Der häufigste Weg, über den WordPress-Websites gehackt werden, ist nicht eine ausgeklügelte Zero-Day-Lücke. Es ist ein schwaches Passwort oder ein Nutzerkonto mit dem Namen "admin". Bots scannen das Internet rund um die Uhr und probieren systematisch die häufigsten Kombinationen durch. Mit ein paar einfachen Maßnahmen machst du diesen Angriffspfad wertlos.
Was ein starkes Passwort wirklich ausmacht
Vergiss die alten Regeln wie "mindestens 8 Zeichen mit Sonderzeichen". Aktuelle Empfehlungen des BSI und von NIST setzen auf Länge statt Komplexität. Ein gutes WordPress-Passwort:
- Hat mindestens 16 Zeichen, besser 20 oder mehr
- Ist komplett zufällig generiert, kein Wort, kein Name, kein Datum
- Wird für keine andere Website wiederverwendet
- Wird regelmäßig gewechselt, mindestens einmal pro Jahr
Ein Passwort wie "Kf7#mP2xQnL9wRvY3z" ist deutlich sicherer als "Sommer2024!" und trotzdem schwer zu merken. Genau deswegen brauchst du einen Passwort-Manager.
Passwort-Manager: Warum du ohne einen lebst wie vor 2010
Ein Passwort-Manager generiert und speichert komplexe, einmalige Passwörter für jeden Dienst. Du musst dir nur noch ein einziges starkes Master-Passwort merken. Für KMU empfehlenswert sind:
- Bitwarden: Open-Source, kostenlos für Einzelnutzer, sehr günstig für Teams. Läuft im Browser, als App und auf dem Smartphone.
- 1Password: Besonders komfortabel für Teams, gute Freigabe-Funktionen, ab 4 Dollar pro Nutzer und Monat.
- KeePassXC: Vollständig lokal, keine Cloud, kostenlos. Ideal für besonders datenschutzbewusste Nutzer.
Wichtig: Teile WordPress-Zugangsdaten niemals per E-Mail oder Chat. Nutze stattdessen die Freigabe-Funktion deines Passwort-Managers.
Den Nutzernamen "admin" sofort löschen
Bei älteren WordPress-Installationen existiert häufig noch ein Konto mit dem Nutzernamen "admin". Das ist ein gravierendes Problem, weil Angreifer diesen Namen bereits kennen und nur noch das Passwort erraten müssen. So gehst du vor:
- Erstelle einen neuen Administrator-Account mit einem unauffälligen Nutzernamen (nicht deinen echten Vor- und Nachnamen in kombinierter Form)
- Weise dem neuen Account alle bestehenden Inhalte zu
- Lösche den alten "admin"-Account vollständig
WordPress erlaubt es dir übrigens nicht, einen Nutzernamen nachträglich zu ändern. Deshalb musst du einen neuen Account anlegen.
Login-Versuche begrenzen
Standardmäßig erlaubt WordPress unbegrenzte Login-Versuche. Bots nutzen das aus und probieren tausende Kombinationen pro Minute. Zwei einfache Maßnahmen helfen:
- Login-Versuche limitieren: Das Plugin "Limit Login Attempts Reloaded" blockiert IP-Adressen nach einer konfigurierbaren Zahl fehlgeschlagener Versuche (Empfehlung: 5 Versuche, dann 20 Minuten Sperre).
- Login-URL ändern: Die Standard-URL wp-login.php ist allgemein bekannt. Mit "WPS Hide Login" kannst du sie auf eine beliebige andere URL verlegen, etwa /mein-bereich. Das allein schon reduziert automatisierte Angriffe massiv.
Wenn du Wordfence nutzt (mehr dazu in unserem Beitrag zur Website-Sicherheit für KMU), ist der Login-Schutz bereits integriert.
Weitere schnelle Gewinnmaßnahmen
- Deaktiviere nicht genutzte Nutzerkonten. Ehemalige Mitarbeiter oder Freelancer sollten keinen Zugang mehr haben.
- Verwende für jeden Redakteur die niedrigstmögliche Rolle. Nur wer wirklich Administrator-Rechte braucht, sollte sie haben.
- Aktiviere WordPress-Benachrichtigungen bei neuen Administrator-Accounts. Wordfence und andere Sicherheitsplugins können dich bei verdächtigen Account-Aktivitäten per E-Mail alarmieren.
Passwort-Sicherheit ist keine einmalige Aufgabe, sondern ein laufender Prozess. Bei rocks.optimize prüfen wir im Rahmen unserer laufenden Website-Pflege regelmäßig Nutzerkonten, Zugriffsrechte und Sicherheitseinstellungen deiner WordPress-Installation.
Verwandte Artikel & Lexikon
Website-Optimierer und Gründer von rocks.optimize. Hilft KMU dabei, schnellere, sicherere und besser gefundene Websites zu bekommen.
marcferstl.de →