WordPress Blogs vor Angriffen durch Hacker schützen

Die Popularität von WordPress hat auch seine Nachteile: die Bekanntheit lockt immer wieder «dubiose Gestalten» an. Hacker, die versuchen, in Dein Blog einzudringen und im Backend Dinge anzustellen, die Du selbst ganz bestimmt nie tun würdest.

Es gibt verschiedene Wege, sich davor zu schützen. Ich habe mich bei Blogs und Websites unter meinen «Fittichen» (eigene Blogs wie den JobBlog oder diesen Blog hier, die Websites von Dominique Gisin und Janick Schalch usw.) für diesen dreistufigen Schutz entschieden:

  • Stufe 1: Die Hacker versuchen den Zutritt primär über den Standard-Administrator «admin». Deshalb solltest Du bereits bei der Neuinstallation einen anderen Admin-Benutzername vergeben. Für bestehende Blogs/Websites findest Du hier eine gute Beschreibung von zwei Verfahren, den Benutzer umzubenennen.
  • Stufe 2: Hacker versuchen den Angriff in der Regel nicht durch Versuche «mit der Hand am Arm», sondern setzen Scripts ein, die endlos verschiedene Benutzer-Passwort-Kombinationen ausprobieren. Diese Scripts kannst Du ins Leere laufen lassen, indem Du die IP-Adresse (temporär) sperrst, von der der Angriff ausgeht. Sehr gute Erfahrungen habe ich mit dem «Limit Login Attempts» Plugin gemacht. Das Plugin habe ich so konfiguriert, dass ich jeweils per E-Mail über Versuche und Sperrungen informiert werde.
  • Stufe 3: Die IP-Adressen von Hackern, die vom obigen Plugin gleich mehrfach gesperrt wurden, schliesse ich grundsätzlich vom Zugriff auf die ganze Website aus. Ich verwende dazu das Plugin «IP Filter» und trage in dessen Einstellungen dort die betreffenden IP-Adressen ein.

Diese dreistufige Abwehr ist ganz offensichtlich sicher: noch nie hatte ich einen unberechtigten Zugriff auf eine der von mir betreuten Blogs und Websites.

P.S. In vielen Foren wird als weitere Massnahme empfohlen, den Standardprefix der WordPress-Datenbank von «wp_» umzubenennen. Aus der eigenen Erfahrung empfehle ich diese Schutzmassnahme nur mit Vorsicht: bei meinen Sites gab es einige (unsauber programmierte) Plugins, die ohne «wp_» nicht mehr funktionierten.