Wordfence – nie wieder gehackte WordPress Seiten

Im Jahr 2014 bekam ich nach einem Mail an meine Leser Antworten wie „was schickst Du denn für einen Schei…“
Ich ging den Dingen auf den Grund und musste feststellen dass zwei meiner WordPress Seiten gehackt waren.
undefinierbare php codes in jedem Verzeichnis meines Servers.

Eine der mails, die mich erreichten:

hack-mail

Aus einer Kunden-Mail

Links führten bei manchen Nutzern auf Seiten, die Nacktbilder verkauften oder manches mal wurde einfach gleich ein inApp Kauf gestartet.
Also die Seite leitete auf dem Smartphon direkt zu einem Kaufabschluss. Hatte man inApp käufe aktiviert und Zahlungsdaten hinterlegt, war gleich ein Geldbetrag weg.

Also hatte ich viel zu tun. zwei WP Blogs neu aufsetzen und dabei schauen, dass sie vor Hackern gesichert waren.
Vier Wochen Arbeit später hatte ich meine neuen Websites online und Wordfence installiert, ein plugin, das eine Firewall und Schad-Software-Scanner wie eine Sicherheitssuite auf dem PC ist.

wordfence

Damit kann ich alles einstellen um meinen Blog sicherer zu machen.
Alles hier aufzuführen wäre zuviel, aber so einfache Dinge wie z.B.

  • Der Versuch sich einzuloggen mit „Admin“ oder anderen von mir ausgewählten Namen wird mit Sperre der IP belohnt 🙂
  • Ich kann ganze Länder aussperren
  • Ich lasse mir jedes Mal eine Mail senden, wenn sich jemand einloggt.
  • Wenn jemand zu viele Leseversuche unternimmt – boing ausgesperrt.
  • usw.

Es gibt seeeehr viele Optionen, die man einstellen kann, muss man aber nicht. Das Wichtigste ist direkt nach der Installation automatisch eingestellt.

Einziger Nachteil ist Wordfence ist in englisch.

direkt zu Wordfence: https://www.wordfence.com/

 

Tipps zu den Wordfence-Einstellungen:

Anfangs lasse ich mir die Benachrichtigung schicken, wer alles sich einloggen möchte. Diese Login Namen, wie Admin, Seitenname etc. die immer wieder vorkommen sperre ich dann gleich aus.

Nach ein paar Wochen deaktiviere ich diese Benachrichtigungen.

Fügt man Scripts ein muss man die Firewall auf „Learning Mode“ stellen, damit Wordfence das nicht blockt. Danach wieder „enabled“ aktivieren.

Länder aus denen viele LogIn Versuche kommen kann man komplett aussperren.

Bei Seiten ohne Mitgliederbereich habe ich alle, die sich nicht einloggen können für 10 Tage ausgesperrt. Das verdirbt solchen Individuen den Spaß an meiner Website 😉

Manche dieser Einstellungen gehen nur in der Vollversion von Wordfence.

Tipp für den Admin – User

Ich erstelle immer mehrere User und nehme den siebten oder achten als Administrator. Dann wähle ich einen ungewöhnlichen Usernamen.

Allgemein sollte man den Benutzernamen und den Anzeigenamen unterschiedlich halten, z.B.

Benutzer = VnName@Domain2.0

Anzeigename = Vorname Nachname

1 Comment

  • Carsten Dohmann

    Reply Reply 5. Oktober 2016

    Hallo Michael,

    ja ich hatte vor Jahren auch mal einen Hackerangriff auf einer WordPress Seite gehabt. Bei mir wurde ein Porno dauerhaft als Screenfiller auf meiner Webseite abgespielt. Also alles neu aufgespielt vom Backup her und durchgeschnauft und am nächsten Tag das gleiche Spiel mit Kommentar auf dem Bildschirm zu früh gefreut.
    Da wird Dir schlecht, wenn Deine monatelange Arbeit zerstört wird und Du nicht weisst, was Du dagegen tun kannst.

    Inzwischen nutze ich ebenfalls Wordfence oder Ithemes Security, habe einen htaccess Schutz eingerichtet, mache täglich Backups mit Updraft plus oder BackupBuddy und habe diverse Einstellungen vorgenommen und habe Ruhe. Allerdings muss man sagen, dass es nie einen 100%igen Schutz gibt. Sucuri kann ich auch noch empfehlen, was allerdings eine monatliche Gebühr kostet. Es muss halt jeder selbst wissen, wieviel Arbeit in seiner Seite steckt und was es ihm Wert ist, diese einigermaßen zu schützen.

    Daher kann ich Dir nur zustimmen, niemals eine WordPress Seite laufen lassen ohne Schutz, auch wenn es den 100%ig nicht gibt.

    Gruß

    Carsten

Leave A Response

Newsletter abonnieren

* Denotes Required Field