Vor einiger Zeit habe ich Euch hier bereits einige Plugins vorgestellt. Nach einer ausführlichen Aufräumaktion und Aktualisierung an meine Bedürfnisse habe ich inzwischen etwas umsortiert. Insbesondere in puncto Sicherheit – sowohl nach außen als auch dem Schutz vor eigenen Fehlern, die es im Nachhinein reumütig rückgängig zu machen gilt.

1. Sicherheit

Heute geht es neben Backup um den Bereich Sicherheit. Ich empfinde beiden Themengebiete sehr nah miteinander verknüpft und nach einem Fauxpas bei Blogger im Februar letzten Jahres (der gesamte Bloginhalt war gelöscht, nachdem ich statt im Testblog im richtigen die Artikel gelöscht hatte und das Backup sich nicht wieder aufspielen ließ) und bin ich zu WordPress  umgezogen. Der Vorteil: die Sicherheit liegt in meiner Hand. Der Nachteil: die Sicherheit liegt in meiner Hand.

Wordpress Grafik

Nachdem ich bei WordPress angekommen war, hatte ich das erste Mal Probleme mit dem Thema Spam. Innerhalb der letzten Monate häuften sich Loginversuche von außen (durch Limit Login Attempts darauf aufmerksam geworden. Ein hervorragendes Plugin, das jedoch durch eines der folgenden obsolet wird). Aber es ist ja nicht nur möglich, Eure WordPress Installation zu ruinieren und infiltrieren, wenn man eingeloggt ist… je mehr ich lese, was alles machbar ist, desto größere Augen bekomme ich. 100% Sicherheit gibt es wie überall nicht – aber ich muss auch nicht Haus und Hof offen lassen.

Über Artikel wie diese hier „Hilfe: WordPress gehackt was tun?„WordPress-Sicherheit: Diese Plugins schützen Deine Website“ oder  „Tipps zur Sicherheit von WordPress“ wird man einsteigend gut über das Thema Hacker und Sicherheit  informiert. Vielen Dank für die Mühe.

Nach einigen Versuchen, Installationen von Plugins, Abschreckung durch Dinge wie Änderung des Datenbank-Präfix („Oh Gott! mache ich da auch nichts kaputt?!“), großen Fragezeichen bei „htaccess“, Deinstallation von Plugins, etc. habe ich mich für folgende Kombination entschieden, die ich Euch ans Herz legen möchte:

*** Die Überschriften sind Links zu den Plugins ***

1.1 All in One WP Security & Firewall

Was ich hier besonders angenehm finde, ist dass sehr nachvollziehbar, schrittweise und mit der Unterscheidung in „Basic“, „Intermediate“ und „Advanced“  (simple Veränderungen und Veränderungen, die etwas mehr Kenntnis erfordern), die Möglichkeit vorher die betroffenen Dateien auch zu sichern oder wieder herzustellen (sofern man ins Backend danach auch wieder hineinkommt…, es sei aber jedem empfohlen, sich mit einem ftp Programm wie Filezilla oder ähnlichem vertraut zu machen). Das Plugin unterstützt bei den Einstellungen, erklärt die Änderungen und bietet sogar bei der Wahl des Passwortes Unterstützung.

Ich habe bisher kein so umfassendes Plugin gesehen, dass dabei so viel Benutzerfreundlichkeit bietet.

1.2 Brute Protect

Nachdem ich dieses Plugin installiert hatte, war „Limit Login Attempts“ (ebenfalls ein sehr gutes Plugin) unnötig. Die Attraktivität dieses Plugins macht seine Vernetzung aus: die versuchen fehlgeschlagenen Logins werden dokumentiert und mit einer Vielzahl anderer WordPress Seiten verglichen. Die Suche nach Mustern hilft die Bots zu identifizieren, die für die Login-Versuche zuständig sind. Je mehr Personen zum Sammeln der misslungenen Loginversuche beitragen, desto eindeutiger und schneller lassen sich Angriffe identifizieren – und blockieren.

Man muss – ganz simpel – einen API Schlüssel anfordern, damit das Plugin funktioniert. Hinter den Kulissen ist der folgende Screenshot alles, was Ihr vom Plugin in Eurem Dashboard seht.

1.3 Antispam Bee

Antispam Bee habe ich Euch bereits vorgestellt. Mal finde ich es besser, mal schlechter. Alles in allem blockiert es jedoch leidlich gut mit Phasen, an denen ich leider dennoch  gern 60 Spamkommentare doch per Hand löschen muss. Natürlich könnte man Akismet installieren… aber seien wir ehrlich… wie gern tragt ihr noch irgendeine (manchmal schwer lesbare) Zahlen-Buchstaben-Kombination ein? Zusätzliche Möglichkeiten könnten Growmap Anti Spambot Plugin oder Spam Free WordPress sein… aber damit habe ich noch keine Erfahrungen gemacht und noch möchte ich kein weiteres Plugin installieren.

2. Backup

Ich habe hier bereits einen relativ ausführlichen Artikel zum Thema manuelles oder plugin-basiertes Backup und Datenbankbereinigung gemacht (notgedrungen – ein wenig wie wenn man auch etwas lernt, während man sich seinen Latein-Spicker konzipiert). Ich bin technisch nur mittelmäßig versiert, aber man kann sich alles aneigenen, was man wissen muss und das macht irgendwie auch Mut. Dennoch: eines der wichtigsten Dinge ist das Backup – und dabei ist es nicht mit der reinen Sicherung der Dateien auf dem Server getan. Auch die Datenbank muss gesichert sein, um Euren Blog vollständig zu erhalten.

Warum habe ich mein Backup-Plugin im Gegensatz zu dem oben verlinkten Artikel verändert? Weil WordPress Backup to Dropbox plötzlich nur noch funktioniert hat, wenn ich es deinstalliert habe und neu installiert. Und dann verlässlich immer nur 1-2 mal. Das ist für eine dauerhafte Sicherung einfach nicht ausreichend. Andere Plugins haben meinen Blog gecrasht (die aktuelle Version von BackUpWordPress hat mir nur noch einen blanco Bildschirm gezeigt, wenn ich in das Backend einloggen wollte… (LÖSUNG: per ftp Client in den plugins Ordner und das Plugin löschen oder  den Ordner umbenennen). Andere haben das Backup einfach nicht abgeschlossen. Außerdem muss ja auch die Datenbank gesichert werden und ich habe mich gefreut, das folgende Plugin zu finden, das sehr simpel und verlässlich ALLE wichtigen Dateien sichert.

2.1 Updraft Plus – Backup / Restore

Die Einstellungen (s. unten – nur ein Ausschnitt, mehr Einstellungen möglich) sind denkbar simpel. Dei Sicherungsintervalle von Dateien UND Datenbank können unabhängig voneinander eingestellt werden, die Anzahl der zu behaltenden Backups definiert und außerdem auch Ausnahmen benannt. Per Email kann man über den erfolgreichen Backup-Vorgang informiert werden und bestimmen, wo die Sicherung gespeichert werden soll. Ich bevorzuge Dropbox, aber auch AmazonS3, Google Drive, ftp oder sogar Email (u.a.) sind möglich.

Das Plugin selbst ist kostenlos – die Implementierung bestimmter Funktionen (Backup zu bestimmtem Zeitpunkt, Ausschalten von Werbung, in Unterordner abspeichern, Migrationshilfe, u.a.) kostet je nach Funktion zwischen 10 Dollar (keine Werbung) zu 55 Dollar (alle Funktionen freischalten).

3. Fazit

Ich denke um eine Sicherung kommt man leider auch als kleiner Blog nicht herum, wenn man seine Inhalte – aber auch seine Leser – schützen möchte. Mit den oben genannten Plugins ist es relativ einfach zumindest den „Sicherungsgurt“ anzulegen. 100% Sicherheit bietet nichts, aber es ist besser als untätig zu bleiben. Selbst, wenn Ihr nicht viele Plugins installieren möchtet, hier ein paar Ideen:

  1. In Deinem Profil (Benutzer > Dein Profil) sollten Benutzername und Spitzname (öffentlicher Name)unterschiedlich sein! – Du solltest für Deinen öffentlichen Namen auch Deinen Nickname dort einstellen! Der Name sollte übrigens keinesfalls „Admin“ sein!
  2. Deine Passwörter sollten eine Kombination aus Zeichen, Zahlen, Buchstaben sowie Groß- und Kleinschreibung sein. Tips dazu hier.
  3. Entweder sollte „Limit Login Attempts“ oderBruteProtect installiert werden! Ich war erschrocken zu bemerken, wie viele Loginversuche es wirklich gibt! Es waren teilweise 60 am Tag!
  4. WordPress und Plugins aktuell halten
  5. Bevor Du ein neues Theme installierst, kannst Du es mit den Plugins Theme-Check  und/oder TAC und/ oder Antivirus auf Malare überprüfen

Ich werde noch zwei weitere Artikel zum Thema „Plugins“ schreiben. WordPress Plugins – Social, Optik und Benutzerfreundlichkeit und WordPress Plugins – kleine Helfer im Hintergrund. Ich hoffe, dass Euch dieser kleine Exkurs vielleicht eine Hilfe war oder werden kann und wäre aber auch sehr interessiert, wie Ihr das Thema Sicherheit handhabt, ob Ihr Empfehlungen habt und ob es Dinge gibt, die Euch über das hier erwähnte hinaus interessieren.

Ich möchte gerne immer einmal wieder auch Artikel mit technischem Inhalt einflechten. Auch zu „Bildbearbeitung“ oder kleinen zeitsparenden Tricks in meiner Blogging Routine. Und um ehrlich zu sein, würden mich diese auch von Euch sehr interessieren. Wenn Ihr also auch einen Blog habt: Wie erspart Ihr Euch Mühe, stellt Sicherheit her oder habt hilfreiche Tricks herausgefunden?

Easter Egg

Ach apropos Tricks… wer bei den Revisionen (unterhalb des Posteditors) einmal „alt“ und „neu“ im gleichen Dokument vergleicht, bekommt einen kleinen Schreck…

Das Ende habe ich Euch nicht hinein kopiert… aber keine Angst. Es macht nichts kaputt und ist ein sogenanntes „Easter Egg“ innerhalb von WordPress. Wer neugierig ist… sollte es einmal bei sich aktivieren und ohne Angst beobachten.

Alles Liebe!

Wenn Ihr in Eile seid und mir trotzdem zeigen möchtet, ob Euch der Artikel gefallen hat, dann lasst mir doch einfach Sternchen da! Bei Gedanken, Verbesserungsvorschlägen oder Hinweisen freue ich mich über ein Kommentar, um sie zu berücksichtigen!
[rate]