Wenn ich Projekte von Kunden übernehme finde ich sehr häufig folgendes Szenario vor. Das Backend ist vollgestopft mit Sicherheits-Plugins, dass sich die Webseite kaum noch bewegen kann. Alles wird mitgeloggt, eine Firewall aktiviert und IPs durch Spamlisten geschoben. Abgesehen davon, dass das DSGVO-technisch inzwischen bestenfalls als Grauzone angesehen werden kann, verlangsamt es den Betrieb der Seite signifikant.

Jetzt kommt der spannende Teil an diesem Szenario. Wenn ich die Zugangsdaten zum WordPress Backend erfrage, bekomme ich Passwörter wie „klaus1502“, „lulu1986“ oder auch einen beliebigen Haustiernamen genannt. Das schlimme daran: Ich weiß genau, dass diese Passwörter auch für alle anderen Onlinekonten verwendet werden. Und diese unsicheren Passwörter in Kombination mit universeller Nutzung bei allen Diensten sind das eigentliche Sicherheitsrisiko.

Diese Passwörter können innerhalb von Sekunden von jedem handelsüblichen PC geknackt werden. klaus1502 dauert 3 Stunden, lulu1986 5 Minuten und die beispielhafte „mimmi“ ist in 0.001188 Sekunden geknackt. Auf dieser Seite kannst du es ja mal für dein Passwort ausprobieren: https://checkdeinpasswort.de

Aber wie sollte jetzt ein sicheres Passwort aussehen? Das ist eigentlich ziemlich einfach:

  1. je länger, desto besser – mindestens aber 12 Zeichen
  2. mindestens 2 Zahlen
  3. mindestens 2 Sonderzeichen
  4. und mindestens 2 Großbuchstaben

Als Beispiel: XksL3oq9pQkXtRDK),Xt oder W]BdXGtR3HoEseJWr;R8.

Ein weiterer wichtiger Sicherheitsfaktor: Jedes Passwort sollte nur für einen einzigen Dienst verwendet werden. Aber wie soll das gehen – ich kann mir ja nicht mal eins von diesen komplexen Passwörtern merken, wirst du jetzt vielleicht fragen!?

Die Lösung ist ganz einfach! Dafür gibt es sogenannte Passwort Manager. Ich persönlich nutze 1Password. Das ist ein kostenpflichtiges Tool für 3$ im Monat, aber das mühelose Handling von Passwörtern es absolut wert.

Das Tool hat auch einen integrierten Passwort Generator, der dir einfach bei jedem neuen Login, den du irgendwo anlegst, ein zufälliges und sicheres Passwort erzeugt.

Also, wenn du deine Sicherheit verbessern willst – nicht nur für deinen Blog – dann fang hier an. Zusätzlich kann ich dir noch die folgenden zwei Plugins empfehlen: „WP Limit Login Attempts“ und „WPS Hide Login„. Das erste sorgt dafür, dass nach dem vierten falschen Login der Login temporär für den Angreifer gesperrt wird. Das andere verändert die Standard Login Adresse auf einen geheimen Pfad. Beide Plugins machen es nahezu unmöglich, dass ein Bot durch ausprobieren dein Passwort knacken kann.

Ich persönlich arbeite seit Jahren mit 1Password über sämtliche Browser und Betriebssysteme hinweg und hatte nie Probleme damit. Das ist auch der Grund, warum ich nie andere Passwort-Manager ausprobiert habe. Falls du einen anderen ebenfalls empfehlen kannst, schreib mir deine Erfahrungen gerne in die Kommentare.