So retten Sie Ihre WordPress Homepage
Aller Anfang ist schwer… Oder auch nicht. Wenn Sie die folgenden Punkte beim Einrichten Ihrer WordPress Installation beachten sind Sie schon deutlich weiter als viele Andere. Im folgenden finden Sie einige der häufigsten Fehler, welche besonders Anfänger beim Einrichten von WordPress unterlaufen.
Generell ist es keine gute Idee den Benutzernamen Admin zu wählen. Da “admin” ein Standard Benutzername bei WordPress ist, wird dieser von automatisierten Systemen verwendet, welche probieren in Ihre Webseite einzubrechen. Diese Angriffe sind leider “ganz normal” und jede WordPress Installation ist diesen Angriffen ausgesetzt. Es empfiehlt sich also in jedem Falle den Benutzernamen für den Administrator zu ändern und z.B. den Vornamen oder ein Synonym zu verwenden. Zwar bietet dieses Vorgehen keine große Sicherheit gegen manuelle Angriffe lässt aber zumindest einige automatisierte Systeme alt aussehen. Moderne Robots sind dennoch in der Lage, alle Benutzer auf der Seite auszulesen, insofern die Autoren Seiten nicht gesperrt wurden. Übrigens sollte auch die Benutzer-ID 1 in der Datenbank geändert werden.
Frische WordPress-Installation kommt mit einigen Beispielen daher. So werden z.B. einige Standard Themes mitgeliefert und es wird automatisch ein Post veröffentlicht, welcher auch einen Kommentar enthält. Dieser Standardcontent sollte umgehend entfernt werden. Des Weiteren sind im Regelfall 2 Plugins vorinstalliert. Zum einen Akismet zum anderen Hello Dolly. Beide Plugins werden im Regelfall nicht benötigt und sollten direkt zu Beginn gelöscht werden. Für Akismet gibt es übrigens eine gute Alternative namens Antispam Bee.
Jede WordPress Installation benutzt standardmäßig das Tabellenpräfix wp_. Dies macht es potentiellen Angreifern einfach, bestimmte Tabellen in der Datenbank ihrer Installation zu finden und diese gezielt durch eventuelle Sicherheitslücken in Plugins anzugreifen. Es ist also eine gute Idee den Standard Präfix zu ändern. Dies verhindert, dass gezielt Angriffe auf diese bekannten Tabellennamen durchgeführt werden können. Ein potentieller Angreifer muss hier also einen extra Schritt gehen um ihre Installation zu kompromittieren.
Standardmäßig sind WordPress-Installation nicht gegen Bruteforce-Angriffe geschützt. Dies bedeutet, dass ein potentieller Angreifer unendlich viele Versuche hat, in ihre WordPress-Installation einzubrechen. Bei einer Bruteforce Attacke wird, allgemeinsprachlich ausgedrückt, wild herumprobiert und zwar zwischen einer Kombination der ausgelesenen Benutzernamen und zufällig Passwörtern. Nun ist das auf kurze Dauer bei starken Passwörtern an sich kein Problem, kann aber über einen längeren Zeitraum zu einem sehr großen Problem werden. Nämlich genau dann, wenn der Angreifer Ihr Passwort durch Zufall errät. Um diesen Vorgang zu erschweren, sollte einerseits die Login Maske versteckt werden, also nicht auf der Standard URL der WordPress Installation /wp-admin laufen und zum anderen sollte die IP nach zu vielen fehlgeschlagene Loginversuchen gesperrt werden. In diesem Falle müsste der Angreifer eine längere Zeit warten wie z.B. 5 Minuten, bei erneuten Fehlversuch 10 Minuten und danach 30 Minuten, bevor er es wieder probieren kann. Kann der Angreifer z.B. einen Login Versuch pro Sekunde vorher machen braucht er nun für einen weiteren Login Versuch schon 30 Minuten. Diese Zeit sollte exponentiell nach oben gehen. Dies ist eine sehr effektive Variante um Einbruchsversuche so weit hinauszuzögern dass diese nicht in einer angemessenen Zeit für den Angreifer zum Erfolg führen würden. Verwendet der Angreifer ein sogenates Botnet reicht aber das pure sperren der IP nicht aus. In diesem Falle empfiehlt es sich außerdem den verwendeten Benutzernamen zu sperren. Whitelisten Sie aber in jedem Falle vorher Ihre IP, so dass der Angreifer Sie nicht aussperren kann.
Oftmals wird von WordPress Anfängern vergessen den Standardtitel bzw. den Standard Untertitel der Seite zu ändern, da dies nicht in der Installation abgefragt wird. Sobald Ihre Seite für Suchmaschinen sichtbar ist, sollten Sie diesen Untertitel allerdings ändern, da dieser sonst in den Suchergebnissen angezeigt werden kann. Und wer möchte schon eine Homepage wo dran steht “eine weitere WordPress Seite”. Um den Untertitel zu ändern loggen Sie sich einfach in ihre Seite ein. Gehen sie auf Einstellungen und klicken Sie anschließend auf allgemein. Im obersten Feld finden Sie den Titel ihrer Webseite und direkt darunter den Untertitel.
Plugins können auch dann ein Sicherheitsrisiko sein, wenn diese gar nicht aktiviert sind. Angreifer werden ihre Installation bzw. den Plugin Ordner ihrer Installation auf potenziell unsichere Plugins scannen. Insofern der Plugin Ordner nicht für externe Zugriffe komplett gesperrt wurde, ist dies auch nicht zu verhindern und quasi ein Übel mit dem WordPress Administratoren leben müssen. Generell ist es also eine gute Idee nicht genutzte Plugins komplett von der Installation zu löschen oder diese zumindest mit zu updaten.
Standardmäßig benutzt WordPress eine Permalink Struktur welche auf der Post oder Seiten-ID beruht. Dies ist weder schön für potenzielle Besucher noch für Suchmaschinen. Von daher empfiehlt es sich, so schnell wie möglich die Permalinks einzurichten. Um dies zu tun loggen Sie sich einfach in ihre WordPress-Installation ein, gehen auf den Menüpunkt Einstellungen und anschließend klicken Sie auf Permalinks. Als De-facto-Standard für Permalinks hat sich mittlerweile der Beitragsname etabliert. Wenn sie gerade erst mit WordPress anfangen, können Sie also getrost unter gebräuchlicher Einstellung auf Beitragsname klicken und diese Einstellung soweit verwenden. Optional können Sie auch eine benutzerdefinierte Permalink Struktur anlegen. Dies empfiehlt sich allerdings nur für fortgeschrittene Benutzer.
Für die meisten Funktionen, die man sich vorstellen kann, gibt es ein Plugin für WordPress. Oftmals werden diese Plugins oder Themes aber auch auf sehr dubiosen Seiten angeboten. Dort findet man teilweise auch kostenpflichtige Plugins “gratis”, sogenannte “nulled” Plugins oder Themes. An dieser Stelle möchte ich sie davor warnen Themes oder Plugins aus solchen Quellen zu installieren. Oftmals versteckt sich in diesen nämlich auch eine Schadsoftware, welche die Installation kompromittiert und eventuell probiert Spam oder noch schlimmer Viren über Ihre Webseite zu verbreiten. Wenn sie gerade erst starten und möglichst wenig Geld für ihre Seite ausgeben möchten empfiehlt es sich in den offiziellen Plugin Repository von WordPress zu suchen. Sicherlich werden Sie fündig und ihre Ansprüche werden dort komplett erfüllt werden. Wenn sie Sonderlösungen benötigen oder professionellen Support sprechen Sie mich gerne an, ich helfe Ihnen weiter.
Viele Anfänger denken, dass nach der initialen Installation von WordPress die ganze Geschichte erledigt ist. Aber auch wie ein Auto braucht eine Homepage basierend auf einem CMS-System regelmäßige Pflege und Wartung. Dieser Anfängerfehler ist der häufigste Grund für kompromittierte Installation über welche Viren verbreitet werden und welche letztendlich über Google nicht mehr auffindbar sind, da sie als gefährliche Seite markiert werden. So verbrennen sie unter Umständen die komplette Reputation Ihrer Domain und diese wird nie wieder in den Google Index aufgenommen. Nicht nur Google führt eine Liste solcher Seiten, sondern es gibt auch viele öffentliche Datenbanken, unter anderen von diversen Antiviren Software Herstellern, welche gefährliche Seiten listen. Unter Umständen wird der potentielle Besucher Ihrer Webseite sogar im Browser schon vor der zu besuchenden Seite gewarnt, so dass dieser gar nicht erst auf ihre Seite kommt, selbst wenn er die Domain direkt eingibt. Um diese für alle Seiten äußerst unangenehme Situation zu vermeiden, ist es von essentieller Bedeutung, dass sie regelmäßig Updates und Aktualisierung Ihrer Installation, Ihres Teams und ihrer Plugins durchführen. Nur so ist gewährleistet, das neue erkannte Sicherheitslücken auch schnellstmöglich auf ihrer Installation geschlossen werden.
Backups sind die essentiellste Sicherheitsvorkehrungen, wenn es um Ihre WordPress Installation oder generell um IT Sicherheit geht. Wenn sie noch nicht einmal wissen was ein Backup ist würde ich Ihnen empfehlen mit ihrer WordPress-Installation noch zu warten und sich erst einmal in die komplette Materie einzulesen. Unter Backup versteht man, dass ihre Seite komplett einmal an einem physisch anderen Ort gesichert wird. Diese Kopie ist zwar da nicht lauffähig, Sie ermöglicht aber das Wiederherstellen der Seite oder einzelner Komponenten ihrer Installation. Das Backup sollte niemals auf den gleichen Server gemacht werden wo auch ihre WordPress Installation liegt. Der Grund dafür ist einfach. Sollte es zu einem Fehler auf dem Server kommen ist unter Umständen nicht nur ihre Seite verschwunden sondern auch das Backup auf einmal nicht mehr vorhanden. Am sichersten ist es, wenn das Backup an einem komplett anderen Ort gelagert wird, also örtlich komplett getrennt ist. Steht ihr Server z.B. in Berlin, sollte Ihr Backup in München liegen. Das Backup ermöglicht es Ihnen oder zumindest jemanden der sich mit der Materie auskennen ihre Seite komplett wiederherzustellen. Backups sollten regelmäßig angelegt werden und vor allen Dingen lange genug aufbewahrt werden, da Fehler nicht unbedingt sofort erkannt werden. Zudem ist es auch von Nöten Backups wenn möglich zu testen. Denn ein Backup ist nur gut, wenn es auch funktioniert. Sollte das Backup komplett fehlerhaft oder unvollständig sein, ist eine Wiederherstellung im Zweifelsfall eventuell nur teilweise oder gar nicht möglich.
Nachdem wir nun die häufigsten Anfängerfehler besprochen haben, kommen wir nun zu einem weiteren sehr interessanten Abschnitt. In diesem geht es darum welche Fehler ist bei WordPress gibt und wie man erste Abhilfe schafft. Bitte beachten Sie dass generell eine professionelle Einschätzung von Vorteil sein kann wenn ihn etwas an ihrer Seite liegt. Bei einer hobbymäßig Installation können Sie allerdings auch gerne selber probieren die Fehler zu beheben. Diese Liste gilt nur als generelle Anhaltspunkt. Die Situation kann von Installation zur Installation komplett unterschiedlich ausfallen. Hier finden Sie nur eine generelle Handlungsempfehlung was zu tun ist wenn ihre WordPress Installation nicht mehr funktioniert. Hier weiter lesen: WordPress Erste Hilfe