Wie sichere ich den Adminbereich von WordPress ab?

Schon von Berufs wegen als ITler ist sind mir zwei Dinge schon immer sehr wichtig:

• Backup, Restore oder allgemein die Sicherheit meiner Daten gegen Beschädigung und Verlust
• Sicherheit der Anwendungen gegen Diebstahl und unbefugtes Eindringen bzw. Veränderung

Diese beiden Themen treiben mich natürlich auch auf meiner Webseite um. Das Backup und Restore Thema habe ich schon vor einigen Monaten recht gut lösen können, dazu in einem weiteren Beitrag gerne mehr.

Das Sicherheitsthema in WordPress ist schon auf so viele Webseiten durchgekaut worden. Ich möchte euch nur ein meiner Meinung nach geniales Plugin hinweisen das euch hilft den Adminbereich von WordPress zu schützen. Die Sicherheit in WordPress basiert auf vielen kleinen Faktoren. Je mehr ihr von diesen kleinen Faktoren beachtet desto sicherer wird das Gesamtkonzept der Seite. Hier eine kleine Tabelle die euch sicherlich hilft:

• Tabellenpräfix anpassen. In einer Standardinstallation lautet der Präfix wp_ und sollte auf einen Fantasiewert angepasst werden.
• Benutzernamen anpassen. Nehmt für die Administrativen Arbeiten nicht den Redakteurszugang mit dem ihr auch Beiträge verfasst. Und nennt den Administrator nicht Administrator. „Administrator“ ist ein Zustand, kein Name!
• Passwörter möglichst komplex halten. Jaja, da mag ich gar nichts mehr dazu schreiben. Macht bitte vernünftige Passwörter, und bewahrt diese dann nicht unter der Tastatur auf.
• Aktualisierungen sofort bzw. zeitnah einspielen. Und zwar nicht nur vom WordPress Kernsystem, sondern auch von allen PLugins und Themes. Dass kann man automatisieren – und muss sich dann nur noch prüfend darum kümmern.
• Keine Dateien aus unklaren Quellen verwenden. Sprich ich würde nur Plugins und Themes verwenden deren Herkunft ich kenne.

Den WordPress Administrator Login Bereich absichern

Als einen weitern Baustein empfiehlt es sich den Login Bereich von WordPress zu sichern. Der Grund und die Vorgehensweise ist recht simpel.

Standardmäßig ist der Login Bereich immer unter der URL http://Domäne.tld/wp-admin zu erreichen. Nun ist es ein leichtes zu versuchen hier eine funktionierende Benutzername:Passwort Kombination zu testen. Gerade wenn der Administrator auch noch Administrator heist steigt die Chance auf 50% das korrekte Passwort zu erraten.

Abhilfe kann hier das Plugin WPS Hide Login schaffen.

WPS-Hide-Login

Es verändert die Adresse zum Adminbereich auf einen frei zu wählenden Wert. Dieser kann nach der Installation und Aktivierung von im Adminbereich unter der Rubrik Einstellungen gewählt werden.

WPS-Hide-Login

Nun laufen alle Angriffe auf die Adresse /wp-admin ins Leere.

Besonders gefällt mir die Einfachheit mit der Wirkungsvoll die WordPress Installation geschützt wird, Daumen hoch!