WordPress sicher einstellen

Heu­te geht es um die Sicher­heit von Web­sites, ins­be­son­de­re um die Sicher­heit von Word­Press-Web­sites.

Schnap­pen Sie sich Stift und Papier. Machen wir uns ein paar Noti­zen. Num­mer eins. Die aller­ers­te ist Ihr Hos­ting-Unter­neh­men. Sie müs­sen eine gute Hos­ting-Fir­ma wäh­len. Nun, es gibt hier ein paar ver­schie­de­ne Varia­blen, aber ich kann das ein­fach zusam­men­fas­sen und sagen : „Wäh­le nicht das bil­ligs­te.“

Num­mer zwei auf mei­ner Lis­te ist die Wahl des The­mes und Ihre Wahl der Plugins. Ver­wen­den Sie nicht ein­fach ein kos­ten­lo­ses The­ma und ver­su­chen Sie, die kos­ten­lo­sen Plugins zu ver­mei­den, wenn Sie kön­nen. Ich weiß, dass das nicht immer mög­lich ist, aber wenn Sie das Plugin kau­fen, tes­ten Sie es, ver­su­chen Sie es. Wenn es eine Pro-Ver­si­on gibt, aktua­li­sie­ren Sie es, damit Sie die Updates stän­dig erhal­ten, damit Sie die Benach­rich­ti­gun­gen erhal­ten. Und Leu­te, nur so neben­bei, wenn Sie eine neue Word­Press-Web­site ein­rich­ten, stel­len Sie bit­te sicher, dass Sie beim Erstel­len der Ein­rich­tung Ihre Daten­bank­da­tei­en in etwas siche­res umbe­nen­nen, nicht nur in den Stan­dard, denn alle Hacker ken­nen nur den Stan­dard.

Der nächs­te auf der Lis­te. Num­mer drei ist ein gutes, star­kes Word­Press-Sicher­heits-Plugin. Nun, es gibt drei oder vier wirk­lich gute. Mein Team und ich ver­wen­den Wor­d­fence. Und es erle­digt für uns das, was wir brau­chen. Das Wich­tigs­te ist, dass Sie sicher­stel­len müs­sen, dass Sie nach der Ein­rich­tung die Log­in-URL ändern, damit es sich nicht nur um wp-admin oder wp-login.php han­delt. Jeder Hacker auf der Welt weiß, dass dies die gene­ri­schen Stan­dard-Log­ins sind. Und Word­Press kommt mit einer gan­zen Rei­he von gene­ri­schen Stan­dard-Din­gern, die was sind ? Jeder Hacker auf der Welt weiß davon. Sie müs­sen also sicher­stel­len, dass Sie eini­ge davon ändern.

Eine wei­te­re Sache, die Sie tun soll­ten, ist die Begren­zung der Anmel­de­ver­su­che. Stan­dard­mä­ßig lässt Word­Press Sie immer wie­der ver­su­chen. Sie kön­nen dies mit einem guten Sicher­heits-Plugin tun, und wir haben unse­res so ein­ge­stellt das es auf drei begrenzt, was bedeu­tet, dass, wenn Sie sich irren, Ihre IP-Adres­se ver­folgt, pro­to­kol­liert und geschwärzt wird, so dass Sie kei­nen Zugriff mehr erhal­ten nach 3 Ver­su­chen.

Sie soll­ten sich auch, wenn es ange­mes­sen ist, die Begren­zung Ihrer Anmel­de­zei­ten anse­hen. Sagen wir zum Bei­spiel hier in Deutsch­land, wenn wir einen Kun­den haben, der wirk­lich nur tags­über, wäh­rend der Geschäfts­zei­ten, an sei­ner Web­site arbei­tet, wer­den wir Log­in-Ver­su­che deak­ti­vie­ren zu ande­ren Zei­ten. Nach Geschäfts­schluss, mit­ten in der Nacht. Wir brau­chen nicht, dass jemand aus Russ­land um 3 Uhr mor­gens kommt und die­se Web­site hackt. Also tref­fen wir die Vor­sichts­maß­nah­men und begren­zen die Anmel­de­zei­ten.

Eine wei­te­re Sache, die Sie tun soll­ten, und die­se Sicher­heits-Plugins wer­den sich für Sie dar­um küm­mern, wes­halb es so wich­tig ist, dass Sie Ihre Word­Press Ver­si­ons­num­mer ver­ste­cken. Wenn ein Hacker weiß, wel­che Ver­si­on von Word­Press bei Ihnen läuft, und Sie viel­leicht nicht ganz auf dem neu­es­ten Stand sind, weiß er, wie er hin­ein­kommt. Es ist ein­fach, es ist offen­sicht­lich. Es ist ein­fach so, wie es ist.

Sie soll­ten sich auch die Deak­ti­vie­rung der Plugin- und The­me-Edi­tor-Optio­nen anse­hen. Die Leu­te kön­nen rein­kom­men, und wenn sie eine Hin­ter­tür zu Ihrer Web­site fin­den, wer­den sie Ihr The­me, Ihre Vor­ga­ben angrei­fen und bear­bei­ten und ändern. Sie kön­nen die­se Art von Ände­run­gen ver­hin­dern, indem Sie Bear­bei­tun­gen auf Stan­dard­da­tei­en beschrän­ken oder ver­hin­dern.

Bit­te, bit­te, bit­te benut­zen Sie ein star­kes Pass­wort. Es gibt eine tol­le Web­site da drau­ßen, Strong Pass­word Gene­ra­tor. Goog­le ein­fach, wenn es sein muss, und es wird Pass­wör­ter erstel­len, zufäl­li­ge Zei­chen ver­wen­den, alle mög­li­chen Din­ge, die es nahe­zu unmög­lich machen, dass die Leu­te in der Lage sind, die­ses spe­zi­el­le Pass­wort zu erra­ten, her­aus­zu­fin­den, zu trai­nie­ren und zu kna­cken.

Ich wer­de auch emp­feh­len, dass Sie nicht Ihren Admi­nis­tra­tor, Ihr Admin-Kon­to, für die Ver­öf­fent­li­chung von Inhal­ten ver­wen­den. Haben Sie auf vie­len Blog-Bei­trä­gen bestimmt schon gese­hen und da ist der Admi­nis­tra­tor-Benut­zer­na­me ? War­um soll­ten Sie die­sen stan­dard­mä­ßig an Hacker ver­ge­ben ? Bewah­ren Sie statt­des­sen Ihre Admin-Log­ins sicher und geschützt auf, und erstel­len Sie ein Edi­tor-Log­in, das Sie dann für die Ver­öf­fent­li­chung von Inhal­ten ver­wen­den.

Und genau das soll­te heut­zu­ta­ge offen­sicht­lich sein, aber nicht für alle. Bit­te benut­zen Sie nicht den Admin als Benut­zer­na­men. Das ist der Stan­dard, wenn Sie eine neue Word­Press-Web­site ein­rich­ten. Wir sagen das schon seit … wie lan­ge gibt es Word­Press schon ? Nun, vie­le Jah­re. So lan­ge sagen wir es schon. Wenn Sie immer noch Admin als Benut­zer­na­men für die Anmel­dung ver­wen­den, sind Sie ein Narr und ver­die­nen es, gehackt zu wer­den. Hören Sie sofort auf, ändern Sie es.

Wie kön­nen Sie das tun, weil Sie den Benut­zer­na­men eigent­lich nicht ändern kön­nen ? Sie log­gen sich ein, erstel­len für sich selbst ein neu­es Admin-Kon­to mit einem ein­deu­ti­gen Admin-Benut­zer­na­men und einem star­ken Pass­wort, dann log­gen Sie sich aus, log­gen sich über das neue Kon­to ein und löschen das alte. Gleich­zei­tig über­tra­gen Sie natür­lich den Inhalt auf Ihr neu­es Kon­to. Ver­zei­hen Sie mir, wenn das ein wenig hart ist, aber es ist so wich­tig dass Sie das tat­säch­lich tun.

Ich wer­de auch vor­schla­gen, dass Sie Ihre Pass­wör­ter alle 90 Tage ändern.

Eine ande­re Sache, die eine groß­ar­ti­ge Idee ist, ist ein­fach die Feh­ler­mel­dung zu ändern. Wir spre­chen im Moment über die Anmel­dung. Also ändern Sie die Log­in-Feh­ler­mel­dung. „Hal­lo, Ihr Benut­zer­na­me ist falsch.“ Nein, sagen wir dem Hacker nicht. Ein­fach so etwas wie : „Das ist nicht ganz kor­rekt.“ Es sagt weder den Benut­zer­na­men noch das Pass­wort, es sagt dem ver­such­ten Hacker nicht, was falsch ist. Es sagt nur : „Hey, nicht ganz kor­rekt. Du musst es noch­mal ver­su­chen, Kum­pel.“ Und natür­lich haben Sie Ihre Limit-Log­in-Ver­su­che an, also sind sie nach drei Mal weg, kei­ne Chan­ce.

Ein wei­te­rer Vor­schlag ist, dass Sie eine Zwei-Fak­tor-Authen­ti­fi­zie­rung ver­wen­den könn­ten, bei der Sie sich ein­fach ein­log­gen und viel­leicht ein SMS-Code an Sie geschickt wird. Goog­le hat die­se Mög­lich­keit, ein­fach auf einer Web­site ein­zu­rich­ten, oder man loggt sich ein und dann gibt es eine zwei­te Fra­ge, den Mäd­chen­na­men der Mut­ter, den bes­ten Freund der Kat­ze, die Tan­te am Ende der Stra­ße, so etwas in der Art. Sie pas­sen es an, Sie ent­schei­den, was es sein soll. Aber das sind wich­ti­ge Din­ge für die Sicher­heit.

Und ernst­haft, Leu­te, wenn Sie ein Online-Geschäft betrei­ben ist das extrem wich­tig. Es ist genau­so schlimm, wenn Ihre Web­site gehackt wird, wie Ihr Geschäft in der Nähe, wenn ein Fens­ter ein­ge­schla­gen wird und Sie für einen Tag schlie­ßen müs­sen, wäh­rend es repa­riert wird. Und all der Van­da­lis­mus und der Müll und die Pro­ble­me, das ist das­sel­be.

Deak­ti­vie­ren Sie die Datei­be­ar­bei­tung. Denn eines der Din­ge, die Hacker tun, wenn sie erst ein­mal drin sind, imple­men­tie­ren sie und inji­zie­ren Code in die­se Stan­dard­da­tei­en. Sie müs­sen das deak­ti­vie­ren. Es ist unwahr­schein­lich, dass Sie, wenn Sie kein Ent­wick­ler sind, dort mit dem Edi­tie­ren beschäf­tigt sind, wenn Ihre Web­site erst ein­mal online ist. Also deak­ti­vie­ren Sie es.

Num­mer sechs. Sie soll­ten ein SSL-Zer­ti­fi­kat ver­wen­den, um die grü­ne Sperr­leis­te für die Brow­ser zu erhal­ten. Das sichert den Daten­trans­fer zwi­schen Ihrer Web­site und Ihrem Brow­ser, nicht nur für Ihre Kun­den, son­dern auch für Sie mit Ihren Log­in-Daten. Das ist neben­bei auch extrem wich­tig weil Brow­ser heu­te auf­merk­sam machen wenn eine Web­sei­te nicht mit SSL aus­ge­führt wird. Sie wol­len doch kei­ne Kun­den ver­lie­ren nur weil der Brow­ser sagt das Ihre Web­sei­te nicht sicher ist ?

Sie soll­ten Ihre Web­site auch regel­mä­ßig auf Mal­wa­re über­prü­fen. Num­mer sie­ben auf der Lis­te. Mal­wa­re, Viren, alles, was auf dem Ser­ver gelan­det ist.

Als nächs­tes soll­ten Sie sich über­le­gen, ob Sie Ihre wp-con­fig oder Ihre htac­cess-Datei ver­ste­cken.

Nun, was Sie auch tun müs­sen, ich glau­be, wir sind bei Num­mer 10 auf der Lis­te, ist, dass Sie Ihr The­ma und Ihre Plugins auf dem neu­es­ten Stand hal­ten müs­sen. Ich soll­te das eigent­lich nicht ein­mal sagen müs­sen, aber Sie müs­sen es tun. Lus­tig ist, dass bei einer der Web­sites, die wir erst kürz­lich repa­riert haben, der Hack nicht über die Web­site, son­dern über ein Plugin kam. Und natür­lich kam es dadurch, weil das Plugin auf der Web­site nicht auf dem neu­es­ten Stand war. Also kam der Hack auf die­sem Weg durch. Und er inji­zier­te Code und ver­ur­sach­te ein Umlei­tungs­pro­blem. Das sind also die Din­ge, die Sie selbst ein­stel­len müs­sen.

Das Nächs­te auf der Lis­te. Sichern, sichern, sichern. Las­sen Sie es mich noch ein­mal sagen : Sichern Sie regel­mä­ßig, alles, min­des­tens ein­mal im Monat sichern. Wöchent­li­che Daten­bank-Back­ups sind das abso­lu­te Mini­mum, das wir für unse­re Kun­den haben. Wir machen auch sie­ben Tage lang Ser­ver-Back­ups, falls es jemals ein Pro­blem gibt, und das muss man haben, Leu­te, denn hier liegt der Unter­schied.

Die 6 wichtigsten Dinge, die Sie wissen müssen, bevor Sie sich selbst programmieren beibringen

Den­ken Sie dar­über nach, wie Sie sich selbst Pro­gram­mie­ren bei­brin­gen kön­nen ?

Zu wis­sen, wie man pro­gram­miert, ist eine der wert­volls­ten Fähig­kei­ten, die man haben kann. Aber sich selbst das pro­gram­mie­ren bei­zu­brin­gen, ist kei­ne leich­te Auf­ga­be. Es erfor­dert har­te Arbeit, Hin­ga­be und Geduld. Das Erler­nen von Code geschieht nicht von heu­te auf mor­gen, daher müs­sen Sie für die lan­ge Stre­cke vor­be­rei­tet sein.

Wie blei­ben Sie auf Ihrer Rei­se auf dem rich­ti­gen Weg ?

1. Wie Ihr Code aus­sieht
Es ist immer wich­tig, sich vor Augen zu hal­ten, dass Sie Code für Men­schen schrei­ben.

Daher ist es äußerst wich­tig, wie Ihr Code aus­sieht und sich liest. Das bedeu­tet, dass Sie das immer tun soll­ten :

  • Gute Ein­rü­ckun­gen haben
  • Benen­nen Sie Ihre Varia­blen kor­rekt
  • Kei­nen gebro­che­nen Code hin­ter­las­sen
  • Kei­ne Kom­men­ta­re hin­ter­las­sen
  • Von Anfang an ist es sehr wich­tig, dar­auf zu ach­ten, wie Ihr Code aus­sieht.

2. Wis­sen, war­um Sie Code ler­nen wol­len
Es gibt so vie­le Rich­tun­gen, in die Sie gehen kön­nen, wenn Sie ein­mal gelernt haben, wie man kodiert, dass Sie sich im Vor­aus ein Bild davon machen kön­nen, was Sie tun wol­len, um Ihren Fokus ein­zu­gren­zen.

Wol­len Sie Web­sites erstel­len ? Was ist mit Com­pu­ter­spie­len ? Oder wol­len Sie viel­leicht ein pro­fes­sio­nel­ler Pro­gram­mie­rer wer­den ?

Sie kön­nen Ihre Mei­nung im Lau­fe der Zeit immer wie­der ändern, aber wenn Sie eine Vor­stel­lung davon haben, was Sie tun wol­len, kön­nen Sie sich davor bewah­ren, Din­ge zu ler­nen, die Sie nicht wis­sen müs­sen. Und wenn Sie ein Ziel vor Augen haben, sind Sie moti­viert, wei­ter­zu­ma­chen.

3. Hän­gen Sie sich nicht zu sehr an die Kodie­rung von Spra­chen.
Wenn Sie anfan­gen, sich selbst Code bei­zu­brin­gen, wer­den Sie schnell fest­stel­len, dass es eine Men­ge von Codier­spra­chen gibt, aus denen Sie wäh­len kön­nen.

Die Wahl einer die­ser Spra­chen kann sich wie eine über­wäl­ti­gen­de Ent­schei­dung anfüh­len, aber regen Sie sich nicht zu sehr dar­über auf.

Es gibt kei­ne „bes­te Spra­che“ in der Codie­rung, und wenn man eine ein­mal gelernt hat, ist es ziem­lich ein­fach, ande­re zu ler­nen.

Den­noch gibt es eini­ge anfän­ger­freund­li­che­re Pro­gram­mier­spra­chen, wie z.B. Ruby. Sie kön­nen auch Java schnell ler­nen.

Und je nach­dem, was Sie tun möch­ten, sind eini­ge Pro­gram­mier­spra­chen bes­ser zu ler­nen als ande­re. Wenn Sie zum Bei­spiel eine iPho­ne-App schrei­ben wol­len, müs­sen Sie Swift ler­nen.

4. Bes­ser, ein Exper­te in einer Sache zu sein
Wenn Sie sich selbst Code bei­brin­gen, soll­ten Sie nicht ver­su­chen, ein Alles­kön­ner zu sein, denn wahr­schein­lich wer­den Sie ein­fach kein Meis­ter sein.

Anstatt zu ver­su­chen, die Grund­la­gen einer Spra­che zu erler­nen und zur nächs­ten zu wech­seln, soll­ten Sie sich daher bemü­hen, ein Exper­te in einer ein­zi­gen Spra­che zu wer­den.

Dies wird sich spä­ter als äußerst vor­teil­haft erwei­sen, wenn Sie ver­su­chen, sich bei Arbeit­ge­bern zu ver­mark­ten.

5. Set­zen Sie sich selbst in Sze­ne
Wenn Sie sich das pro­gram­mie­ren bei­brin­gen, ist es sehr wich­tig, dass Sie sich selbst in den Vor­der­grund stel­len.

Neh­men Sie Kon­takt zu groß­ar­ti­gen Pro­gram­mie­rern auf, die Sie bewun­dern, neh­men Sie an Kon­fe­ren­zen teil, inter­agie­ren Sie online mit Pro­gram­mier­ge­mein­schaf­ten. Wenn Sie sich in die Pro­gram­mier­ge­mein­schaft ein­brin­gen und in die­se ein­tau­chen, erhal­ten Sie am bes­ten unter­stüt­zen­des Feed­back zu Ihrer Pro­gram­mie­rung.

6. Sich in das Pro­gram­mie­ren ver­lie­ben
Alle gro­ßen Pro­gram­mie­rer wer­den Ihnen sagen, dass man sich wirk­lich ver­lie­ben muss in das pro­gram­mie­ren, um ein gro­ßer Pro­gram­mie­rer zu sein.

Ehr­lich gesagt, es ist wirk­lich pro­ble­ma­tisch, die schwie­ri­gen Tei­le des Selbst­stu­di­ums zu meis­tern, wenn man es nicht liebt.

Die Tech­no­lo­gie ist das, was die Welt vor­wärts bringt, und das Erler­nen des Pro­gram­mie­ren wird es Ihnen ermög­li­chen, die Welt zu ver­än­dern. Behal­ten Sie dies wäh­rend der schwie­ri­gen Pha­sen im Hin­ter­kopf.