Wie sichere ich meine Webseite?
Viele Autorinnen und Autoren haben ihre eigene Webseite, auf der sie sich selbst und ihre Bücher vorstellen. Aber wie kann man sie vor Fremdzugriffen und Hackern schützen?
Mir ist es selbst neulich passiert, dass ich von WordPress die Mitteilung bekam, jemand hätte 12 Mal versucht, sich einzuloggen und sei nun für 24 Stunden gesperrt. Damals hatte ich keinen besonderen Schutz auf meiner Autorenseite, weil ich gar nicht auf die Idee kam, dass sich da jemand reinhacken wollen würde. Es ist nichts weiter passiert, weil ich wohl ein gutes Passwort hatte, aber ich habe das als Anlass genommen, meine Webseite sicherer zu machen und möchte dir die einzelnen Schritte im Folgenden erklären.
Verwende sichere Passwörter!
Man kann es nicht oft genug sagen: Passwörter müssen aus Zahlen und Buchstaben bestehen, am besten noch mit Sonderzeichen. „123456“, „Passwort123“, „Schatzi“ oder „qwertzuiopü+“ (1. Reihe des Buchstabenblocks deiner Tastatur) sind keine sicheren Passwörter.
Ich empfehle die Benutzung von 1Password oder einer vergleichbaren Software. Das ist eine Software, bei der du dir ein „Masterpasswort“ überlegst, mit dem alle anderen Passwörter gesichert werden. So brauchst du dir nicht X verschiedene Passwörter merken, sondern nur ein sehr gutes.
Du solltest zudem das gleiche Passwort nicht mehrfach verwenden, auch wenn es noch so verlockend ist. Zumindest für deinen WordPress-Login und für deinen E-Mail-Zugang solltest du Passwörter nehmen, die du noch nirgends benutzt hast.
Schnelltipp für sichere Passwörter
Wenn du es dir etwas leichter machen willst, dann kannst du einen Trick benutzen: Merke dir einen Satz und benutze die ersten Buchstaben der Worte als Passwort. Ersetze o durch 0 (Null), i durch 1, h durch 4, s durch 5 und so weiter.
Beispiel:
Aus
Dieser Blog gehört der Schriftstellerin Annika Bühnemann
wird
DBgd5ABü
und um auf Nummer sicher zu gehen, setze ich noch Sonderzeichen und Zahlen ein:
66DBgd5*ABü+
Es wird schwer, das zu knacken. Ich benutze viele solcher Passwörter und bin selbst erstaunt, wie gut man sie sich merken kann.
Sondertipp: Benutze ein Masterpasswort wie das oben genannte und hänge bei der Registrierung in neuen Portalen einfach ein Kürzel an, das speziell darauf ausgerichtet ist.
Beispiel:
66DBgd5*ABü+fb für einen Facebook-Login
Limitiere die Login-Versuche!
Je nach dem, was bei dir eingestellt ist, ist es möglich, dutzende Hackerversuche zu starten, ohne dass es jemandem auffällt. Deshalb empfehle ich dir dringend, das Plugin Limit Login Attempts oder ein entsprechendes zu installieren. Mit diesem Plugin kannst du festlegen, wie viele Anmeldeversuche schiefgehen dürfen, bevor die IP-Adresse des Einloggenden gesperrt wird und für wie lange sie gesperrt wird. Drei Versuche sind normalerweise ausreichend. Das bedeutet aber natürlich auch, dass du selbst nicht drei Mal daneben liegen darfst.
Ich habe übrigens überhaupt nur wegen dieses Plugins mitbekommen, dass es auf meiner Autorenseite Hacker-Versuche gab, denn ich hatte nur wenige Tage zuvor dieses Plugin installiert. Per E-Mail bekam ich dann die Meldung, dass jemand 12 Mal versucht hatte, sich einzuloggen (mit einer IP-Adresse von den Philippinen …).
Für Autorinnen/Autoren ohne Webseite
Wenn du noch keine Webseite hast, aber überlegst, eine zu erstellen, hast du Glück: Am einfachsten ist es, wenn du von Beginn an die Weichen richtig stellst. Ich beziehe mich in diesem Artikel auf WordPress, weil es der am häufigsten benutzte Anbieter ist.
Das fängt bereits beim Benutzernamen an. Normalerweise nimmt man als Benutzernamen, wenn man eine Webseite neu aufbaut, entweder seinen Autorennamen oder einen Namen wie Admin oder Administrator.
Beides ist keine gute Lösung.
„Admin“ ist einer der häufigsten Benutzernamen und wird von den Hackerprogrammen als erstes probiert. Deinen Autorennamen als Benutzernamen zu nehmen, würde ich ebenfalls nicht empfehlen, denn das war bei mir bisher der häufigste Versuch, sich reinzuhacken.
Ich würde an deiner Stelle folgendes tun, wenn du noch keine Webseite hast, aber eine erstellen willst: Überlege dir einen Benutzernamen mit Zahlen und Buchstaben, also sowas wie 17ADFDAL28 oder so. Auch dein Passwort sollte aus Zahlen und Buchstaben bestehen und kein echtes Wort darstellen (und sich vom Benutzernamen unterscheiden). Einen Passwortgenerator findest du, wie gesagt, zum Beispiel hier oder hier.Du kannst auch 1Password benutzen (Mac und Windows, iPhone/iPad und Android-Handys).
Dieser Benutzer, den du als allererstes bei einer WordPress-Installation erstellst, ist der Admin. Er kann Aktualisierungen durchführen, Plugins installieren, Statistiken sehen und so weiter. Diesen Benutzer brauchst du eigentlich nur, um wirklich administrative Dinge zu erledigen.
Für das Schreiben deiner Beiträge empfiehlt es sich, einen gesonderten Benutzer anzulegen.
Warum?
Der neue Benutzer bekommt nur eingeschänkte Rechte. Sollte sich jemand in diesen Account einhacken, so ist das schlimmste, was er anrichten kann, alle Beiträge zu löschen. Da du aber ja regelmäßig Backup machst (!) ist das nicht weiter schlimm, denn du hast alle Beithttp://www.vomschreibenleben.de/wp-admin/post.php?post=844&action=editräge extern gesichert.
Einen neuen Benutzer erstellen
Um einen neuen Benutzer zu erstellen, klickst du (eingeloggt als Administrator) im Dashboard links bei „Benutzer“ auf „Neu hinzufügen“:
Es erscheint eine Eingabemaske für den neuen Benutzer. Da du später noch einstellen kannst, unter welchem Namen er offiziell veröffentlichen soll, empfehle ich dir, hier ebenfalls beim Benutzernamen eine Kombination aus Zahlen und Buchstaben zu benutzen.
Dem neuen Benutzer weist du die Rolle „Autor“ zu. Das bedeutet, er darf Artikel schreiben und editieren. Wenn du etwas mehr Freiheiten haben möchtest, böte sich der „Redakteur“ auch an. Der Redakteur kann alle Beiträge editieren und löschen, sowie Kommentare verwalten und Seiten hinzufügen, editieren oder löschen. Alle Benutzerrollen mit ihren Rechten findest du hier.
Du erhältst nun eine E-Mail mit der Bestätigung des neu angelegten Benutzers (eventuell musst du eine andere E-Mail-Adresse angeben als die, mit der du den Administrator registriert hast).
Damit als Verfasser deiner Blogeinträge nicht „17IshdRmL25“ oder so steht, ist es nun notwendig, den sogenannten „Spitznamen“ zu ändern. Dafür gehst du (noch immer als Administrator eingeloggt) links bei „Benutzer“ auf „Alle Benutzer“. Dort müssten nun beide Benutzer stehen. Gehe beim dem Benutzer mit eingeschränkten Rechten auf „Bearbeiten“ und ändere den Spitznamen in deinen Autorennamen:
Bei „Öffentlicher Name“ stellst du dann entsprechend auch deinen Autorennamen ein.
Zwischenstand: Du hast nun also einen Administrator mit allen Rechten, den du nur benutzt, um neue Seiten zu erstellen oder Kommentare zu verwalten, und einen „Schreiber“-Account mit eingeschränkten Rechten. Das verringert die Wahrscheinlichkeit, bei einem erfolgreichen Hackerangriff alles zu verlieren, da die meisten Hackerprogramme sich zuerst in die Accounts einzuhacken versuchen, von denen die Artikel verfasst wurden.
Für Autorinnen/Autoren mit eigener Webseite
Wenn du bereits eine Webseite hast, dann ist die Wahrscheinlichkeit hoch, dass du mit deinem Autorennamen die Administratorrolle eingestellt hast. Man kann den Benutzernamen eigentlich nicht ändern, aber mit einem Plugin ist es trotzdem möglich: Admin Renamer Extended.
Mit diesem Plugin solltest du deinen Administrator-Namen in eine Zahlen-und-Buchstaben-Kombination umändern und wie oben beschrieben einen neuen Benutzer hinzufügen, mit dem du von nun an die Beiträge verfasst.
Beiträgen neuem Benutzer zuordnen
Alle bisherigen Beiträge solltest du auch auf den neuen Benutzer münzen. Dazu gehst du links auf „Beiträge“ > „Alle Beiträge“ und wählst links neben „Titel“ alle Beiträge aus:
Wenn du dann unter „Aktion wählen“ auf „Bearbeiten“ und „Übernehmen“ gehst, kannst du mit einem Klick allen Beiträgen einen neuen Verfasser zuordnen:
Jetzt hast du einen sicheren Administrator-Account und einen Schreib-Account, bei dem es (siehe oben) kein großer Weltuntergang ist, sollte er gehackt werden.
Für Sicherheitsliebende: Kein Admin auf #1
Wenn du WordPress installierst, musst du einen Benutzernamen angeben („Admin“ zum Beispiel … NICHT! 😉 Aber in der Praxis halt häufig genutzt…) und dieser zuerst erstellte Benutzer ist der Administrator. Er hat die ID #1, weil er der erste war. Dein neu angelegter Benutzer wird ID #2 haben. Wenn du ganz sicher gehen willst, kannst du einen dritten Benutzer erstellen und ihm Administrator-Rechte geben. Er hat dann ID #3. Vergiss auch hier nicht die Sicherheitsvorkehrungen bezüglich des Namens und des Passwortes. Logge dich als #3 ein. Nun gehe auf „Benutzer“ > „Alle Benutzer“ und lösche Benutzer #1, der bisher der Admin war. Du wirst gefragt, was mit den restlichen Artikeln und Links passieren soll, wenn User gelöscht wird. Idealerweise überträgst du sie auf #3 (denn ich gehe davon aus, dass du bereits im vorigen Schritt alle Artikel auf den neu erstellten Autor mit der ID #2 übertragen hast).
Hintergrund: Die meisten Hacker-Programme gehen davon aus, dass ein Benutzer mit der ID #1 der Administrator ist (was auch fast immer stimmt). Indem du #1 aber löschst, tappen sie im Dunkeln (es sind halt keine Menschen, diese Hacker-Robots …).
Bleibe immer aktuell!
Alle deine Themes und Plugins sollten auf dem neuesten Stand sein. Alte Versionen haben häufig Sicherheitslücken, die mit der neuen Version ausgebessert werden. Ob etwas zu aktualisieren ist, siehst du am „Aktualisierungs“-Button:
Insbesondere bevor du eine neue WordPress-Version installierst, rate ich dir dringend, ein Sicherheitsbackup zu erstellen. Das kannst du links unter „Werkzeuge“ > „Daten exportieren“ erledigen. Falls beim Update etwas schiefgeht, hast du alles gesichert und kannst den alten Zustand wiederherstellen (hat mir schon zwei Mal das Leben gerettet!).
Um Themes und Plugins zu aktualisieren, klicke oben auf das Symbol, wähle mit „Alle auswählen“ sämtliche zu aktualisierenden Bereiche aus und klicke auf „Plugins aktualisieren“ oder eben auf „Themes aktualisieren“. Danach ist deine Seite möglicherweise für ein paar Minuten nicht erreichbar.
Übrigens: Liegen bei dir Plugins oder Themes herum, die du eh nicht in Benutzung hast? Weg damit! Je weniger Angriffsfläche du zeigst, desto sicherer bist du. Ungenutzte Plugins können also deinstalliert werden, Themes ebenso.
Für Cracks
Wenn du dich gut mit Technik auskennst und FTP oder .htaccess keine Fremdwörter für dich sind, kannst du dein Backend auch noch sicherer machen.
Weil ich nicht alles nachplappern möchte, verweise ich dich an dieser Stelle an Jakob Schweighöfer, der hier gut erklärt hat, was du tun musst.
Zusammenfassung
Damit du für dich eine kleine Checkliste hast, was du tun kannst, um deine Webseite so sicher wie möglich zu machen, hier eine kleine Zusammenfassung:
- Neuen Benutzer mit der Rolle „Autor“ anlegen und mit ihm Beiträge schreiben
- Benutzernamen kryptisch vergeben und den „Spitznamen“ später entsprechend in etwas Lesbares ändern
- Den Benutzernamen des Administrators in etwas Kryptisches ändern, z. B. mittels des oben genannten Plugins oder
- einen weiteren Benutzer erstellen, ihm Admin-Rechte geben und den ersten Admin löschen (dabei beim Benutzernamen ebenfalls Buchstaben und Zahlen)
- Alle Themes und Plugins aktualisieren, ungenutzte deaktivieren oder deinstallieren
- vorher Backup machen!
- Sichere Passwörter verwenden
- Passwörter nicht für mehrere Logins verschiedener Seiten verwenden
- ggf. Software benutzen
- Wenn du fit bist, die .htaccess-Datei ändern (oder von einem Profi entsprechend ändern lassen)
Mit diesen Maßnahmen hast du deinen Blog schon viel besser gesichert! Eine 100%ige Garantie auf Unantastbarkeit kann dir leider niemand geben, aber mit den oben genannten Möglichkeiten kannst du zumindest als Laie schon eine große Menge bewirken.
Hast du selbst noch Tipps, wie man seine Webseite sicherer machen kann, auch ohne tiefgehende IT-Kenntnisse?
http://www.vomschreibenleben.de/wp-admin/post.php?post=844&action=edit&message=5&revision=868
Trackback: glam lipstick mac 2016 New Style MVEXljJqP1
Trackback: 艩eimos medis
Bettina
super hilfreicheTipps, danke sehr, liebe Annika
werde ich mir merken, habe noch keine Website
lg Bettina
Vom Schreiben leben
Hallo Bettina, wenn du jetzt noch keine hast, umso besser: Am einfachsten ist es, von Anfang an für Sicherheit zu sorgen.
Greta Schneider
Liebe Annika,
deine Tipps sind schon einmal äußerst hilfreich. Meine Webseiten wurden mehr als einmal gehäckt 🙁
Ein sehr guter Tipp von meinem Webseiten-Provider fällt mir dazu noch ein:
Verschlüssele den FTP-Zugang und nutze auch hier ein sicheres Passwort!
Außerdem habe ich – zusätzlich – noch das Sicherheits-Plugin „Bulletproof Security“ installiert, das zu viele vergebliche Login-Versuche mit Sperren abstraft und eine sichere .htaccess – Datei erzeugt.
Das Wichtigste ist aber sicher, dass man die Datenbank regelmäßig sichert (erledigt dieses Plugin gleich mit) und dass man alle nicht verwendeten Plugins und Themes sogleich löscht.
Viele Grüße und vielen Dank
Greta
Vom Schreiben leben
Hallo Greta,
danke für die Ergänzungen! Das A und O ist und bleibt ein nicht-knackbares Passwort aus Zahlen, Buchstaben und Sonderzeichen. Das Sicherheits-Plugin werde ich mir mal ansehen, danke für den Tipp!
Liebe Grüße!