Es gibt so viele Leute, die zwar einen Blog betreiben, aber auf die WordPress-Sicherheit einfach keinen Wert legen. Warum ist das denn so? Es gibt so viele Meldungen aus aller Herren Länder, dass Blogs angegriffen wurden, dass Blogs gekapert wurden und all das. Dabei kann es so einfach sein, seinen Blog sicher zu gestalten. Aber es ist wie immer: Es gibt keinen absoluten Schutz.
WordPress-Sicherheit darf groß geschrieben werden
Einer meiner erfolgreichsten Artikel, seitdem es diesen Blog überhaupt gibt, ist ein Artikel über WordPress-Sicherheit. Hier schrieb ich darüber, den Blog zuzunageln. Ich bin ehrlich: Das ist jetzt nicht unbedingt ein Allheilmittel, weil man als jemand, der den Blog nur als Sprachrohr nutzt, dann keinen Dienstleister mehr einfach so einlassen kann.
Was will man stattdessen tun? Will man Prozeduren einführen, die das Anmelden absichern? Das kann allerdings auch schnell schief gehen, wie ich selbst häufig erleben musste. So wichtig man die Sicherheit für den eigenen Blog auch ansehen möchte, es kann keine absolute Sicherheit für WordPress geben. Man kann ihr aber nahe kommen.
Wie kann ich denn WordPress sicher machen?
Zunächst einmal gehört es zur WordPress-Sicherheit, nicht den Benutzer „admin“ für Administrationszwecke zu nutzen. Mittlerweile wird von WordPress auch angeboten, diesen ersten Nutzer selbst zu benennen. Sollte der Blog bereits bestehen, kann es den Nutzer allerdings geben. Dann muss man ihn umbenennen.
Bei der Installation wird auch eine Datenbank eingerichtet. Deren Tabellen tragen als Präfix „wp_“. Das ist natürlich allen bekannt. Auch das sollte umbenannt werden. Die Sicherheit erhöht man zudem durch diese Punkte:
- So viele Plugins wie nötig, so wenige wie möglich
- Plugins und Installation stets aktuell halten
- So wenige Verbindungen wie möglich zu externen Diensten
Aber darüber hinaus führt kein Weg an der 2-Faktor-Authentifizierung vorbei. Ich hatte mich dazu bereits einmal ausgelassen. Es ist nur wenig Mühe, bringt aber großen Nutzen. Eine Alternative hat Hagen Graf aufgeschrieben. Niemand bricht sich einen ab, wenn man diese Option einführt.
Und nicht zuletzt muss man sich unbedingt um eine Backup-Strategie kümmern. Hierzu habe ich häufig im Blog geschrieben, unter anderem in diesem Artikel. Machen Sie es einfach. Nichts ist schlimmer, als wenn die jahrelange Arbeit plötzlich weg ist.
Fazit
Der Blog ist immens wichtig für allerlei Menschen und Unternehmen. Folglich muss sich ein Betreiber darum kümmern, dass die WordPress-Sicherheit gewahrt wird. Ob es Benutzernamen, Zugriffsrechte, Dateinamen oder sonstwas ist, alles muss auf den Prüfstand. Und ohne 2-Faktor-Authentifizierung, Updates und Backup könnte vieles andere für die Katz‘ sein.
Technik kann ausfallen. Sie ist immer nur so gut, wie sie eingerichtet wurde und wie sie gewartet wird. Deshalb ist es immer sinnvoll, sich auch mit den Dingen zu beschäftigen, auf denen der Blog wohnt. Sonst gibt es vielleicht mal ein böses Erwachen.