Sicherheit in WordPress – Tips und Tricks

idee

Sicherheit ist eins der Top Themen, wenn es um das Internet geht.
Sicherheit deiner Daten, Schutz deiner Infrastruktur – deines Rechners. Schutz vor Datenverlust, Schutz vor Angriffen, Schutz vor Spionage.
Und logischerweise geht es auch um Schutz deiner Webseite.

Fast 50% aller Webseiten welche ein CMS benutzen, setzen laut builtwith dabei auf WordPress.

WordPress Usage

Anteil WordPress Installationen – August 2014 – Quelle: builtwith.com

Das hat einen guten Grund – lockt aber auch Angreifer an. Bei der Entwicklung von WordPress wurde immer schon ein großer Augenmerk auf die Sicherheit gelegt, Updates kommen regelmäßig, wenn es mal ein Sicherheitsproblem gibt, dann wird dieses schnell adressiert. Jeder der sich entschließt WordPress für seine Webseite zu nutzen, sollte sich dennoch auch Gedanken über die Sicherheit seiner Webseite machen.
Diese folgenden Punkte solltet ihr auf jeden Fall beachten:

Datenbankprefix ändern

Bereits bei der Installation von WordPress könnt ihr einen Prefix für die Datenbanktabellen angeben, hier steht wp_ als Standard Wert in der Maske – diesen einfach auf einen anderen Wert ändern. Auch nach der Installation könnt ihr den Prefix ändern, am Besten mittels eines Plugins.

Benutzername ändern

Standardmäßig schlägt WordPress den Benutzernamen ‚admin‘ als Administrationsbenutzer vor, das solltet ihr in jedem Fall ändern. Die meisten brute force Angriffe erfolgen auf diesen Namen – ist der Name nicht vorhanden scheitern die meisten Bots direkt. Wenn ihr dann noch ein Plugin habt, welches die IP direkt blockt sobald sich jemand mit ‚Admin‘ versucht ein zu loggen, dann habt ihr einen großen Schritt gemacht. Ihr könnt auch überlegen, ob ihr zum Administrieren eurer WordPress Installation generell einen anderen Benutzer nehmt als zum schreiben eurer Artikel.

Benutzername in der Autoren Archiv URL verstecken

Was nutzt euch der abgewandelte Benutzer Name wenn ihr diesen dann im Autoren Archiv bzw. in der Autoren Verlinkung wieder zeigt? Ihr solltet unter den Benutzereinstellungen einen anderen Spitznamen und einen anderen Öffentlichen Namen für euren Benutzer auswählen
WP username
Dazu könnt ihr auch ein Plugin benutzen.

Sicheres Passwort verwenden

Ihr solltet immer ein sicheres Passwort verwenden, nicht nur für WordPress, und auf jeder genutzten Seiten dann auch noch ein anderes. Um das zu erreichen kann/sollte man einen Passwortmanager in Erwägung ziehen. Basierend auf den Listen mit gestohlenen Passwörter hat Splashdata eine Liste erstellt mit den am meisten genutzten Passwörtern, kommt euch da etwas bekannt vor – hoffentlich nicht

Die schlimmsten Passwörter 2013

Schlimmsten Passwörter 2013 – Quelle: splashdata.com

Updates

Kaum zu glauben, aber es gibt noch etliche überaltete WordPress Installationen da draußen. Ihr solltet immer darauf achten, dass ihr zumindest alle Sicherheitsupdates einspielt. Das gilt für WordPress, aber auch für eure Plugins und Themes. Vor einem Update natürlich ein Backup anfertigen.

Themes vor der Nutzung checken

In Themes lässt sich vortrefflich auch Schadcode einbauen. Themes lassen sich am Einfachsten über entsprechende Plugins prüfen, z.B. AntiVirus oder Theme Authenticity Checker -TAC. Ihr solltet Themes nur aus vertrauenswürdigen Quellen installieren, niemals von irgendwelchen Downloadportalen welche kostenpflichtige Themes gratis anbieten!

Backups

Ihr solltet in regelmäßigen Abständen eure Webseite sichern, Datenbank am Besten täglich, die Dateistruktur mindestens wöchentlich. Dafür benötigt ihr in der Regel ein Plugin, ich nutze hierfür BackWPup Free – aber werde hier auch noch weitere Alternativen vorstellen.

Das sind die wichtigsten Dinge welche ihr für eurer WordPress Installation beachten solltet.
Im Blog werde ich Plugins vorstellen mit denen ihr eure Sicherheit erhöhen könnt – wenn ihr Fragen habt, dann stellt diese einfach in den Kommentaren, dann werde ich darauf eingehen.

Sonstiges

Es gibt noch viele weitere Sicherheitsmaßnahmen, diese sind außerhalb der WordPress Installation vor zu nehmen, und hier benötigt man teilweise technisches Verständnis:

  • wp-config.php in ein höheres Verzeichnis als die WordPress Installation verschieben
  • WordPress Verzeichnis mittels .htaccess sichern
  • Dateiberechtigungen in Linux anpassen
  • Datenbank Benutzer Rechte anpassen

Wenn ihr einen eigenen Server für eure Webseiten benutzt, dann solltet ihr auch noch diese Punkte nicht außer Acht lassen:

  • Sicherheitsupdate des Betriebssystems
  • FTP Nutzung (Klartext Passwort Übertragung) vermeiden
  • Firewall Nutzung
  • Logging und Monitoring der Installation
  • Dateiänderungen verfolgen
0 Antworten

Hinterlassen Sie einen Kommentar

Wollen Sie an der Diskussion teilnehmen?
Feel free to contribute!

Kommentar verfassen