Warum WordPress-Sicherheit wichtig ist

Wer einen kleinen Blog betreibt, mag sich vielleicht denken, dass ein sicheres Passwort oder 2-Faktor-Authentifizierung nicht so wichtig sind.

Das ist jedoch ein Trugschluss: auch ein Blog wenig nur ein paar Dutzend Zugriffen am Tag steht ausreichend im Fokus der „Hacker“, dass es pro Tag mehrere Login-Versuche täglich gibt.

Fail2Ban-Statistiken für drei Tage, nur WordPress-Logins

Mittels eines fail2ban-Plugins (ich verwende https://wp-fail2ban.com/) können fehlgeschlagene Login-Versuche protokolliert werden und die IP-Adressen, von denen die Angriffe ausgehen, blockiert werden.

In meiner Konfiguration werden IP-Adressen nach zwei Versuchen in einem Zeitraum von zwei Stunden für 24 Stunden komplett gesperrt. Die Sperre gilt nicht nur für den Login-Bereich, sondern für alle Seitenaufrufe.

Wer keine Möglichkeit hat, fail2ban für WordPress zu verwenden, sollte trotzdem ein Minimum an Sicherheitshinweisen befolgen: der Username sollte nicht unbedingt „admin“, „root“, „Administrator“ lauten, dass Passwort sollte mindestens 10 Zeichen inkl. Sonderzeichen & Zahlen lang sein und die Dateirechte für WordPress sollten möglichst restriktiv gesetzt sein. Für den letzten Punkt gibt es auf binary-butterfly.de eine sehr gute Anleitung: Dateirechte: warum eigentlich?

Wie sind eure Erfahrungen? Ist eure Webseite schon einmal Opfer eines Hackerangriffs geworden? Welche Sicherheitsmechanismen setzt ihr ein? Über Kommentare würde ich mich freuen!