Machen Sie WordPress sicher

Mit Sicherheitsplugins können Sie Ihre WordPress-Installation ohne tiefere Fachkenntnis absichern. Dies ist einfach und bequem. Allerdings stellt das Plugin selbst ein Sicherheitsrisiko dar. Denn mit demEinsatz einesPlugin teilen Sie dem Angreifern mit, welche Sicherheitsmaßnahmen Sie getroffen haben. Während Sie sich in Sicherheit wiegen, bestehen Sicherheitslücken die das Plugin nicht geschlossen hat. Wenn Sie also ein Sicherheitsplugins einsetzten, sollten Sie wissen was genau dieses Plugin macht. Zudem sollten Sie manuelle Sicherheitsmaßnahmen ergreifen um sicher zu gehen, dass Sicherheitslücken geschlossen werden.

Diese manuellen Sicherheitsmaßnahmen sollten Sie durchführen:

Standard-Benutzer „admin“ löschen

Oftmals versuchen Angreifer das Passwort für den Standardbenutzer herauszufinden. Den Benutzernamen also „admin“ kennen sie ja bereits. Machen Sie es potentiellen Angreifern nicht so einfach – löschen Sie den Standard Benutzer gleichh nach der WordPress Installation. Legen Sie dafür einen neuen Benutzer mit Administrator-Rechten anlegen an. Hinweis: Sie können den Standard Benutzer „admin“ erst löschen nachdem Sie sich mit Ihrem neu angelegten Benutzer angemeldet haben.

Nur sichere Passwörter verwenden

Ich habe heute noch Kunden, die denken Ihr Name kombiniert mit der Ziffernfolge 123 wäre ein sicheres Passwort. Dem ist definitiv nicht so! Ihr Passwort sollte ausreichend lang sein und mindestens eine Zahl und ein Sonderzeichen (!“§$%&/()=@+*#-) beinhalten . Tipp: Vermeiden Sie Namen die in jedem Lexikon stehen, erfinden Sie stattdessen Phantasienamen

Ordnernamen umbenennen

Im Ordner „wp-content“ werden all Ihre Inhalte gespeichert. Wenn dieser Ordner gespamt wird müssen die darin enthaltenen Dateien aufwendig gesäubert werden. Typischerweise suchen Angreifer gezielt nach diesen Ordner. Geben Sie diesem Ordner deshalb vor der Neuinstallation um. Und fügen Sie folgendes in die Datei wp-config.php hinzu:

define(‚WP_CONTENT_DIR‘, ‚/absoluter/pfad/zum/webspace/files‘);
define(‚WP_CONTENT_URL‘, ‚http://www.ihredomain.de/files‘);

Hinweis: Auch nach der Installation kann der „wp-content“ Ordner noch umbenannt werden. Allerdings müssen dann alle Pfade in der Datenbank angepasst werden.

Sicherheitsschlüssel neu generieren

In Ihrer WP-config Datei sind Sicherheitsschlüssel zur Authentifizierung hinterlegt. Mögliche Angreifer kennen diese bereits, da Sie ja von WordPress hinterlegt wurden. Sie sollten folglich unbedingt diese Schlüssel ersetzen! Lassen Sie sich auf dieser Seite neue Schlüssel generieren:

https://api.wordpress.org/secret-key/1.1/salt/

Tauschen Sie die neu generierten Schlüssel gegen die alten Schlüssel aus. Hinweis: Beim Aufruf der oben genannten Seite wird jedesmal ein neuer Schlüssel generiert

Verschieben der wp-config.php Datei

Wie der Name der Datei sagt es bereits: In der „wp-config.php“ Datei sind grundlegende Konfigurationseinstellungen zu finden – der Hauptgewinn für jeden Einbrecher. Deshalb empfiehlt es sich diese Datei besonders zu schützen. Verschieben Sie dafür diese Datei eine Ebene höher als das Root Verzeichnis Ihrer Worpress-Installation. Hinweis: Sie benötigen Administrationsrechte. Zudem sollte Ihr Server entsprechend konfiguriert sein.

WordPress Login schützen

Das WordPress Login ist frei zugänglich. Potentielle Angreifer versuchen meist über das WordPress Login in Ihr System einzudringen. Dies kann erschwert werden, indem Sie das WordPress Login selbst mit einem Passwort absichern. Den Passwortschutz legen Sie wie folgt an:

  1. „.htaccess“ Datei öffnen und folgenden Code einfügen:
    # protect /wp-admin
    AuthName „Admin-Bereich“
    AuthType Basic
    AuthUserFile /pfadzur/.htpasswd
    require valid-user
  2. Eine „.htpasswd“ Datei anlegen und dort das Passwort definieren:
    benutzername: $$ihrpasswort$$

Hinweis: Bedenken Sie, dass Sie sich mit diesem Schutz zukünftig zweimal anmelden müssen. Oder bildlich gesprochen zwei Türen aufschließen müssen. Dies ist zugegeben unbequem und wird deshalb von vielen meiner Kunden nicht gewünscht.

Fehlermeldungen unterbinden

Fehlermeldungen helfen Angreifer in Ihr System einzudringen. Denn Fehlermeldungen geben den Angreifern wichtige Hinweise. So erfährt ein Angreifer ob das Passwort oder der Benutzername falsch ist und kann gezielter vorgehen. Unterbinden Sie derartige Fehlermeldungen in der „functions.php“ Datei. Fügen Sie nachfolgenden Code in diese Datei:

function explain_less_login_issues(){ return ‚ERROR: Entered credentials are incorrect.‘;}
add_filter( ‚login_errors‘, ‚explain_less_login_issues‘ );

Themes und Plugins schützen

Themes und Plugins müssen zeitnah aktualisiert werden um die Funktion im vollem Umfang zu erhalten, aber auch um mögliche Sicherheitslücken zu schließen. Hacker sind aus anderen Gründen daran interessiert Ihr Theme und Ihre Plugins zu bearbeiten. Dies können Sie verhindern, indem Sie folgenden Code in die „functions.php“ Datei einfügen:

define(‚DISALLOW_FILE_EDIT‘, true);

WordPress Versionsnummer unterdrücken

Jede WordPress Version hat Ihre Sicherheitslücken. Hacker kenn diese meist genau. Und wenn Sie möglichen Angreifern die Versionsnummer Ihres Systems mitteilen können Angreifern leichter eindringen.Unterdrücken Sie deshalb die standardmäßige Ausgabe der Versionsnummer. Fügen Sie folgenden Code in die „functions.php“ Datei ein:

function no_generator() { return “; }
add_filter( ‚the_generator‘, ’no_generator‘ );

Tipp: Installieren Sie WordPress-Updates zeitnah! Das heisst unmittelbar nach der Veröffentlichung des Updates. Denn mit jedem Update werden bekannte Sicherheitslücken geschlossen. In meinem Pflege-Service ist ein Monetoring enthalten. Weitere Informationen finden Sie auf meiner Webdesign-Outsourcing Seite .

Lese- und Schreibrechte einschränken

Die Lese und Schreibrechte der Dateien „wp-config.php und .htaccess“ sollten eingeschränkt sein, damit Hacker diese Datein nict so einfach bearbeiten können. Setzen Sie die Rechte der „wp-config.php“ auf 400. Die Rechte der „.htaccess“ sollten Sie auf 644 setzen. Diese Rechte-Einstellungen können Sie in einem FTP Programm vornehmen.

 

Datenbank-Präfix umbenennen

Ganz besonders ärgerlich ist es, wenn Ihre Datenbank mit Spam- oder Schadcode infiziert wurde. Allein die Bereinigung der Datenbank kann Sie viel Geld und Ausfallzeit kosten. Schützen Sie Ihre Datenbank vor Angriffen, indem Sie das Datenbank-Präfix umbenennen. Das Standardpräfix „wp_“ finden Sie in der „wp-config.php“ Datei. Hinweis: Sie müssen das Präfix vor der WordPress Installation umbenennen.

Zeitnahe Updates!

Man kann es leider nicht oft genug sagen: Halten Sie ihr System, dazu gehören auch Plugins und Themes aktuell! Installieren Sie Updates zeitnah! Denn alle Sicherheitsmaßnahmen nützen Ihnen nichts, wenn das System, Plugins oder das Theme veraltet sind. Ich habe es selbst erlebt, dass Kunden mit veralteten Systemen gehackt werden. Das ist nicht schön! In dieser Situation gibt es viel Frust und Ärger. Zudem ist die Wiederherstellung oft zeitaufwendig und teuer. Aus diesen Gründen biete ich für meine Kunden eine kostengünstige Pflege, Überwachung und Sicherung des Systems an. Informationen zu diesem Service finden Sie auf meiner Webdesign-Outsourcing Seite .

Wir haben Antworten, Lösungen und Ideen! Ich teile gerne meine Erfahrung mit Ihnen – Vereinbaren Sie einen kostenfreien Telefontermin!

Beratung vereinbaren
10 Tipps, um besseren Content für Ihre Webseite zu erstellenSSL für WordPress – warum auf ein sicheres Protokoll umstellen?