Inhaltsverzeichnis
Sicherheit für deinen WordPress-Blog – Diese Fehler macht fast jeder
Heute wird’s ernst – aber keine Panik! In dieser Episode nehmen wir uns das Thema WordPress-Sicherheit vor.
Nicht trocken und theoretisch, sondern mit konkreten Tipps, die du heute noch umsetzen kannst.
Spoiler: Die meisten Angriffe auf WordPress-Seiten wären mit ein paar einfachen Maßnahmen vermeidbar gewesen.
Meine 3 besten Sicherheitstipps für dich
Tipp 1: Zwei-Faktor-Authentifizierung einrichten
Ein Passwort allein reicht heute nicht mehr. Mit einem 2FA-Plugin fügst du eine zweite Sicherheitsebene hinzu, die funktioniert selbst wenn jemand dein Passwort kennt.
Tipp 2: Öffentlicher Name ≠ Benutzername
Viele wissen gar nicht, dass WordPress zwischen dem Anzeigenamen (den alle sehen) und dem Login-Benutzernamen unterscheidet.
Wer hier denselben Namen verwendet, liefert Angreifern die halbe Miete frei Haus.
Tipp 3: Weg mit „admin“ als Benutzername
Der Klassiker unter den Sicherheitsfehlern. „admin“ ist der meistgeprobte Benutzername bei Brute-Force-Angriffen – wer ihn noch nutzt, macht es Angreifern unnötig leicht.
Bonus: Die Login-URL verstecken
Standardmäßig ist die WordPress-Login-Seite unter /wp-login.php erreichbar – das weiß jeder Bot.
Mit einem Plugin oder einem kleinen Eingriff kannst du die URL umbenennen und so automatisierte Angriffe ins Leere laufen lassen.
Diese Sicherheitstipps kannst du direkt umsetzen
✅ Richte heute noch 2FA ein
✅ Prüfe deinen Benutzernamen – ist er wirklich geheim?
✅ Ändere deine Login-URL
Passende Episoden:
Weiterführende Links zu dieser Folge:
Plugin WP2FA: https://de.wordpress.org/plugins/wp-2fa/
Hier gehts zur nerdcafe Playlist: https://play.nerdcafe.online
Hier gehts zur nerdcafe Gruppe bei Signal: https://sofa.nerdcafe.online
Transkript zur Episode:
[00:00:00] Heute sprechen wir im Nerdcafé über Sicherheit.
[00:00:03] Und zwar gebe ich dir drei beziehungsweise sogar vier Tipps mit, wie du deine WordPress-Webseite absichern kannst und ich gebe dir verschiedene Tipps einmal über Plugins lösbar, einmal über Serverlösbar und einmal über, ich sag mal Mitdenkenlös bar.
[00:00:22] Ganz viel Freude mit dieser Episode!
[00:00:31] Moin aus Hamburg und herzlich willkommen im NerdCafé Podcast Dem Podcast rund um WordPress, Hosting, CMS und Web.
[00:00:39] Dein Host Johannes Meierhofer ist Experte- und Trainer für WordPress.
[00:00:44] Mit diesem Podcast möchte Johannes dir dabei helfen, WordPress besser zu verstehen und anzuwenden – aber auch bei allen anderen Themen die dich interessieren wenn du mit einem eigenen Website ein Projekt starten möchtest!
[00:00:56] Und jetzt wünsche ich dir ganz viel Spaß mit der Podcastepisode!
[00:01:05] Aktuell sind ca.
[00:01:07] ein Drittel aller Webseiten damit gemacht und ich glaube, das wird auch in den nächsten Monaten nicht von KI abgelöst.
[00:01:15] In der nächsten Jahren vielleicht aber sobald nicht.
[00:01:18] und selbst bei KI ist ja das Thema Sicherheit nochmal ein ganz anderes.
[00:01:23] Das meiste Genuss
[00:01:24] z.B.,
[00:01:24] erst der Welt zu sein heißt natürlich auch dass es eine riesige Zahl an Website und dadurch auch für Hacker Interessant wird.
[00:01:36] Ich versuche das mal so zu erklären, dass ganz selten du als Betreiber oder deine Website individuell von irgendwelchen Hackern mit Kapuze und so angegriffen wird sondern eine Website wird quasi bombardiert Mit verschiedenen Angriffen Ganz automatisch und einfach deswegen weil Du WordPress hast.
[00:02:00] Da gegen die Angriffe an sich kann man auch leider relativ wenig tun Aber man kann natürlich dafür sorgen, dass sie keinen Erfolg haben oder die Erfolgschancen sich für die Hacker reduzieren mit so ein paar Maßnahmen und die würde ich heute mal gesammelt vorstellen.
[00:02:18] Es gibt dazu auch schon einzelne Episoden, die verlinke ich dir auch.
[00:02:21] in die Show Notes zum Beispiel ist es natürlich wichtig das System aktuell zu haben.
[00:02:28] da kannst du mal in die Episode Updates rein hören einen guten Haus dazu haben, auch dazu verlinke ich dir in die Shownots eine Episode.
[00:02:38] Bevor wir jetzt ins Thema reingehen habe ich noch ein Lied.
[00:02:41] unter play.nerdcafepunktonline kannst du ja die Nerdcafé Playlist hören und weil manche hier gern behaupten, die anderen sind schuld wenn die eigene Website unsicher ist, habe ich dir ein Liet reingelegt von Dota Care, eine ganz tolle Singer-Songreiterin.
[00:03:03] Ich lege die Live-Version in die Playlist.
[00:03:07] Der Song hat zwar jetzt nichts mit Angriffen zu tun, aber damit dass die anderen immer die Anderen sind.
[00:03:14] Genau.
[00:03:14] Hör da mal rein!
[00:03:16] Jetzt gehen wir aber ins Thema Sicherheitstipps.
[00:03:20] Erster wichtigste meiner Meinung nach sicherheitstip ist der admin Benutzername, der beim erstellen oft automatisch auch admin heißt.
[00:03:30] also der erste Administrator von deiner Webseite sollte bestenfalls nicht admin sein, weil es eben der Standard ist und Standards gerne einfach automatisch ausprobiert werden.
[00:03:45] Leider kann man den Benutzernamen nicht ändern.
[00:03:47] also das heißt dieser Tipp gilt vor allen Dingen wenn du jetzt anfängst mit einer WordPress-Installation kannst du deine Webseiten anlegst und jetzt vor der Entscheidung stehst.
[00:03:55] wie nenne ich mich denn?
[00:03:57] Nenn dich bitte nicht admin sondern immer am Besten irgendeine kryptische Buchstabenthalen, Kombination.
[00:04:05] Wenn du dich doch admin genannt hast oder eben diesen automatischen Vorschlag angenommen hast dann kannst du diesen Namen leider nur über die Datenbank ändern.
[00:04:16] das geht.
[00:04:17] es ist ein bisschen kompliziert.
[00:04:19] wenn du dabei Hilfe brauchst kannst du mir natürlich gern schreiben dann ändern wir das zusammen oder ich ändere das für dich.
[00:04:26] der nächste tip hat auch mit Benutzernamen zu tun und zwar gibt es bei WordPress die sogenannten öffentlichen Namen.
[00:04:34] Die sind sichtbar, wenn du zum Beispiel blockst dann steht ja unter dem Blockbeitrag veröffentlicht von Peter oder von Steffi am ersten April um dreizehn Uhr zwölf.
[00:04:47] das ist so der Standard und dieser Name der hier steht ist der öffentliche Name.
[00:04:53] also wenn du jetzt bei den Beispiel Atmen wenn wir da bleiben wollen ähm… Wenn du atmen heißt dann steht da veröffentlicht von Atmen, Armen und so weiter.
[00:05:05] Diesen öffentlichen Namen kannst du leider nicht ausblenden aber den kannst du jederzeit ändern und zwar gehst du dazu in deinen Dashboard im Bereich Users oder Benutzer und dann auf dein Profil Und jetzt gibt es hier ein paar Felder zur Auswahl.
[00:05:22] Hier siehst Du den Benutzernamen.
[00:05:24] der ist so eingegraut weil Du den ja leider nicht ändern kannst.
[00:05:27] Dann gibts Vorname Nachname und Spitzname.
[00:05:32] Das sind Leertextfelder, da kannst du irgendwas reinschreiben und ganz unten kannst du dann auswählen.
[00:05:38] Kannst jetzt zum Beispiel eintragen Vorname Johannes, Nachname Meyerhofer, Spitzname Josef Und wenn das eingetragen ist, kannst Du dann unten in diesem Dropdown-Menü auswälen.
[00:05:55] Ist der öffentliche Name Johannes?
[00:05:57] ist der Meyerhofer, ist er Josef.
[00:05:59] Ist er Johannes Meierhofer oder ist er Meyerhoffer Johannes?
[00:06:03] Also du kannst aus diesen Feldern die man eingeben muss eine Kombination auswählen und die zu deinem öffentlichen Namen machen Und das würde ich dir auf jeden Fall empfehlen in deinen Benutzernamen Selbst wenn Du nicht blockst weil dieser öffentliche Name ist über den Code und diverse Tools auch so relativ einfach einzusehen.
[00:06:27] Selbst wenn du nicht blockst, stelle den öffentlichen Namen um auf Nicht-den-Benutzernamen sondern zum Beispiel deinen Vornamen oder trage dir irgendeinen Spitzname ein oder macht ja irgendwas.
[00:06:40] Hauptsache es ist nicht der Benutzer Name.
[00:06:45] Nächster Tipp ist Stelle diese Anmelde des Anmeldefensters von WP Atmen um.
[00:06:54] dazu gibt’s verschiedene Plugins Verlinke ich dir auch in den Show-Nauts.
[00:06:58] Ich persönlich finde, das ist ein Tipp der ist eher so an dritter Stelle.
[00:07:04] Wenn ich es richtig sehe, ist er ja auch gerade weil.
[00:07:08] auch den echten Lockin kann man rausfinden mit Tools.
[00:07:11] aber für so schnelle automatische Angriffe ist es gut wenn der Lockin nicht unter WP-Lockin liegt sondern woanders.
[00:07:29] Wenn du den Espresso bei einem Nordcafé zu Ende getrunken hast, hüpft mal rüber zum Mittags.
[00:07:34] Snack Sales Know How für hungrige Unternehmerinnen.
[00:07:36] Da erzähle ich dir Jenny Neubacher dass du auch verkaufen lernen darfst um halt tatsächlich dann auch deine Kunden zum Abschluss zu bringen.
[00:07:44] denn nur weil sie auf deiner Webseite hüpfen und kennenlernen Koi buchen heißt es noch lange nicht das sie auch dann bei die Buchen.
[00:07:50] somit freue mich darauf wenn Du nach dem Nordcafe einfach mal zum MittagSnack zu meinem Podcast hübspst.
[00:07:57] Ich freu mich auch Dich.
[00:08:03] Der nächste Tipp, zwei Faktor Autodisierungen ist relativ easy mit dem Pluck in einzurichten.
[00:08:09] Verlinke ich die auch in die Schoenholz natürlich und es ist total wichtig für alle Benutzernamen, für alle benutzer, die Atmenrechte haben und ich würde das tatsächlich empfehlen einzurichten.
[00:08:22] für alle Atmens zur Pflicht.
[00:08:24] also jeder Atman in deinem Account, in deiner Webseite muss zwei Fakto-Authentisierung einrichten Und die Anhalte benutzen dürfen, je nachdem wie streng du bist.
[00:08:36] Natürlich auch zur Pflicht machen wenn du viele User hast und streng bist aber wichtig ist es für die Admins.
[00:08:42] Zwei Faktor-Autentisierung bedeutet Wenn ich mein Passwort eingegeben habe und das richtig ist dann werde ich nochmal gefragt so hey Johannes gib mir doch den zweiten Faktoren.
[00:08:54] Das kennst Du vom Online Banking wahrscheinlich und von ganz vielen großen Plattform mittlerweile.
[00:09:01] Da musst du einmal im Pluckin quasi deine Authenticator App verknüpfen.
[00:09:07] Wenn du keine hast, schau dir mal Google Authenticate oder Microsoft Authentica an.
[00:09:13] Damit musst du einen QR-Code fotografieren bzw.
[00:09:17] scannen und bekommst dann eine sechsstellige Zahl angezeigt die du eingeben musst.
[00:09:23] zum Verifizieren Und ab da musst du bei jedem Log in diese in jeder Minute oder alle zwei Minuten neu errechnet wird, musst du immer diese passende Zahl eingeben.
[00:09:36] Das heißt, du musst zwar dann immer dein Handy bei dir haben wenn du dich einloggst aber das ist wirklich ein Tool was bei geringem Aufwand eine ganz ganz großen Sicherheitsunterschied macht.
[00:09:50] also starke Empfehlung.
[00:09:53] Letzter Tipp ist auf jeden Fall mit Vorsicht zu genießen aber oft spannend und zwar Dein Atmenbereich komplett abzusichern.
[00:10:07] Der Unterschied zwischen WordPress-Sicherung und HTX ist der, dass die WordPress Sicherung jetzt zum Beispiel der zweite Faktor allein bei WordPress liegt.
[00:10:16] und hat die HTX den Server absichert.
[00:10:20] Das heißt es muss so bei deinem Hoster machen und eventuell auch mit dem Hoster besprechen.
[00:10:25] Du musst dann wenn du diesen Lock in Fahrt eingibst also zb Max Mustermann .de-wp-,atmen, dann musst du diesen wp-atmen Ordner mit einem benutzernahmenden Passwort bestätigen.
[00:10:43] Das funktioniert aber je nachdem was da eine Website tut kann es sein dass diese Sicherheitsebene Funktionen von deinem WordPress einschränkt wie zum Beispiel Updates oder manche Pluckins können ihre Arbeit nicht machen.
[00:11:02] das heißt wenn du das tust Lieber einmal probieren oder mit Expertinnen sprechen, ob das für deine spezielle Seite Sinn macht.
[00:11:11] Ich fasse es noch mal ganz kurz zusammen.
[00:11:14] Sicherheit ist wichtig weil WordPress das meist genutzte tool CMS-Tool der Welt ist und man damit automatische Angriffe die tatsächlich oft passieren alleine weil du WordPress hast abmildern können bzw verhindern dass sie erfolgreich sind.
[00:11:33] Erster Tipp ist, nimm nicht Atmen als Benutzernamen.
[00:11:38] Zweiter Tipp ist der öffentliche Name.
[00:11:42] Ist bitte nicht der Benutzename.
[00:11:44] Jetzt kannst du eben das Sport in deinem Profil anpassen.
[00:11:48] Dritter Tipp ist die Zwei-Faktor-Authentisierung absolut zu empfehlen für alle Atmeneuser.
[00:11:53] Föder Tipp ist den WP-Lockenfahrt umwiegen in Anführungszeichen.
[00:11:59] und Föeder Tipp ist besonders mit Vorsicht zu genießen!
[00:12:02] Die HTX ist.
[00:12:05] Wenn du sagst, oh Mann es war ein bisschen viel und ich weiß gar nicht was ich zuerst tun soll und einfach Hilfe brauchst oder jemand braucht ja mal auf deine Website schaut und dir sagt ob das alles sicher ist oder nicht dann schreib mir doch einfach an die Espresso at Nerdcafe.online.
[00:12:22] Danke!
[00:12:22] Das wars mit dieser Episode in Hamburg, sagt man.
[00:12:26] Tschüss!
[00:12:31] Ich freue mich, wenn wir uns hier sehr bald wiedersehen bzw.
[00:12:34] hören!
[00:12:35] Wenn du darauf auch Lust hast, abonnier doch am besten diesen Podcast, damit du keine Episode verpasst – ich hoffe, du konntest heute einiges mitnehmen.
[00:12:44] Wenn ja, dann empfehle den Podcast auch gerne deinen Freundinnen weiter, damit noch mehr Menschen darauf aufmerksam werden.
[00:12:51] Fragen?
[00:12:52] Themenwünsche und Ideen?
[00:12:53] Gerne an Espresso at Nerdcafé.Online.
[00:13:00] Jetzt aber wirklich….
[00:13:02] Tschüss Das
[00:13:02] war’s.
