Vor einiger Zeit habe ich Euch hier bereits einige Plugins vorgestellt. Nach einer ausführlichen Aufräumaktion und Aktualisierung an meine Bedürfnisse habe ich inzwischen etwas umsortiert. Insbesondere in puncto Sicherheit – sowohl nach außen als auch dem Schutz vor eigenen Fehlern, die es im Nachhinein reumütig rückgängig zu machen gilt.
1. Sicherheit
Heute geht es neben Backup um den Bereich Sicherheit. Ich empfinde beiden Themengebiete sehr nah miteinander verknüpft und nach einem Fauxpas bei Blogger im Februar letzten Jahres (der gesamte Bloginhalt war gelöscht, nachdem ich statt im Testblog im richtigen die Artikel gelöscht hatte und das Backup sich nicht wieder aufspielen ließ) und bin ich zu WordPress umgezogen. Der Vorteil: die Sicherheit liegt in meiner Hand. Der Nachteil: die Sicherheit liegt in meiner Hand.
Nachdem ich bei WordPress angekommen war, hatte ich das erste Mal Probleme mit dem Thema Spam. Innerhalb der letzten Monate häuften sich Loginversuche von außen (durch Limit Login Attempts darauf aufmerksam geworden. Ein hervorragendes Plugin, das jedoch durch eines der folgenden obsolet wird). Aber es ist ja nicht nur möglich, Eure WordPress Installation zu ruinieren und infiltrieren, wenn man eingeloggt ist… je mehr ich lese, was alles machbar ist, desto größere Augen bekomme ich. 100% Sicherheit gibt es wie überall nicht – aber ich muss auch nicht Haus und Hof offen lassen.
Über Artikel wie diese hier „Hilfe: WordPress gehackt was tun?“ „WordPress-Sicherheit: Diese Plugins schützen Deine Website“ oder „Tipps zur Sicherheit von WordPress“ wird man einsteigend gut über das Thema Hacker und Sicherheit informiert. Vielen Dank für die Mühe.
Nach einigen Versuchen, Installationen von Plugins, Abschreckung durch Dinge wie Änderung des Datenbank-Präfix („Oh Gott! mache ich da auch nichts kaputt?!“), großen Fragezeichen bei „htaccess“, Deinstallation von Plugins, etc. habe ich mich für folgende Kombination entschieden, die ich Euch ans Herz legen möchte:
*** Die Überschriften sind Links zu den Plugins ***
1.1 All in One WP Security & Firewall
Was ich hier besonders angenehm finde, ist dass sehr nachvollziehbar, schrittweise und mit der Unterscheidung in „Basic“, „Intermediate“ und „Advanced“ (simple Veränderungen und Veränderungen, die etwas mehr Kenntnis erfordern), die Möglichkeit vorher die betroffenen Dateien auch zu sichern oder wieder herzustellen (sofern man ins Backend danach auch wieder hineinkommt…, es sei aber jedem empfohlen, sich mit einem ftp Programm wie Filezilla oder ähnlichem vertraut zu machen). Das Plugin unterstützt bei den Einstellungen, erklärt die Änderungen und bietet sogar bei der Wahl des Passwortes Unterstützung.
Ich habe bisher kein so umfassendes Plugin gesehen, dass dabei so viel Benutzerfreundlichkeit bietet.
1.2 Brute Protect
Nachdem ich dieses Plugin installiert hatte, war „Limit Login Attempts“ (ebenfalls ein sehr gutes Plugin) unnötig. Die Attraktivität dieses Plugins macht seine Vernetzung aus: die versuchen fehlgeschlagenen Logins werden dokumentiert und mit einer Vielzahl anderer WordPress Seiten verglichen. Die Suche nach Mustern hilft die Bots zu identifizieren, die für die Login-Versuche zuständig sind. Je mehr Personen zum Sammeln der misslungenen Loginversuche beitragen, desto eindeutiger und schneller lassen sich Angriffe identifizieren – und blockieren.
Man muss – ganz simpel – einen API Schlüssel anfordern, damit das Plugin funktioniert. Hinter den Kulissen ist der folgende Screenshot alles, was Ihr vom Plugin in Eurem Dashboard seht.
1.3 Antispam Bee
Antispam Bee habe ich Euch bereits vorgestellt. Mal finde ich es besser, mal schlechter. Alles in allem blockiert es jedoch leidlich gut mit Phasen, an denen ich leider dennoch gern 60 Spamkommentare doch per Hand löschen muss. Natürlich könnte man Akismet installieren… aber seien wir ehrlich… wie gern tragt ihr noch irgendeine (manchmal schwer lesbare) Zahlen-Buchstaben-Kombination ein? Zusätzliche Möglichkeiten könnten Growmap Anti Spambot Plugin oder Spam Free WordPress sein… aber damit habe ich noch keine Erfahrungen gemacht und noch möchte ich kein weiteres Plugin installieren.
2. Backup
Ich habe hier bereits einen relativ ausführlichen Artikel zum Thema manuelles oder plugin-basiertes Backup und Datenbankbereinigung gemacht (notgedrungen – ein wenig wie wenn man auch etwas lernt, während man sich seinen Latein-Spicker konzipiert). Ich bin technisch nur mittelmäßig versiert, aber man kann sich alles aneigenen, was man wissen muss und das macht irgendwie auch Mut. Dennoch: eines der wichtigsten Dinge ist das Backup – und dabei ist es nicht mit der reinen Sicherung der Dateien auf dem Server getan. Auch die Datenbank muss gesichert sein, um Euren Blog vollständig zu erhalten.
Warum habe ich mein Backup-Plugin im Gegensatz zu dem oben verlinkten Artikel verändert? Weil WordPress Backup to Dropbox plötzlich nur noch funktioniert hat, wenn ich es deinstalliert habe und neu installiert. Und dann verlässlich immer nur 1-2 mal. Das ist für eine dauerhafte Sicherung einfach nicht ausreichend. Andere Plugins haben meinen Blog gecrasht (die aktuelle Version von BackUpWordPress hat mir nur noch einen blanco Bildschirm gezeigt, wenn ich in das Backend einloggen wollte… (LÖSUNG: per ftp Client in den plugins Ordner und das Plugin löschen oder den Ordner umbenennen). Andere haben das Backup einfach nicht abgeschlossen. Außerdem muss ja auch die Datenbank gesichert werden und ich habe mich gefreut, das folgende Plugin zu finden, das sehr simpel und verlässlich ALLE wichtigen Dateien sichert.
2.1 Updraft Plus – Backup / Restore
Die Einstellungen (s. unten – nur ein Ausschnitt, mehr Einstellungen möglich) sind denkbar simpel. Dei Sicherungsintervalle von Dateien UND Datenbank können unabhängig voneinander eingestellt werden, die Anzahl der zu behaltenden Backups definiert und außerdem auch Ausnahmen benannt. Per Email kann man über den erfolgreichen Backup-Vorgang informiert werden und bestimmen, wo die Sicherung gespeichert werden soll. Ich bevorzuge Dropbox, aber auch AmazonS3, Google Drive, ftp oder sogar Email (u.a.) sind möglich.
Das Plugin selbst ist kostenlos – die Implementierung bestimmter Funktionen (Backup zu bestimmtem Zeitpunkt, Ausschalten von Werbung, in Unterordner abspeichern, Migrationshilfe, u.a.) kostet je nach Funktion zwischen 10 Dollar (keine Werbung) zu 55 Dollar (alle Funktionen freischalten).
3. Fazit
Ich denke um eine Sicherung kommt man leider auch als kleiner Blog nicht herum, wenn man seine Inhalte – aber auch seine Leser – schützen möchte. Mit den oben genannten Plugins ist es relativ einfach zumindest den „Sicherungsgurt“ anzulegen. 100% Sicherheit bietet nichts, aber es ist besser als untätig zu bleiben. Selbst, wenn Ihr nicht viele Plugins installieren möchtet, hier ein paar Ideen:
- In Deinem Profil (Benutzer > Dein Profil) sollten Benutzername und Spitzname (öffentlicher Name)unterschiedlich sein! – Du solltest für Deinen öffentlichen Namen auch Deinen Nickname dort einstellen! Der Name sollte übrigens keinesfalls „Admin“ sein!
- Deine Passwörter sollten eine Kombination aus Zeichen, Zahlen, Buchstaben sowie Groß- und Kleinschreibung sein. Tips dazu hier.
- Entweder sollte „Limit Login Attempts“ oder „BruteProtect„ installiert werden! Ich war erschrocken zu bemerken, wie viele Loginversuche es wirklich gibt! Es waren teilweise 60 am Tag!
- WordPress und Plugins aktuell halten
- Bevor Du ein neues Theme installierst, kannst Du es mit den Plugins Theme-Check und/oder TAC und/ oder Antivirus auf Malare überprüfen
Ich werde noch zwei weitere Artikel zum Thema „Plugins“ schreiben. WordPress Plugins – Social, Optik und Benutzerfreundlichkeit und WordPress Plugins – kleine Helfer im Hintergrund. Ich hoffe, dass Euch dieser kleine Exkurs vielleicht eine Hilfe war oder werden kann und wäre aber auch sehr interessiert, wie Ihr das Thema Sicherheit handhabt, ob Ihr Empfehlungen habt und ob es Dinge gibt, die Euch über das hier erwähnte hinaus interessieren.
Ich möchte gerne immer einmal wieder auch Artikel mit technischem Inhalt einflechten. Auch zu „Bildbearbeitung“ oder kleinen zeitsparenden Tricks in meiner Blogging Routine. Und um ehrlich zu sein, würden mich diese auch von Euch sehr interessieren. Wenn Ihr also auch einen Blog habt: Wie erspart Ihr Euch Mühe, stellt Sicherheit her oder habt hilfreiche Tricks herausgefunden?
Easter Egg
Ach apropos Tricks… wer bei den Revisionen (unterhalb des Posteditors) einmal „alt“ und „neu“ im gleichen Dokument vergleicht, bekommt einen kleinen Schreck…
Das Ende habe ich Euch nicht hinein kopiert… aber keine Angst. Es macht nichts kaputt und ist ein sogenanntes „Easter Egg“ innerhalb von WordPress. Wer neugierig ist… sollte es einmal bei sich aktivieren und ohne Angst beobachten.
Alles Liebe!
Wenn Ihr in Eile seid und mir trotzdem zeigen möchtet, ob Euch der Artikel gefallen hat, dann lasst mir doch einfach Sternchen da! Bei Gedanken, Verbesserungsvorschlägen oder Hinweisen freue ich mich über ein Kommentar, um sie zu berücksichtigen!
[rate]
wasmachtHeli
Vielen herzlichen Dank für diese Zusammenstellung. Ich habe mich jetzt auch mal um die fehlgeschlagenen Logins gekümmert, die beiden Plugins, die Du vorgestellt hast, kannte ich noch nicht. Ich bin gespannt, ob es bei mir auch Versuche gibt. Danke für den Tipp.
Ich habe bei meinem Domain-Anbieter ein extra Paket zum Backup der Daten gekauft. Das sichert alle 24 Stunden und auch monatlich. Ich habe es auch tatsächlich schon einmal gebraucht, als ich genau wie Du plötzlich nur noch einen weißen Bildschirm hatte. Da steigt dann auch mal gehörig der Puls, nicht wahr. 🙂 Bei mir war es damals ein Twitter Plugin, das wusste ich zu dem Zeitpunkt aber nicht, weil ich an dem Tag sehr viel gebastelt hatte.
Ich habe dann den Zustand vom Vortag wieder herstellen können. Insofern hat sich die Investition schon gelohnt. 🙂
She-Lynx
Oh! Ich freu mich, dass sich jd. darüber freut. Über solche Artikel erhalte ich nicht unbedingt viel Feedback und dann weiß ich nicht, ob es überhaupt jd. interessiert, ob alle sich damit schon ausführlich beschäftigt haben und nur ich hinterherhinke… Sichert es bei Dir auch die Datenbank? Ja… ich kenn diesen Herzschreckmoment… wobei es seit der Sicherung der Daten viel, viel besser ist… wie man WordPress aber nochmal von 0 mit seinem „alten“ Blog (also der Sicherung) aufsetzt… das muss ich mir mal noch in Ruhe ansehen…
wasmachtHeli
Ja, das Paket sichert alles Nötige und Du kannst auch jeden Zustand der letzten Zeit jeweils 24-stündig wiederherstellen. So etwa wie Time-Machine. Das ist schon praktisch, wenn man sich mal etwas verschießt oder die Änderungen doch nicht so geklappt haben, wie man sich das dachte.
Nathalie
Vielen Dank für den tollen Artikel! Ich muss ganz ehrlich gestehen, dass ich mich zwar schon etwas um Sicherheitsaspekte gekümmert habe, jedoch nicht ausreichend genug! Dein Artikel war ein super Ansporn daran etwas zu verändern. Danke für die Tips 🙂
She-Lynx
Vielen Dank für die Rückmeldung! Ich weiß oft nicht, ob es überhaupt jd. lesen mag oder ob nur BeautyArtikel gern gelesen werden. Aber ich brauch das ab und zu. Für mich sind es eigene Nachschlagewerke und meistens recherchiere ich einige Zeit, ehe ich etwas finde, das mir wirklich gefällt, wirklich funktioniert und freue mich da auch über jeden Blog, der über den entsprechenden Inhalt berichtet. Es sind einfach zusätzliche Meinungen und Erfahrungswerte. – Ich freu mich sehr über Dein Kommentar und schick Dir lieb Grüße!
Gwen
Ich finde deine Artikel über die Hintergründe bei WordPress immer sehr hilfreich und freue mich mehr davon zu lesen. Und jetzt geh ich mein Backup überprüfen.
Bambi
Huhu, ich denke ich bin hier an einigermaßen passenden Stelle und eventuell kannst du mir einen Tipp geben. Du bist doch von einem blogger-Blog zu WP umgezogen, nech?
Ich habe das selbe vor; habe zwar Unterstützung vom Profi, stehe aber trotzdem vor dem Problem, dass ich keinen Plan habe, ob und wie ich meinen alten RSS (Feedburner) Feed umleiten kann.
Hast du da damals was spezielles gemacht? Ich komme mit googlen leider nicht weiter.
Außerdem stehe ich vor dem Probelm, das ich gerne einzelne Artikel und insbesondere Kommentare importieren will, aber da hab ich mich schon fast damit abgefunden das das nicht möglich ist. … Das kommt davon, wenn man mit dem Layout noch nicht fertig ist, aber alle Inhalte schon importiert sind :’/
Ich wär dir für ne kurze Antwort sehr dankbar, auch wenn du nicht die Mega-Lösung weißt 😉
Schönen Abend