Eine 100 %ige Sicherheit gibt es leider nicht, aber es gibt vorbeugende Maßnahmen die Systeme sicherer machen.
Speziell für WordPress bieten sich folgende Maßnahmen an:
1) Update
Werden Sicherheitslücken entdeckt reagieren die Hersteller von WordPress sowie von den meisten PlugIns sehr schnell und stellen neue Versionen zur Verfügung. Daher ist das non-plus-ultra ein aktuelles System. Erstellen Sie vor solchen Eingriffen jedoch sicherheitshalber immer eine Sicherung Ihrer aktuellen WordPressumgebung bevor Sie Updates durchführen.
Für ein sichres Update bieten wir unseren Kunden daher unseren kostengünstigen Updateservice an.
2) Captcha
Captcha sind in Bildern (zufällig) generierte Zeichen die vor dem Versenden einer Änderung eingegeben werden müssen. Durch die richtige Verwendung von Captcha kann ein automatischer Zugriff auf bestimmte Funktionen eingeschränkt werden. Wir empfehlen daher zumindest für Kontaktformulare diese Funktion zu verwenden. Bei der Verwendung von „Contact Form 7“ für das Versenden von Kontaktanfragen empfehlen wir das PlugIn „Really Simple CAPTCHA„.
Auch den Zutritt zum Backend kann man zusätzlich absichern. Die erste Maßnahme ist den Standardbenutzer „admin“ zu entfernen, da dieser sehr gerne auch für ungewollte Zugriffe verwendet wird. Um den Benutzer zu löschen muss vorab ein neuer Benutzer mit administrativen Rechten angelegt werden. Danach meldet man sich mit dem neuen administrativen Benutzer an und löscht den Benutzer „admin“ und überträgt alle vom „admin“ unter Umständen bereits erstellten Berichte und Seiten auf den neuen Administrator oder einen anderen Benutzer.
Zusätzlich bietet sich das PlugIn „SI CAPTCHA Anti-Spam“ für die LogIn-Maske an. Hier können fehlgeschlagene Zugriffe über IP-Adressen automatisch ausgesperrt werden und auch hier ist ein Captcha zusätzlich für das erfolgreiche Login erforderlich.
3) htaccess
Eine sehr sichere Variante sind entsprechende Verzeichnisrechte über die htaccess zu steuern. Dies ist keine für WordPress spezifische Lösung, sondern muss manuell auf der Verzeichnisebene durchgeführt werden. Hierbei werden bestimmte Verzeichnisse für den direkten Zugang gesperrt und können nur mit einem verschlüsselten Zugang betreten werden. Die Wahl der entsprechenden Verzeichnisse ist jedoch mit bedacht zu wählen, weil die Besucher Ihrer Seite ja weiterhin alle Funktionen nutzen können sollen.
4) AntiVirus
Sind schädliche Codes erst mal in die Website eingetragen, leidet diese drastisch unter abnehmenden Besucherzahlen. Denn Suchmaschinen wie Google erkennen gefährliche Codes und warnen Besucher davor, welche somit ein Aufrufen meiden. Mit AntiVirus von Entwickler Sergej Müller (bekannt für AntiSpam Bee), gehören solche Sorgen der Vergangenheit an.
Die Erweiterung untersucht den Quellcode Ihres WordPress-Blogs regelmäßig nach Schädlingen und informiert Sie darüber per Mail. Neben der Datenbank werden auch die Themes gescannt.
