WordPress ist das beliebteste Content Management System im Internet. Fast ein Drittel aller Seiten im Netz sind WordPress Seiten. Der Nachteil dieser Popularität ist, dass WordPress Seiten ein lohnendes Ziel für Hacker Angriffe sind.

Wir zeigen ihnen wie sie mit wenigen Schritten ihre WordPress Seite sichern, so dass Skript-Kiddies und Möchtegern-Hacker keine Chance haben.

1. Führen sie regelmäßig Backups ihrer Seite durch.
   Wenn es hart auf hart kommt und ihre Seite durch einen Angriff kompromittieren wurde können sie mit einer aktuellen Backup Version ihre Seite schnell wiederherstellen.
   Ein beliebtes und einfach zu handhabendes Plug-In für das Erstellen von Backups und deren Wiederherstellung ist UpdraftPlus.
2. Halten sie ihre WordPress Installation auf dem neuesten Stand
   Aktualisieren sie auf die neueste WordPress Version und halten sie auch ihre Themes und ihre Plug-Ins auf dem neusten Stand. Deaktivieren und löschen sie Themes und Plug-Ins, die sich nicht benötigen.
   Damit sie sich nicht erst in der WordPress Admin Console anmelden müssen, um zu sehen, welche Aktualisierungen anstehen, gibt es Plug-Ins wie „Update Notifier“.
   Installieren sie nur sichere zuverlässige Plugins und Themes. Installieren sie nur die nötigsten Plugins und deaktiviere und löschen sie Plug-Ins und Themes, die sie nicht benötigen.
3. Vergeben sie komplexe Passwörter, die sie regelmäßig wechseln.
   Ein komplexes Passwort hat Zahlen,  Groß- und Kleinbuchstaben, Symbole.
   Am besten geht das vergeben und managen von komplexen Passwörtern über eine Passwortmanager wie z.B. Dashlane.
4. Ändern sie den Standard Administrator-Benutzernamen
   Angreifer versuchen sich zunächst mit dem Standard „admin“ Nutzer auf ihrem System anzumelden. Das ändern dieses Benutzernamens ist daher der wichtigste Schritt um Angriffe abzublocken. Dazu erstellen sie zunächst einen neuen Administrator Benutzer. Loggen sie mit diesem Admin Account ein und löschen dann den Original „admin“ Benutzer. Benutzernamen, die sie ebenfalls unbedingt meiden sollten sind: Der Domainname als Benutzername, oder leicht erratbare Begriffe wie „adminstrator“, „demo“, „login“, „author“ oder ähnliches.
5. Deaktivieren sie die Registrierung für ihre Site
   In WordPress gibt es die Möglichkeit, dass Besucher sich auf ihrer Seite registrieren können. Für bestimmte Seiten ist das sehr nützlich (z.B. für einen Mitgliedsbereich), aber für andere Seiten ein Sicherheitsrisiko. Achten sie darauf, dass in den WordPress Einstellungen im Dashboard unter „Allgemein“ der Punkt „Mitgliedschaft – Jeder kann sich registrieren“ nicht aktiviert ist. Die „Standardrolle“ sollte immer „Abonnent“ sein (niemals Administrator).
6. Deaktivieren sie den Datei-Editor im WordPress Dashboard
   Administatoren können über die Editor-Funktion im WordPress Dashboard direkt Änderungen an Plug-In und Theme Dateien vornehmen. Das ist bequeme, aber auch ein Risiko, falls es zu einem unberechtigten Zugriff kommt. Es gibt eine einfache Möglichkeit den Editor in der Admin Konsole zu deaktivieren und so den Zugriff auf die Dateien zu sperren. Tragen sie die folgende Zeile im WP config Datei ihre WordPress Installation ein:
   define( ‚DISALLOW_FILE_EDIT‘, true);
   Und zwar genau über diesem Komment /* That’s all, stop editing! Happy blogging. */

Wenn sie diese sechs Sicherheitsmaßnahmen beachten haben Script-Kiddies und Möchtegern-Hacker auf ihrer Webseite überhaupt keine Chance!