WordPress Sicherheit – Tipps für sichere Passwörter und das Passwort-Managment – Die Sicherheit von WordPress Installationen ist nach wie vor ein wichtiges Thema, denn immer noch werden automatisiert viele Angriffe auf WordPress-Seiten durchgeführt.
Wenn eine Webseite erstmal gehackt ist, bedeutet das meistens viel Arbeit und oft kann man sich ohne einen kompletten Neustart kaum sicher sein, dass nicht doch kompromittierte Bereiche vorhanden sind. Unsichere Webseite werden dazu mittlerweile zentral gesammelt und ist die eigene Seite erstmal als unsicher eingestft, braucht es viel Zeit um diese Einstufung wieder zu entfernen (mehr dazu hier: Malware Warnung entfernen). Bei neueren Angreifern kann es dazu sein, dass man kaum merkt, dass die Seite gehackt wurde, bis es wirklich zu spät ist und bespielsweise auch in den Suchergebnissen Warnungen eingeblendet werden.
Due gute Nachricht: in den meisten Fällen erfolgen erfolgreiche Angriffe nicht über die Zugangsdaten, sondern eher über veraltete Plugins und Theme- oder Core-Dateien. Dennoch sollte man auch auf die Zugangsdaten und Passwörter von WordPress acht geben und hier sichere Varianten wählen.
Sichere Passwörter für WordPress
Sichere Passwörter für WordPress unterscheiden sich strukturell nicht von anderen sicheren Passwörtern. Das Core-System von WordPress erlaubt dazu viele Sonderzeichen und auch recht lange Passwörter – ist also sehr benutzterfreundlich für alle, die viele Zeichen und auch Sonderzeichen verwenden wollen.
Man sollte dabei auch die Verwendung des Passwortes beachten: bei WordPress-Seiten ohne Zertifikat (erkennbar am https) werden Zugangsdaten im Klartext an die Webseite übertragen und sind daher für andere Nutzer im gleichen Netzwerk unter Umständen sichtbar. In dem Fall ist auch ein sicheres Passwort keine Hilfe, da dieses einfach kopiert werden kann. Unabhängig davon sollte aber natürlich auch das Passwort selbst sicher sein und dafür gibt es einige einfache Regeln.
Prinzipiell gilt dabei:
- Sichere Passwörter sind individuelle Passwörter – Für jede Webseite sollte man im besten Fall ein eigenes Passwort nutzen, mindestens sollte aber die Kombination aus Emailadresse/Nutzername und Passwort für jede Seite individuell sein. Sonst können erfolgreiche Angreifer bei WordPress auch andere Webseite hacken oder umgekehrt: sollte andere Webseite mit dem gleichen Passwort erfolgreich angeriffen werden, wäre auch die WordPress Installation in Gefahr.
- Komplexe Passwörter sind sicherer als einfache Varianten – Einfach passwörter, die im Zusammenhang mit dem Nutzer stehen, sind recht einfach zu beschaffen. Das Geburtstdatum kommt in vielen Datensätzen zusammen mit den Zugangsdaten vor, ist also beispielsweise schlecht als Passwort-Ersatz. Mittlerweile findet man online viele Passwort-Generatoren, bei denen man gratis passende Kombinationen erstellen kann. Das sollte man auf jeden Fall nutzen und 12 oder mehr Stellen als Passwort verwenden.
- Passwortmanager helfen, diese komplexen und individuellen Passwörter zu verwalten. Dabei sollte natürlich auch der Passwort Manager entsprechend abgesichert sein und ein eigenes Passwort haben. Dann muss man sich nur noch dieses Passwort merken, die anderen Daten hat der Manager im Kopf.
Wenn mehrere Benutzer auf einer WordPress-Installalation angemeldete sind, sollten natürlich alle auch sichere Passwörter benutzten. Sonst kann ein Benutzer alles richtig machen und das WordPress wird dennoch über einen anderen Account gehackt. In dem Zusammenhang sollte man auch inaktive Benutzer ab und an kontrollieren oder ihre Zugriffsrechte beschränken. Auch Accounts, die gerade nicht genutzt werden, können ein Sicherheitsrisiko darstellen.
Danke für diesen Beitrag. Gerade das Thema Passwörter wird oftmals vernachlässigt… Ich nutze z.B. auch Passwort-Tresore wie lastpass
Bei der Anzahl an Accounts, die man mittlerweile im Web hat darf das Thema Passwörter nicht zu kurz kommen. Wir nutzen einen Password-Manager um den Überblick zu behalten.
Bei WordPress wird ja mittlerweile auch ein Passwort vom System bei der Installation generiert, so bekommt der Nutzer bereits hier die Info, wenn er ein nicht so starkes Passwort eintippt und muss es mit einer Checkbox sogar bestätigen.
Eine super tolle Blog-Seite. Als Anfänger sucht man sehr viel nach guten Tipps im Internet. Und genau hier auf dieser Seite kann man die Tipps lesen und die ohne Probleme umsetzen. Vielen Dank.
PS: Ich benutze von Kaspersky den Passwortmanager und bin damit sehr zufrieden.
Beste Grüße
Danke für den Beitrag und die guten Tipps. Bei so vielen Accounts und Passwörtern verliert man schnell die Übersicht. Habe Dashlane bisher genutzt und suche nun einen neuen Passwort-Tresor. Habt ihr da vielleicht eine gute Empfehlung?
Wow! Vielen Dank für den Beitrag und all diese tollen Passwort-Tipps. Das Problem bei so vielen Konten ist, dass man leicht den Überblick verliert, aber ich habe Dashlane schon früher benutzt und empfehle sie, weil sie wirklich gut dafür sorgen, dass Ihre Passwörter nicht in irgendwelche Lecks oder Risse (oder was auch immer) fallen. Was benutzen Sie?
Ich benutze Dashlane, da die Server der meisten PW Manager aber nicht in Deutschland sitzen, bin ich mir nicht sicher ob die Nutzung Datenschutzkonform ist. In meiner alten SEO Agentur wurden LasPass deshalb abgeschafft.