Sicherheit

Zunächst einmal eines vorweg. WordPress ist von Hause schon recht sicher. Bekannte Schwachstellen werden sehr zeitnah behoben. Oftmals sind Einfallstore für Hacker unsauber programmierte Plugins und Themes, mangelnde Update Bereitschaft und Pflege der Webseite.

Man kann aber mit einigen ziemlich einfachen Maßnahmen die Sicherheit noch etwas erhöhen. Ich liste hier mal ein paar Möglichkeiten auf, die man angehen kann um seine Seite etwas "anzuhärten". Aber immer bedenken. Eine 100 prozentige Sicherheit gibt es nicht!.

• Starke Passwörter aus Buchstaben, Zahlen, Sonderzeichen und Groß- und Kleinschreibung.
  
• WordPress und die verwendeten Themes und Plugins aktuell halten.
  
• Von außen zugängliche WordPress-Dateien schützen. (wp-config.php etc.)
  
• REST-API deaktivieren sofern die Funktionalität der Webseite damit nicht eingeschränkt wird. (Manche Themes oder Plugins nutzen diese Schnittstelle).
  
• WordPress Login mit einen .htaccess Passwortschutz versehen.
  
• Interne Editoren für Theme und Plugins abschalten.
  
• Login in den Adminbereich nur über HTTPS
  
• XML-RPC Schnittstelle via .htaccess sperren und ggf. aus dem HTML-Header der Website entfernen.
  
• Installation einer Firewall wie zum Beispiel Ninja Firewall
  
• 2FA einrichten
  

Das sind einige Maßnahmen die man ergreifen könnte um seine WordPress Seite etwas mehr abzusichern. Solche Dinge wie Limit Login Attempts, andere Namen für den Administratoren, wp-login.php verschieben bringen nicht wirklich etwas oder schrecken nur die sogenannten Script-Kiddies ab.

Was ebenfalls noch sehr wichtig ist in meinen Augen. Installiert nicht jeden "Müll" von irgendwelchen Seiten! Oder gar sogenannte Nulled-Themes bzw. Plugins. Achtet schon ein wenig von woher ihr Plugins oder Themes bezieht. Erfordert vielleicht etwas Recherche über den Autor/Entwickler, lohnt sich aber auf jeden Fall. Und testet Themes und Plugins (generell jede Änderung an eurer Seite) auf einer Entwicklungsumgebung.

Damit hältst du 99% aller automatisierten Login-Attacken ab. Du müsstest schon eine sehr große und erfolgreiche Webseite haben, damit du dediziert von einem Hacker angegriffen wirst und der sich die Zeit nimmt und deine Seite intensiv zu untersuchen.

Wir halten diese Methode für sehr effektiv! Das wird man auch später in den Logs sehen, wie die Brute-Force Login Versuche ins Leere gehen.