Artikelbild zu "WordPress sicher machen" auf dauleben.de
WordPress

Wor­d­Press-Si­cher­heit für An­fän­ger

So viele Sicherheitstipps - aber welche bringen Einsteigern was und sind umsetzbar? Ein paar Anregungen aus neun Bloggerjahren

Es ist völ­lig egal, wie neu oder alt, be­kannt oder un­be­kannt Dein Blog ist: Be­vor der ers­te Be­su­cher zur Tür rein­schaut, wa­ren die Spam­mer und Ha­cker schon da. Es ist nie zu früh, sich um die Blog­si­cher­heit zu küm­mern.

Im Lau­fe der Jah­re ent­wi­ckelt je­der ei­ge­ne Stra­te­gi­en, um sei­ne Web­site bes­ser zu ver­rie­geln und In­hal­te zu schüt­zen. Die­se Stra­te­gi­en ver­än­dern sich na­tür­lich; ein paar Ga­ran­ten der Ver­gan­gen­heit brin­gen es heu­te nicht mehr, Fach­leu­te er­wei­tern den Ho­ri­zont.

Mei­ne ak­tu­el­le Si­cher­heits­trup­pe möch­te ich Dir nun vor­stel­len, wo­bei ich hier al­les weg­zu­las­sen ver­su­che, was für An­fän­ger zu kom­pli­ziert sein könn­te. Ob die­se Trup­pe auch für Dich rich­tig ist, weiß ich nicht; ich ha­be da­mit zu­min­dest sehr gu­te Er­fah­run­gen ge­macht. Bis heu­te wur­de ich noch nie ge­hackt, und mein Spam­auf­kom­men hat sich deut­lich re­du­ziert. Ei­nen selbst­ver­ur­sach­ten To­tal­crash ha­be ich mit blau­em Au­ge über­stan­den, die meis­ten Da­ten konn­ten ge­ret­tet wer­den. Ins­ge­samt kei­ne schlech­te Bi­lanz, und ich hof­fe, dass Du mit den fol­gen­den Tipps Dei­ne In­hal­te gut be­wah­ren kannst.

Wäh­rend der In­stal­la­ti­on: Prä­fix wp_​än­dern

Hast Du Wor­d­Press be­reits in­stal­liert? Falls nicht, kannst Du fol­gen­den Kniff wäh­rend der In­stal­la­ti­on an­wen­den. Wenn Wor­d­Press Dich nach den Da­ten fragt, dann än­de­re das Prä­fix wp_​in ir­gend­et­was In­di­vi­du­el­les, et­wa wp_​fpx90.

Tabellenpräfix bei der WordPress-Installation ändern

Die Da­ten­ban­ken be­gin­nen al­le mit dem Prä­fix wp_​, das wis­sen auch Ha­cker. Ma­chen wir es ih­nen nicht so leicht, die sol­len schon kno­beln, wenn sie un­be­dingt an un­se­re Ju­we­len wol­len.

Du hast Dein Blog schon längst in­stal­liert und nichts am Prä­fix ge­än­dert? In die­sem Fall lass lie­ber al­les, wie es ist; es gibt ja noch an­de­re Si­cher­heits­maß­nah­men. Man kann das Prä­fix zwar nach­träg­lich än­dern, zum Bei­spiel mit ei­nem „Si­cher­heits­mons­ter“ wie Acu­n­e­tix. Mei­nes Er­ach­tens ste­hen da Auf­wand und Ri­si­ko nicht im sinn­vol­len Ver­hält­nis zum Er­geb­nis. Und es kann na­tür­lich auch et­was schief­ge­hen bei so ei­nem Da­ten­bank­ein­griff. Muss nicht sein.

Ad­min-Be­nut­zer­na­me und Pass­wör­ter

Ich hof­fe, dass Du über die­sen Rat mil­de lä­chelst, aber es gibt nach wie vor Men­schen, die Na­men und Pass­wör­ter ver­ge­ben, als woll­ten sie den Ha­ckern ein Täss­chen Tee an­bie­ten. Egal, wo Du Dich re­gis­trierst: Ver­wen­de nie­mals Na­men wie ad­min oder ein­fach Dei­nen be­kann­ten Vor­na­men und schon gar kei­ne Frei-Haus-Pass­wör­ter wie 1 2 3 4.

Ob Du zu­sätz­lich ein An­mel­de-Cap­t­cha-Plug­in ver­wen­den willst, bleibt Dir über­las­sen. Mit ei­ner gut funk­tio­nie­ren­den Fire­wall (sie­he wei­ter un­ten) ist das nicht nö­tig, scha­den wird es nicht.

Wid­get mit An­mel­dung raus­schmei­ßen

Wenn Du Wor­d­Press auf­ge­spielt hast, siehst Du – je nach The­me und Ein­stel­lun­gen ent­we­der in der Sei­ten­leis­te oder im Fuß­be­reich – ein Me­ta-Wid­get: Es stellt für Dei­ne Le­ser Links zum Abon­nie­ren der Feeds zur Ver­fü­gung und er­mög­licht es Dir, Dich be­quem ein­zu­log­gen.

Metawidget im WordPress-Blog aus der Sicht eines unangemeldeten Besuchers
Me­ta­wid­get aus der Sicht ei­nes un­an­ge­mel­de­ten Be­su­chers

Auch wenn es so be­quem wä­re: Schmeiß das Ding raus. „Aber wie kom­me ich dann in mein Ad­min­cen­ter, wo log­ge ich mich ein?“ Über den Brow­ser. Da gibst Du die Adres­se der Log­in-Sei­te ein; Du kannst sie auch als Le­se­zei­chen ab­spei­chern: www.DeinBlogName.de/wp-admin oder www.DeinBlogName.de/wp-login.php.

Klar, wer un­be­fugt in Dein Blog will, schafft das auch oh­ne die­ses Wid­get; das ist aber kein Grund noch Ein­la­dun­gen mit Gold­rand zu ver­schi­cken.

Sys­tem pfle­gen und up­daten

Ge­wöhn dir bit­te an, das Sys­tem zu pfle­gen und auf dem neu­es­ten Stand zu hal­ten. Wenn Wor­d­Press ei­ni­ge klei­ne Si­cher­heits­än­de­run­gen vor­nimmt, ak­tua­li­siert sich das Sys­tem frü­her oder spä­ter selbst. Das ist prak­tisch.

Al­le an­de­ren Up­dates – neue Wor­d­Press-Ver­sio­nen, Plug­ins, The­mes – sind Dein Job. Er­le­di­ge ihn. Erst mal ei­ne Da­ten­bank­si­che­rung ab­sol­vie­ren, dann die Up­dates auf­spie­len. Nicht über­le­gen, nicht raus­zö­gern, ein­fach ma­chen. Rou­ti­nen auf­bau­en hilft.

Au­gen auf beim In­stal­lie­ren und In­stal­lier­tes über­wa­chen

Funk­tio­nel­le Er­wei­te­run­gen fürs Blog – Plug­ins – ma­chen Spaß, und man möch­te sich ge­ra­de als An­fän­ger am liebs­ten je­des Fea­ture aufs Blog pa­cken, das man krie­gen kann. Ein biss­chen Spaß muss auch sein. Zu viel Ex­trakrem­pel be­las­tet je­doch die Per­for­mance des Blogs, und Plug­ins kön­nen auch Är­ger ma­chen, wenn sie feh­ler­haft pro­gram­miert wur­den. Vor ei­ner In­stal­la­ti­on wür­de ich al­so erst mal durch­at­men und die Fra­ge vor­an­stel­len: Brau­che ich die ge­wünsch­te Funk­ti­on wirk­lich? Oder auch: Will ich sie un­be­dingt? Will ich wirk­lich?

Wenn dem so ist: In­for­mie­re dich, so­weit mög­lich, über das Plug­in. Zu­ver­läs­si­ger Au­tor? Er­fah­run­gen an­de­rer User? Ein ers­ter klei­ner An­halts­punkt kann die die Zahl der Down­loads sein. Ein be­reits in­stal­lier­tes Plug­in soll­te auf Dei­nem Blog rei­bungs­los lau­fen; klei­ne oder grö­ße­re Zi­cke­rei­en nach der In­stal­la­ti­on wol­len gut be­ob­ach­tet sein. Wenn of­fen­kun­dig al­les in Ord­nung ist, bleibt die Fra­ge, ob das Plug­in un­be­merkt Scha­den an­rich­ten oder Si­cher­heits­pro­ble­me ver­ur­sa­chen kann.

Schau in un­re­gel­mä­ßi­gen Ab­stän­den auch nach, ob Plug­ins, die gut ge­pflegt wur­den, plötz­lich von ih­ren Au­to­ren im Stich ge­las­sen wer­den. Grund­sätz­lich soll­ten Plug­ins von ih­ren Au­to­ren re­gel­mä­ßig ak­tua­li­siert wer­den, pau­scha­li­sie­ren kann man das aber nicht. Es gibt et­li­che Plug­ins, die seit meh­re­ren Jah­ren kei­ne Werk­statt von in­nen ge­se­hen ha­ben und im­mer noch ta­del­los funk­tio­nie­ren.

Wie Du all dies als Laie ein­schät­zen kannst? Ein­fach ist es nicht. Auf­schluss dar­über, ob ein Plug­in un­be­merkt „spu­ken“ könn­te, gibt wie­der ein Blick in die Be­wer­tun­gen zum Plug­in im of­fi­zi­el­len Ver­zeich­nis von Wor­d­Press. Be­rich­ten da neu­er­dings User von Pro­ble­men?

Viel­leicht wur­de über ein Plug­in so­gar schon ge­b­loggt. Ha­ben et­wa ver­trau­ens­wür­di­ge Aus­ken­ner po­si­tiv über ein Plug­in oder The­me be­rich­tet, kann man schon et­was ent­span­nen. Goog­le hilft wei­ter, und es ist oh­ne­hin ei­ne gu­te Sa­che, sich ei­nen Vor­rat an Blogs an­zu­le­gen, de­ren Au­to­ren man traut und de­ren Ar­ti­kel man so re­gel­mä­ßig wie mög­lich liest.

All das gilt üb­ri­gens ge­nau­so für The­mes. Bei The­mes möch­te ich Dir noch mal be­son­ders ans Herz le­gen, auf die Quel­len zu ach­ten. Was im of­fi­zi­el­len Ver­zeich­nis von Wor­d­Press ge­lis­tet ist, hat schon mal ei­ni­ge Kon­trol­len mehr durch­lau­fen als The­mes auf frei­er Wild­bahn, wo­bei es da je­de Men­ge gu­te und se­riö­se Quel­len gibt. Auch dar­über er­fährst Du mit wach­sen­der Lek­tü­re und Er­fah­rung mehr und kannst die An­bie­ter bes­ser be­ur­tei­len.

Kom­men­tar­spam­schutz: Anti­spam Bee ab­wehr­si­cher kon­fi­gu­rie­ren

Wenn Du wis­sen willst, wie Kom­men­tar­spam aus­sieht: Wirf ei­nen Blick in Dei­nen E-Mail-Spam-Ord­ner und stell Dir vor, die In­hal­te die­ser Mails stün­den als Kom­men­ta­re un­ter Dei­nen Bei­trä­gen. So in et­wa. Kom­men­tar­spam ist wie vie­les an­de­re häu­fig au­to­ma­ti­siert. Falls Du al­so denkst „Ach, bei mir kom­men­tiert doch kaum je­mand“: Ro­bo­tern ist das völ­lig wurscht, die quas­seln in den ent­le­gens­ten Win­keln des Net­zes.

Vor zwei Jah­ren er­schien ein Ar­ti­kel, der da­von be­rich­te­te, dass der Kom­men­tar­spam so­gar wie­der zu­ge­nom­men hät­te. Be­vor Du zu der ganz har­ten Maß­nah­me greifst und die Kom­men­ta­re aus­schal­test, emp­feh­le ich Dir erst mal das Plug­in Anti­spam Bee. Anti­spam Bee ist da­ten­schutz­kon­form und leis­tet gran­dio­se Ar­beit – wenn Du die Ein­stel­lun­gen op­ti­mierst.

Die optimalen Einstellungen für das Plugin "Antispam Bee"Viel zu er­klä­ren gibt es da nicht. Mach ein­fach, was ich ge­macht ha­be, und al­les ist gut.

Bei ei­ni­gen Ein­stel­lun­gen wür­de ich aus­pro­bie­ren, was gut für Dich läuft. An­de­re sind ein­fach Ge­schmacks­sa­che.

Ganz wich­tig ist, dass bei „Öf­fent­li­che Spam­da­ten­bank be­rück­sich­ti­gen“ kein Häk­chen ge­setzt ist. So bleibt die Bie­ne da­ten­schutz­freund­lich; wür­dest Du die Op­ti­on an­kli­cken, hät­test Du zwar bes­se­ren Spam­schutz, doch deut­lich we­ni­ger Rechts­si­cher­heit. Al­so Fin­ger weg da­von.

Das ist ja doof, denkst Du viel­leicht. Aber Anti­spam Bee hat Al­ter­na­ti­ven, die Dich die öf­fent­li­che Da­ten­bank schnell ver­ges­sen las­sen.

Du kannst auf je­den Fall die „lo­ka­le Da­ten­bank ein­be­zie­hen“. Das er­for­dert aber, dass ge­fun­de­ner Spam nicht ge­löscht wird, son­dern zu Bie­nen­lern­zwe­cken in der Da­ten­bank bleibt. Das funk­tio­niert, ich hat­te das lan­ge Zeit so auf der kuh­haut. Ir­gend­wie moch­te ich den gan­zen Müll aber nicht in der Da­ten­bank las­sen; und das muss auch nicht sein.

Es gibt näm­lich die­se wun­der­ba­re Ka­te­go­rie „Bei de­fi­nier­ten Spam­grün­den so­fort lö­schen“.

Die Einstellungen für Antispam Bee, um Kommentarspam sicher auszuschließenFalls das Käst­chen leer ist, bit­te erst mal ak­ti­vie­ren. Und dann zwei Op­tio­nen mar­kie­ren: CSS Hack und Fake ID, das seit kur­zem mit „Ge­fälsch­te IP“ über­setzt wird. Es ist nicht ganz leicht, bei­de gleich­zei­tig blau zu krie­gen, nur Ge­duld. Wenn Du Win­dows hast, funk­tio­niert es wie folgt: Erst mal CSS Hack an­kli­cken, ge­klickt las­sen und dann mit ge­drück­ter Alt­Gr-Tas­te auf Fake ID bzw. Ge­fälsch­te IP kli­cken. Ab­spei­chern. Für den Fall, dass nach die­sen Maß­nah­men wei­ter­hin Spam durch­rutscht, kannst Du die Op­ti­on BB­Code mit hin­zu­neh­men.

Seit ich die­se drei Spam­grün­de ak­ti­viert ha­be, steht mei­ne Kom­men­tar­spa­man­zei­ge kon­stant auf Null.

Black­list Up­dater und An­ti Vi­rus

Ser­gej Mül­ler hat noch zwei wei­te­re emp­feh­lens­wer­te Plug­ins ent­wi­ckelt.

In punc­to Kom­men­tar­spam kannst Du gleich nach­le­gen und Dir den Black­list Up­dater in­stal­lie­ren. Der kommt aus dem­sel­ben Hau­se wie Anti­spam Bee (da das Plug­in län­ger nicht ak­tua­li­siert wur­de, wird hier noch der Ori­gi­nal­au­tor an­ge­ge­ben) und ak­tua­li­siert die Kom­men­tar­b­lack­list von Wor­d­Press. Klei­ne, aber fei­ne Sa­che.

An­ti Vi­rus ist sim­pel zu be­die­nen. Die ein­zi­ge klei­ne Ein­stei­ger­hür­de sind die Fehl­alar­me, die für Neu­lin­ge schwer ein­zu­schät­zen sind: Wenn ein The­me frisch in­stal­liert ist und ei­gent­lich zu­ver­läs­sig ar­bei­tet, me­ckert An­ti Vi­rus höchst­wahr­schein­lich we­gen et­was Harm­lo­sem: ein­fach den Such­lauf ma­nu­ell durch­füh­ren, die mar­kier­ten Stel­len als in Ord­nung ver­se­hen und spei­chern.

Li­mit Log­in At­tempts: Ler­ne Dei­ne Fein­de ken­nen

Falls Du noch kei­ne Er­fah­rung mit Wor­d­Press hast, emp­feh­le ich Dir, Li­mit Log­in At­tempts zu in­stal­lie­ren. Es gibt zwei Plug­ins glei­chen Na­mens. Der Link führt zum Klas­si­ker, der zwar schon lan­ge nicht mehr ak­tua­li­siert wur­de, aber im­mer noch welt­weit auf vie­len Blogs ein­ge­setzt wird.

Was tut die­ses Plug­in für Dein Blog? Zu­nächst et­was, das man ei­gent­lich gar nicht mehr so drin­gend bräuch­te. Stell Dir vor, ein An­grei­fer möch­te sich über Dein Wor­d­Press-Log­in Zu­tritt ver­schaf­fen. Er pro­biert wie­der und wie­der Kom­bi­na­tio­nen aus Na­men und Pass­wör­tern aus. Mit Glück knackt er die Sper­re ir­gend­wann und Du hast un­er­be­te­nen Be­such. Li­mit Log­in At­tempts passt auf: „Oha, da ver­sucht je­mand mit ei­ner be­stimm­ten IP-Adres­se schon zum zehn­ten Mal bei uns ein­zu­bre­chen (die­se Häu­fig­keit kannst Du selbst ein­stel­len, es kön­nen auch drei oder 20 Mal sein). Jetzt reicht’s, den sper­ren wir.“ Wenn Du ein Schus­sel bist, soll­test Du die Schwel­le nicht zu nied­rig set­zen: Hast Du mal Dein Pass­wort ver­ges­sen, hält Li­mit Log­in At­tempts Dich ganz schnell für ei­nen un­ge­be­te­nen Be­su­cher und sperrt Dich aus.

Na, das ist doch trotz­dem ei­ne tol­le Funk­ti­on, oder? Jein. Heut­zu­ta­ge lau­fen die An­grif­fe auf Wor­d­Press-Sei­ten au­to­ma­ti­siert und sehr ge­schickt. So­bald ei­ne IP ge­sperrt ist, wech­selt der An­grei­fer sie ein­fach und macht mun­ter wei­ter. Trotz­dem ist so ei­ne Sper­re bes­ser als nichts.

Aber der wah­re Ge­winn liegt wo­an­ders. Du kannst die Ak­tio­nen pro­to­kol­lie­ren las­sen und bist so­mit in­for­miert, wie oft und mit wel­chem Na­men Ein­bruchs­ver­su­che statt­ge­fun­den ha­ben. Auf die­se Wei­se bin ich vor län­ge­rer Zeit dar­auf ge­sto­ßen, dass so­gar un­ter mei­nem ei­gent­lich ver­bor­ge­nen Ad­min­na­men Log­in­ver­su­che statt­fan­den. Dar­auf­hin ha­be ich zwei wei­te­re Plug­ins ge­fun­den, die ge­nau das un­mög­lich ma­chen. Seit­dem ist Ru­he. Oh­ne Li­mit Log­in At­tempts wä­re ich dar­auf nie ge­kom­men. Na­tür­lich er­fährst Du gleich, wel­che zwei Plug­ins mich da­mals ge­ret­tet ha­ben.

WP Aut­hor Slug: Ad­min­na­men ver­schlei­ern

Von Dir ver­öf­fent­lich­te Ar­ti­kel las­sen sich un­ter dem so­ge­nann­ten Aut­hor Slug ein­se­hen. Wer weiß, wie das geht, sieht nicht Dei­nen of­fi­zi­el­len Au­tor­na­men, son­dern den Ad­min­na­men. Um das zu um­ge­hen, wird all­ge­mein emp­foh­len, für sich selbst zwei Kon­ten an­zu­le­gen: ein Ad­mi­nis­tra­ti­ons­kon­to und ein Re­dak­teurs­kon­to. Du kannst auch die Ar­ti­kel als Ad­min schrei­ben und dann „Dei­nem“ Re­dak­teur zu­wei­sen.

Die mei­ner Er­fah­rung si­chers­te Lö­sung ist, grund­sätz­lich da­für zu sor­gen, dass Dein Ad­min­na­me nir­gend­wo drau­ßen zu se­hen ist. Und das geht mit dem Plug­in WP Aut­hor Slug, das Du auch auf der Au­to­ren­sei­te von Kon­stan­tin Oben­land fin­dest.

Das Plug­in ruft kei­ne ei­ge­ne Ein­stel­lungs­sei­te auf, son­dern in­te­griert sei­ne Op­tio­nen un­ter „Be­nut­zer“, sie­he fol­gen­de Ab­bil­dung. Du be­kommst vom Plug­in ei­ni­ge Vor­schlä­ge, die auf Dei­nem Spitz­na­men oder Dei­nem Re­al­na­men ba­sie­ren.

Einstellungen des Plugins "Edit Author Slug"Such Dir ei­nen aus, dann wer­den Dei­ne Ar­ti­kel zu­künf­tig nicht mehr un­ter dem Ad­min­na­men an­ge­zeigt.

Was das Plugin "Edit Author Slug" bewirkt: gewünschter Autorname wird in der Übersicht angezeigt

Edit Aut­hor Slug: Au­tor-Ka­te­go­rie um­be­nen­nen

Mit dem Plug­in Edit Aut­hor Slug von Bran­don Al­len kannst Du auch noch der Au­tor-Ka­te­go­rie ei­nen in­di­vi­du­el­len Na­men zu­wei­sen.

Statt dauleben.de/author… stün­de dann bei­spiels­wei­se dauleben.de/schreiberling… in der Sta­tus­zei­le des Bro­wers. Wie sinn­voll das ist? Teils, teils. Au­to­ma­ti­sier­te An­grif­fe und Ab­fra­gen nach „aut­hor“ wer­den ins Lee­re lau­fen. Al­ler­dings ver­steckt man die Ka­te­go­rie ja nicht wirk­lich, weil sie in der Brow­ser­zei­le er­scheint. Als Zu­satz­ab­si­che­rung ist das ganz in Ord­nung.

Log­in-Sei­te um­be­nen­nen

Um­be­nen­nen kann man bei Wor­d­Press nicht nur die Au­tor­ka­te­go­rie oder den ei­ge­nen Na­men, son­dern vie­les mehr, man braucht nur das rich­ti­ge Plug­in da­für.

Re­na­me wp-login.php nimmt sich der Log­in-Sei­te an: In­stal­lie­ren, um­be­nen­nen und na­tür­lich die neue Adres­se gut mer­ken, sonst stehst Du selbst oh­ne Schlüs­sel vor Dei­ner ei­ge­nen Tür. Durch­aus ei­ne brauch­ba­re Idee, aber noch bes­ser ge­fal­len mir die fol­gen­den, weit­aus um­fas­sen­de­ren „Tür­ste­her“.

Fire­wall fürs Blog: Nin­ja Fire­wall oder BBQ

Frü­her oder spä­ter wirst Du le­sen, dass Dein Blog un­be­dingt ein mäch­ti­ges Si­cher­heit­plug­in braucht. Wor­d­fence ist ei­nes der be­kann­tes­ten, das oben­ge­nann­te Acu­n­e­tix ge­hört eben­falls in die­se Ka­te­go­rie.

Sol­che Plug­ins ver­mit­teln ein Ge­fühl um­fas­sen­der Si­cher­heit, sie sind aber nicht ganz un­pro­ble­ma­tisch. Ich ha­be mich durch die Se­cu­ri­ty-Rei­he von fast­wp ge­fut­tert. Wenn Du Dau­le­ben schon bes­ser kennst, weißt Du, dass ich den Au­tor Da­vid Keu­lert sehr schät­ze, weil er Blog- und Tech­nik­dog­men im­mer wie­der auf den Prüf­stand stellt. Da­vid hält nicht all­zu viel von gro­ßen Si­cher­heits­plug­ins im Blog und er­klärt in der Ar­ti­kel­rei­he fun­diert, war­um.

Aber Mil­lio­nen von zu­frie­de­nen Usern kön­nen nicht ir­ren, denkst Du viel­leicht. Ja, klar: Si­cher­heits­plug­ins sind nicht per se schlecht, und so­lan­ge nicht Ne­ga­ti­ves pas­siert, ge­fal­len sie ei­nem. Ge­nau des­halb woll­te ich wis­sen, wie es sich aus­wirkt, wenn ich das Schwerg­wicht weg­las­se und dem Rat von fast­wp fol­ge: ei­ne Fire­wall in­stal­lie­ren und an­sons­ten mit .ht­ac­cess-Ein­trä­gen und we­ni­gen an­de­ren Maß­nah­men bzw. Plug­ins er­gän­zen. Bei mir hat das bis­lang pri­ma funk­tio­niert.

Die zwei Fire­wall-Plug­ins, die sich da­für gut eig­nen, sind BBQ (Block Bad Que­ries) von Jeff Starr und die Nin­ja­Fire­wall. Bei­de sind in zwei Va­ri­an­ten er­hält­lich: kos­ten­frei und pro mit mehr Funk­tio­nen. Da­vid Keu­lert rät zu den Pro-Ver­sio­nen, mir fehlt bei mei­nem Free­ware-Nin­ja nichts. Die Pro-Op­tio­nen sind für Pro­fis si­cher reiz­voll, ich wä­re da­mit eher über­for­dert.

Was ist nun der Un­ter­schied zwi­schen BBQ und Nin­ja? Ganz ein­fach. BBQ in­stal­lierst Du und – nichts. Wirk­lich nichts. Da­nach gibt’s kei­ne Ein­stel­lun­gen mehr, kei­ne Kon­trol­le, ein­fach in­stal­lie­ren und ma­chen las­sen. Bei der Pro-Ver­si­on ist das et­was an­ders, da kannst Du selbst ei­ni­ges ein­stel­len. Ich mei­ne, dass BBQ für Ein­stei­ger, die am liebs­ten so we­nig wie mög­lich kon­fi­gu­rie­ren möch­ten, ide­al ist. Nin­ja kommt mir bes­ser ent­ge­gen, weil ich doch ei­ni­ges selbst ent­schei­den und be­ob­ach­ten möch­te; al­ler­dings for­dert ei­nem das Plug­in zu Be­ginn ein paar Ein­stel­lun­gen ab, die blu­ti­gen An­fän­gern Furcht ein­flö­ßen kön­nen. Un­ter an­de­rem muss man selbst et­was in die .ht­ac­cess-Da­tei ein­tra­gen. Wenn Du so et­was noch nicht ma­chen möch­test, liegst Du mit BBQ rich­tig.

Back­ups an­le­gen

Die gol­de­ne Re­gel des Blog­gens kommt zum Schluss: Le­ge re­gel­mä­ßig Back­ups an.  Du wur­dest ge­hackt? Ein Plug­in hat die Web­site zer­brö­selt? Du hast am Lay­out ge­bas­telt und plötz­lich war da bloß noch ei­ne wei­ße Sei­te zu se­hen? So et­was pas­siert frü­her oder spä­ter fast je­dem Blog­ger, und dann kön­nen Back­ups Dei­ne Web­site vor dem si­che­ren Aus ret­ten.

Es gibt meh­re­re Plug­ins, die sich an­bie­ten, ich stel­le Dir zwei von de­nen vor, die ich im Ein­satz hat­te und die m. E. die best­mög­li­che Funk­tio­na­li­tät bie­ten. Da­zu ge­hört auch, dass Du im Ernst­fall weißt, wo Dein Back­up liegt und wie Du den ge­si­cher­ten Be­stand wie­der­her­stellst.

Aus die­sem Grund emp­feh­le ich An­fän­gern Up­draft­Plus, mit dem sich ei­ne Si­che­rung auch zu­rück­spie­len lässt. Up­draft lief bei mir frü­her auf al­len Blogs und hat gut ge­ar­bei­tet.

Wenn Du et­was fort­ge­schrit­te­ner bist, könn­te Dir auch BackW­Pup ge­fal­len, das ich heu­te ver­wen­de.

Üb­ri­gens: Ein gu­ter Pro­vi­der, der selbst Si­che­run­gen Dei­ner Web­site an­legt und Dir im Ernst­fall un­kom­pli­ziert, un­bü­ro­kra­tisch und oh­ne Kos­ten­zu­schlag hilft, ist Gold wert.

Fa­zit

War’s das? Nein, noch lan­ge nicht. Es so gibt so vie­le wert­vol­le Tipps und Me­tho­den zur Ab­si­che­rung von Wor­d­Press-Blogs bzw. -Sites. Sie grei­fen aber tie­fer ins Sys­tem ein und er­for­dern et­was mehr Wis­sen.

Als An­fän­ge­rin hät­te ich mich da­mit nicht aus­ein­an­der­set­zen wol­len, und so war das Ziel die­ses Ar­ti­kels auch nicht, Dir sämt­li­che Me­tho­den an die Hand zu ge­ben, son­dern sol­che, die Du hof­fent­lich zu Be­ginn Dei­ner Lauf­bahn be­reits um­set­zen kannst. Such Dir das raus, wo­mit Du klar­kommst.

Kurz nach der In­stal­la­ti­on emp­feh­le ich Dir be­son­ders ei­ne Fire­wall, ein Back­up-Sys­tem und die Kom­men­tar­spam-Ab­wehr. Al­les an­de­re kannst Du nach Be­darf mit der Zeit aus­pro­bie­ren.

Auch in­ter­es­sant

3 Kommentare zu “Wor­d­Press-Si­cher­heit für An­fän­ger

  1. Hal­lo, ein sehr in­ter­es­san­ter Ar­ti­kel!
    Ich ha­be ei­ne Fra­ge zu den Se­cu­ri­ty Plug­ins BBQ und Nin­ja Fire­wall. Soll­te man in je­dem Fall nur ei­nes der bei­den lau­fen las­sen oder er­höht es die Si­cher­heit, wenn bei­de in­stal­liert sind? Oder ist dies di­rekt eher ne­ga­tiv?
    Vie­len Dank für die Ant­wort, Vie­le Grü­ße
    Björn

  2. Sabrina Tomasi

    Hal­lo Björn,

    dan­ke erst mal.

    Ich wür­de eher nur ei­nes der bei­den Plug­ins lau­fen las­sen. Im Grun­de be­wir­ken sie ja das Glei­che, nur auf un­ter­schied­li­che Wei­se, und na­tür­lich kön­nen sie sich auch mal in die Que­re kom­men. Rein theo­re­tisch, denn ich hat­te auch schon bei­de Plug­ins gleich­zei­tig in Be­trieb, „Dau­le­ben“ hat’s über­stan­den. Das war aber eher ein Test, in­zwi­schen ist hier nur Nin­ja im Ein­satz.

    Ich ken­ne Dei­nen Wis­sens­stand nicht – falls Du ganz frisch mit Wor­d­Press star­test, bist Du, glau­be ich, mit BBQ gut be­dient. Du kannst dann spä­ter bei Be­darf im­mer noch auf Nin­ja um­stei­gen oder Dir die kos­ten­pflich­ti­ge Va­ri­an­te von BBQ gön­nen.

    Vie­le Grü­ße
    Sa­bri­na

  3. Gu­ter Ar­ti­kel. Nin­ja fin­de ich auch su­per, das ein­zi­ge was mich da rich­tig stört ist dass der Plug­in-Au­tor der­art im Ver­bor­ge­nen bleibt. Die Web­site liegt z.B. in Frank­reich aber de­ren Of­fice-Times sind UTC+07:00 (In­do­chi­na Time). Im­pres­sum? Nö.
    Da weiß man nie, ob sich die­se cle­ve­re Tech­no­lo­gie nicht mal plötz­lich ge­gen ei­nen wen­det?

    Für Backups/​Restore ar­bei­ten wir gern mit Du­pli­ca­tor Pro.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Scroll Up