Passwörter, Benutzerrechte und Zwei-Faktor

Wir haben bei Blog-Übernahmen schon Passwörter gesehen wie "Foodblog2023" oder den Namen des Blogs mit einer Zahl dahinter. Das ist ungefähr so sicher wie die Haustür mit einem Post-it zu verschließen.

Ein sicheres Passwort hat mindestens 16 Zeichen, enthält Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen. Und vor allem: Es wird nirgendwo sonst verwendet. Das gleiche Passwort für WordPress, E-Mail und Instagram ist eine Einladung, denn wenn ein Dienst gehackt wird, sind alle anderen gleich mit betroffen.

Die Lösung ist ein Passwort-Manager wie Bitwarden oder 1Password. Du merkst dir ein einziges starkes Master-Passwort, und der Manager erzeugt und speichert für jeden Dienst ein eigenes, zufälliges Passwort. Das klingt nach Aufwand, spart aber enorm viel Stress.

Mindestens genauso wichtig wie das Passwort selbst sind die Benutzerrechte in WordPress.

WordPress unterscheidet mehrere Rollen: Administrator, Redakteur, Autor, Mitarbeiter und Abonnent. Wer nur Rezepte schreibt und veröffentlicht, braucht keine Administrator-Rechte. Ein Administrator kann Plugins installieren, das Theme wechseln und Benutzer löschen. Wenn ein Angreifer dieses Konto übernimmt, hat er die volle Kontrolle.

Unsere Empfehlung: Erstelle einen separaten Administrator-Account, den du nur für technische Aufgaben nutzt. Für das tägliche Schreiben reicht die Rolle "Redakteur". Falls jemand anderes Gastbeiträge einstellt, bekommt diese Person die Rolle "Autor".

Zwei-Faktor-Authentifizierung (2FA) fügt eine zweite Sicherheitsebene hinzu. Selbst wenn jemand dein Passwort kennt, braucht er zusätzlich einen Code aus einer App wie Google Authenticator oder Authy. Das stoppt den Großteil aller Brute-Force-Angriffe sofort.

Ein Wort zu Application Passwords: WordPress bietet seit Version 5.6 sogenannte Anwendungspasswörter an. Die sind nützlich für externe Tools, aber jedes Anwendungspasswort ist ein zusätzlicher Zugangsweg. Erstelle sie nur, wenn du sie wirklich brauchst, und lösche sie, sobald du sie nicht mehr verwendest.

Unser Tipp: Aktiviere 2FA heute noch für deinen Administrator-Account. Das dauert fünf Minuten und ist die wirksamste einzelne Maßnahme, die du für die Sicherheit deines Blogs treffen kannst.