Schritt 1: WordPress Admin Benutzer umbenennen und löschen
Als ersten wichtigen Schritt empfehle ich dir, den Benutzer “Admin” umzubenennen. Da alle WordPress Websites nach der Installation den Benutzer “Admin” automatisiert als Administrator angelegt bekommen, haben Hacker, Bots und Scripts sich darauf eingestellt WordPress-Installationen mit diesem Benutzernamen anzugreifen.
Um dem zuvorzukommen, erstellen wir ein neues Adminprofil und löschen den Benutzer “Admin”.
Schritt 2: Ein ausgefallenes Passwort wählen und 2-Faktor-Authentifizierung einstellen
- Wähle im Dashboard “Benutzer” → “Neu hinzufügen”
- Erstelle einen individuellen, nicht leicht zu erratenden Benutzernamen (Tipp: nehme nicht deinen eigenen Namen)
- Weise dem neuen Benutzer die Rolle “Administrator” zu
- Lösche den Benutzer “Admin”
Experten-Tipp
WordPress gibt dir die Option, bei deinen Benutzereinstellungen ein "starkes Passwort" zu erstellen. Nutze diese Möglichkeit und verwende dieses vorgeschlagene Passwort.
Schritt 3: Verhindere den Zugang zu deiner Login-Seite und dem Admin-Bereich
Angreifer versuchen deine Website über die gängige Login-Page zu erreichen. Doch was wäre, wenn es diese Seite nicht gäbe? Es gibt ein sehr praktisches Plugin mit dem Namen “WPS Hide Login“.
Hiermit schützt du deine Website, indem du die Anmelde-URL umbenennst und den Zugang zur wp-login.php-Seite und dem wp-admin-Bereich verhinderst, wenn du grad nicht eingeloggt bist.
Schritt 4: Sicherheitsplugin installieren
Wie bereits erwähnt möchte ich dir wärmstens das Sicherheitsplugin “Wordfence” ans Herz legen. Dieses Plugin bietet ausreichende Einstellung um die Sicherheit deiner WordPress Website zu erhöhen. Ebenso bekommst du unverzüglich Meldungen, wenn Updates anstehen, Sicherheitslücken auftauchen oder Unbefugte sich in deine Website einloggen wollten.
Hier kannst du unter anderem einstellen, wie häufig es Nutzern möglich sein soll, ein falsches Passwort einzugeben und wann diese bei einer festgelegten Anzahl von fehlgeschlagenen Anmeldeversuchen von der Website gesperrt werden. Sehr hilfreich und absolut empfehlenswert!
Ebenso bekommst du die Informationen wie die Angriffe herkamen und mit welchen Benutzernamen versucht wurde sich einzuloggen.
Schritt 5: Plugins regelmäßigen Updaten und kontrollieren
Du solltest deine installierten Plugins immer aktuell halten, und Updates wenn möglich sofort installieren, da Hacker vorrangig Sicherheitslücken in veralteten Plugins angreifen. Dies gilt ebenso für installierte Themes und veraltete WordPress-Versionen.
Trotzdem solltest du auf die Einstellung “automatisch aktualisieren” verzichten und die Aktualisierung immer selbst in die Hand nehmen, da es sein kann, dass aktualisierte Plugins nicht mehr mit deinem Theme oder andere Plugins kompatibel sind und so Fehler auf deiner WordPress Webseite entstehen können. Sie dir hierzu gerne meinen Beitrag “Kritischer Fehler in WordPress auf Grund eines Plugin-Konfliktes” an, sollte bei dir bereits so ein Konflikt entstanden sein.
Installiere außerdem nur aktuelle und seriöse Plugins. Lies dir die Bewertungen der Plugins durch und informiere dich gerne über den Entwickler. So verhinderst du, dass du infizierte oder schädliche Software auf deiner Website installierst.
Schritt 6: Mache regelmäßige BackUps deiner WordPress Website
Zu guter letzt empfehle ich dir, regelmäßige BackUps deiner Website zu machen. Sollte doch mal ein Angriff stattfinden oder deine Website durch einen anderen Fehler nicht mehr erreichbar sein, dann ist deine ganze Mühe nicht verloren gegangen. Setze einfach dein BackUp wieder auf und überarbeite nochmal dein Sicherheitssystem 🙂
Für WordPress BackUps empfehle ich dir das Plugin “Updraft Plus“.