Internet Sicherheit, WordPress Security – warum, wieso, weshalb?

IT Security WordPress Plugin Fräulein Wirbelwind

Heute möchte ich mal ein bisschen etwas über Sicherheit im Internet schreiben. Warum mir das wichtig ist? Weil es genug böse Jungs draußen gibt, die an eure Daten auf dem PC möchten.

Gerade auch Blogs sind hier eine große Zielgruppe für böse Jungs geworden. Wie ihr euch als Privatpersonen und besonders als Blogger ein wenig davor schützten und hier proaktiv handeln könnt, möchte ich euch natürlich erzählen.

Plugins aktualisieren

Ich möchte nicht mit dem Zeigefinger hebend erscheinen, aber bitte denkt an die Updates! Die Plugins, wie auch WordPress, sollten regelmäßig geupdatet werden.

Für alle Blogger und vor allem für die, die ihren Blog selbst hosten ist die goldene Regel Nr.1: Immer dran denken, dass die Plugins aktualisiert werden müssen.
Dabei bitte auch WordPress nicht vergessen. Da ihr euch meistens einloggt um neue Posts zu veröffentlichen, oder auch Medien hochzuladen, achtet einfach darauf, ob euch Aktualisierungen angezeigt werden. Schiebt man das nicht ewig auf, dauert ein Update meistens auch nur wenige Minuten. Andernfalls lauft ihr Gefahr, dass sich so unbemerkt Viren oder ähnliches einschleichen können, die auch eure Blogbesucher infizierten können.
Die Sicherheitsupdates bei WordPress sollte man natürlich auch im Auge behalten und hier findet ihr auf Heise eine extra WordPress-Seite.

Unerlässlich für die Sicherheit sind hier auch immer und gerne folgende Plugins!

Pluginliste

Akismet – Schützt den Blog vor Spam-Kommentaren. Ich nutze aber ehrlich gesagt Antispam Bee und kann daher über dieses Plugin nicht viel Persönliches berichten.
Antispam Bee – Simples und äußerst effektives Plugin zur Bekämpfung von Spam-Kommentaren. Datenschutzkonform, funktionsreich und unkompliziert.
Captcha – Kreiert simple Rechenaufgaben beim Login um zu prüfen, ob sich nicht ein Bot versucht bei euch einzuloggen.
Limit Login Attempts – Sehr nützlich um Angreifer einfach auszusperren. Dieses Plugin sperrt den Login-Namen, wenn zu viele fehlgeschlagene Anmeldeversuche unternommen wurden. Selbst Administratoren bilden hier keine Ausnahme und können ebenso ausgesperrt werden. Daher empfiehlt es sich, mindestens noch einen Backup Benutzer als Administrator registriert zu haben. (Bittet verwendet hier nie „admin“, „Admin“ oder „Administrator“ als Anmeldenamen!!)
Wordfence Security – Mein momentan liebstes Security-Plugin! Es sendet E-Mails und erinnert euch, wenn Plugins oder auch WordPress Updates benötigen. Ich bekomme z.B. E-Mails wenn sich jemand versucht unerlaubt einzuloggen oder vom Limit Login Attempts ausgesperrt Plugin wird und wann sich jemand mit welcher IP über welchen Benutzernamen anmeldet. Kurzum, ich liebe dieses Plugin!

Am effektivsten, wirkt für mich selbst das Wordfence Security Plugin.
Generell ist aber zu bedenken, dass Plugins selbst auch immer als potentielle Gefahrenquelle zu sehen sind, da je nach Begabung des Programmierers hier auch einige Schwächen lauern können.
Daher gilt generell: So wenig Plugins wie möglich, so viel Plugins wie (wirklich) nötig.

Wenn ihr die oben aufgeführten Plugins installiert, ist das noch lange kein Garant dafür, dass euer Blog in Zukunft sicher ist. Auch diese können jetzt oder in Zukunft Schwächen aufweisen. Daher ist es hier wichtig, sich einfach regelmäßig zu informieren!

Passwörter

Alle Plugins der Welt ersetzten nicht eure Passwortsicherheit! Daher bitte darauf achten, dass die Passwörter sicher sind. Sicherlich gibt es auch einzelne Hacker, die sich vor den PC setzten und überlegen was das Passwort von Person XYZ sein könnte. Dies ist allerdings eher die Ausnahme! Die Betrüger haben leider meist etwas Ahnung von dem was sie tun und lassen gezielt Programme über euren Blog laufen. Diese können z. B. automatisiert Wörter ausprobieren die in Wörterbüchern vorkommen oder durchlaufen gespeicherte Passwortlisten. Daher sollten eure Passwörter so sicher wie möglich sein und  mindestens folgende Kriterien erfüllen:

– Mindestens 12 Zeichen (je mehr, desto besser!)
– Groß- und Kleinbuchstaben verwenden
– Zahlen verwenden, am Besten keine Jahreszahlen wie 2014
– Sonderzeichen nutzen z.B. : . , # * +! – : ; ?
– Keine leicht zu erratenden Wörter nutzen, wie z.B. „Passwort“
– Am besten gar keine regulären Wörter nutzen, sondern komplexe Zeichenfolgen
– Für Wichtige Accounts wie zum Beispiel Online Banking, WordPress Login oder ähnliches einzigartige Passwörter verwenden, die ihr sonst nirgends verwendet

Wer auf der Suche nach einem sicheren Passwort ist, sollte auch keine besonderen Schreibweisen von kompletten Wörtern wählen, da ein Hacker-Programm auch diese kennt und ausprobiert. Beim Wort „Schlafmütze“ würde es somit auch irgendwann auf die Schreibweise mit Zahlen „7chl84muetze“ kommen.
Eine gute Variante ist es, sich einen Satz zu überlegen und diesen dann wiederum mit den Anfangsbuchstaben der Wörter in ein Passwort zu verwandeln.
Ein Beispiel: „Ich esse jeden Sonntag Waffeln um 12 Uhr“. Daraus könnte mit Sonderzeichen folgendes Passwort entstehen: „#.IejSWu12U.#“

Generell gilt bei Passwörtern: Je länger und komplexer, desto in besser!
Regelmäßiges Wechseln der Passwörter ist auch eine sehr gute Idee. Allgemein sind Hackerangriffe länger geplant und vorbereitet und da kann ein regelmäßiger Passwortwechsel viel bringen. Ich ändere meine zum Beispiel spätestens alle 6 Monate komplett.

Mein persönlicher Security Gott hat mir folgenden Link zu einem Artikel auf Schneier on Security gezeigt, als ich recherchiert hatte.

Hier schreibt er:

Don’t bother updating your password regularly. Sites that require 90-day — or whatever — password upgrades do more harm than good. Unless you think your password might be compromised, don’t change it.

Mir persönlich fällt es schwer, mir gefühlte 1000 Passwörter zu merken. Hier gibt es jedoch Tools wie Keepass und 1password (hier gibt es sogar eine kostenlose Version für Iphone User).
Es gibt hier auch Tipps für Passwortsysteme, um sich komplexe Passwörter für viele Seiten einfach zu merken.

Sollte euer Blog eine Passwort Reset Funktion für den Login haben, solltet ihr das E-Mail Postfach, an die die Zurücksetz-E-Mail gesandt wird, mit der Sicherheit des Blogs gleichsetzten. Alle oben genannten Tipps und Plugins für euren Blog helfen nichts, wenn Euer Passwort für das E-Mail Postfach „12345“ ist. Sollte der Angreifer dann zufällig an zwei Passwörter kommen und das System erraten, kann man hier schnell alle Accounts verlieren.

Wenn wir uns alle bemühen uns „sicherer“ in diesem Internet – von dem wir schon so viel gehört haben – zu bewegen hoffe ich, dass es den Hackern nicht mehr so leicht fällt in Zukunft an unsere Daten zu kommen.

 

Machts euch hübsch. 🙂

unterschrift2

 

Schlagwörter: ,

YOU MIGHT ALSO LIKE

LEAVE A COMMENT