Mehr Sicherheit für WordPress-Installationen

Wie kann ich meine WordPress-Installation sicherer machen?

WordPress sicherer machenWordPress ist eine tolle Software, mit der man inzwischen problemlos auch größere Projekte betreuen kann. Es ist einfach zu installieren, einzurichten und zu bedienen, weshalb es zu einer der am weitesten verbreiteten Softwarelösungen geworden ist. Das macht Wordpress natürlich auch zu einem lohnenden Ziel für Hacker. Aus diesem Grund sollten man sich die Mühe machen und WordPress einige zusätzliche Schutzmaßnahmen angedeihen lassen.

Die aktuelle Version 3.5 ist aus Sicherheits-Gesichtspunkten schon viel besser geworden. Dennoch gibt es einige Punkte, die verbessert werden können.

Standard-Präfix ändern

Beginnen wir mit der Installation: Bei der Installation von WordPress werden verschiedene Daten abgefragt und Angaben teilweise vorbelegt. Ein Beispiel dafür ist der Tabellen-Präfix der Datenbank. Dieser lautet standardmäßig wp_. Wird für die Installation
eine eigene Datenbank verwendet, kann der Präfix komplett entfallen. Ansonsten bitte das wp_ in einen kryptischeren String ändern (WordPress akzeptiert hier Zahlen, Buchstaben und Unterstriche).

Wordpress Installation Vorgaben ändern

Standard-User ändern

Im weiteren Verlauf der Installation wird der Administrator angelegt. Der wird von WordPress standardmäßig mit admin bezeichnet. Diesen bitte unbedingt in einen anderen Namen ändern und ein gutes Passwort vergeben. WordPress hat einen Passwortstärken-Indikator implementiert, der sollte möglichst auf stark stehen.
Der erste Admin wird immer mit der User-ID „1“ angelegt. Ein weiterer Angriffspunkt für Hacker, die am ehesten die IDs 1 und 2 abfragen. Wer seine Installation noch ein bisschen sicherer machen möchte, der ändert diese ID auf einen Wert > 3. Dies kann entweder direkt in der Datenbank erledigt werden (dazu müssen die Tabellen user_id, _users, _posts und _links auf die neue ID geändert werden), oder – deutlich komfortabler – mit dem „Search and Replace“-Plugin von Frank Bültge, welches hier heruntergeladen werden kann.

Wordpress Installation Standard User ändern

 

Zusätzliche HTTP/HTTPS-Authentifizierung als Alternative

Eine recht gute Methode, Brute-Force-Attacken auf WordPress zu unterbinden, ist die Einrichtung eines zusätzlichen Passwortschutzes über .htpasswd und .htaccess (beim Apache). Hier müssen, bevor man überhaupt auf wp-login.php gelangt, gesonderte Anmeldedaten angegeben werden. Doppelt hält eben doch besser 🙂

Um diesen Passwortschutz zu installieren, überlege dir einen Benutzer und ein gutes Passwort. Biedes trägst du online in einen httpasswd-Generator, z.B. diesen oder diesen, ein und schickst die Eingaben ab. Der Generator verschlüsselt das Passwort und generiert dir die passende .htpasswd-Datei. Nun musst du nur noch die .htaccess erweitern.

Kopiere dir dazu den folgenden Code in deine .htaccess und passe ihn an:

# Auth protect wp-login.php
 AuthName "Name des passwortgeschützten Bereichs"
 AuthType Basic
 AuthUserFile /pfad/zu/deiner/wordpress/installaton/.htpasswd
 Require valid-user

Passe die Angabe „Name des passwortgeschützten Bereichs“ an (du kannst hier einen beliebigen Namen vergeben).
Als zweites musst du noch den Pfad zu deiner WordPress-Installation anpassen. Dieser sollte in deinem Account bei deinem Provider zu finden sein. Solltest du ihn dort nicht finden können, nutze diese kleine Datei,  um den Pfad herauszufinden. Du musst sie einfach in die Root deines Webspaces kopieren und über einen Browser aufrufen. Vergiss bitte nicht, die Datei wieder zu löschen, wenn du sie nicht mehr brauchst.

Als weiteren Schutz kannst du noch das folgende Snippet in deine .htaccess kopieren. Das Snippet funktioniert ab Apache 2.4 und schützt deine .htaccess, deine .htpasswd und die wp-config.php:

# Deny access to important files 
<FilesMatch "(\.htaccess|\.htpasswd|wp-config\.php)"> 
Require all denied 
</FilesMatch>

Das war’s. Damit hast du deine WordPress-Installaton deutlich sicherer gemacht.

Vorsicht bei der Verwendung kostenfreier Themes

Kostenfreie Themes sind für jeden WP-Webmaster eine echte Versuchung. Teilweise gibt es wirklich sehr professionelle Layouts, die kostenlos heruntergeladen werden können. Aber Achtung! Nicht jeder Autor ist ein Wohltäter an der Menschheit.
Sehr häufig (und ich meine wirklich sehr (!) häufig) wird im Template ein für den Laien nicht erkennbarer Code (oft Base64 codiert) eingefügt. Im besten Falle generiert dieser bei den Suchmaschinen Backlinks zu zwielichtigen Seiten (sind für den normalen User nicht sichtbar, sondernwerden nur von Suchmaschinen gefunden). Im schlechtesten Fall wird damit Schadcode in die Seite eingeschleust.

Das soll nicht bedeuten, dass jedes kostenlose Theme ein Risiko ist, aber es empfiehlt sich unbedingt, den Code etwas anzuschauen!

Plugin-Anzahl reduzieren

Plugins sind oft ein nicht zu unterschätzendes Sicherheitsrisiko. Für Plugins gilt: Wirklich nur die benötigten installieren bzw. aktivieren. Das hilft zum einen der Ladezeit, und zum zweiten der Sicherheit.

Aktualität von Software und Plugins

Ein weiterer, sehr wichtiger Punkt ist – Software aktuell halten. WordPress sollte regelmäßig upgedated werden, um mögliche Sicherheitsrisiken zu minimieren. Das gilt auch für die Plugins. Bitte diese ebenfalls immer aktuell halten und updaten.

Wenn all diese Punkte beachtet werden, haben es die bösen Jungs auf alle Fälle deutlich schwerer, WordPress zu knacken 🙂

2017-11-28T15:43:31+00:00 WordPress|0 Kommentare

Hinterlasse einen Kommentar