglichkeit, mich zu kontaktieren.

Hinweis zum Kontaktformular Ich benötige deinen Namen, um dich ansprechen zu können und deine Mail-Adresse um dir antworten zu können. Je genauer du deine Anfrage stellst, desto effektiver kann ich darauf eingehen. Mein Angebot richtet sich nur an Unternehmen, Selbsständige und Freiberufler. Datenschutzhinweise Deine Anfrage wird verschlüsselt übertragen. Du erklärst dich damit einverstanden, dass ich die Angaben zur Beantwortung Deiner Anfrage verwenden darf. Weitere Informationen zum Datenschutz und Widerrufhinweise findest du im Menü unter "Datenschutzerklärung"

4 + 15 =

ts-itconsult.de wird überprüft von der Initiative-S