WordPress Sicherheit optimieren – Teil 1

Von 24. April 2013 Wordpress Ein Kommentar

In diesem Beitrag möchte ich euch einige Tipps und Tricks zeigen, wie Ihr eure WordPress-Installation wesentlich sicherer macht.

Updates

Der erste und wichtigste Punkt sind die Updates. Hier sollte jedes Update installiert werden, ob von WordPress oder dessen Plugins! Dies hat nicht nur zum Vorteil, dass Sicherheitslücken geschlossen werden, die Leistung des System gesteigert wird und neue Funktionen hinzukommen, sondern dass man vor Allem nicht eine Version in Betrieb hat, deren Sicherheitslücken bekannt sind.

Der Updateprozess von WordPress ist im Grunde sehr einfach, jedoch gilt zu beachten, dass das Template sowie die Plugins mit der neuen Version weiterhin ordnungsgemäß funktionieren. Hier also grundsätzlich vorher ein Backup machen.

Login anpassen

Standardmäßig vergibt WordPress für den Administrator den Benutzernamen “admin”. Hacker haben somit bereits einen Teil des Logins und müssen nur noch das Passwort knacken. Es empfiehlt sich den Loginnamen zu ändern. Das geht wie folgt:

  1. Einloggen als “admin”. Dann auf “Benutzer – neu hinzufügen”.
  2. Füge einen Benutzer mit neuem Namen ein und setze die Rolle auf “Administrator”.
  3. Ausloggen und unter dem neuen Account einloggen.
  4. Gehe sicher, dass der neue Account für alle Beiträge und Seite autorisiert ist.
  5. Lösche den alten Admin-Account mit dem Benutzernamen “admin”.

Login-Versuche limitieren

Die meisten Hacker-Angriffe auf WordPress-Installationen gehen von Bot-Netzwerken aus, die tausende WordPress-Loginseiten mittels Bruteforce attackieren. Das bedeutet, dass innherhalb kürzester Zeit enorm viele Loginversuche mit üblichen Passwörtern durchgeführt werden. Als Benutzername wird wie oben beschrieben meist “admin” genommen, da dieser bei fast allen Installationen existiert. Das WordPress-Plugin Limit Login Attempts limitiert Loginversuche. Du kannst selbst einstellen, wie oft die Eingabe versucht werden kann. Wird dies überschritten, sperrt das Plugin die IP.

Datei-Berechtigungen anpassen

Alle Berechtigungen sollten auf das absolute Minimum angepasst werden. Für Ordner wäre das CHMOD 755 (Besitzer hat Schreibrechte, Andere lesen und ausführen) und Dateien CHMOD 644 (Besitzer hat Lese- und Schreibrechte, Andere nur Leserechte). Wichtig, hiervon ausgeschlossen sind Ordner wie “wp-content/uploads” welche volle Schreibrechte besitzen sollten. Auch benötigen einige Plugins diese Rechte in bestimmten Fällen.

Backups

Arbeitet man häufiger an seiner Webseite, sollte man mindestens wöchentlich Backups erstellen. Dazu zählt die WordPress-Installation mit allen Dateien und deren Datenbank. Bei größeren Datenbanken kann es mit dem oft genutztem phpMyAdmin zu Schwierigkeiten kommen. Hierzu bietet sich der MySQLDumper an. Mit diesem Programm habe ich sehr gute Erfahrungen gemacht, Backups sowie Wiederherstellungen sind unabhängig von der Größe der Datenbank problemlos möglich.

Optimierung der wp-config.php

Die Config-Datei von WordPress bietet einiges Potenzial zur Optimierung. Im Beitrag WordPress wp-config.php Optimierung könnt Ihr dazu alle nötigen Infos lesen.

Optimierung der .htaccess

Auch die .htaccess-Datei von WordPress sollte optimiert werden. Im Beitrag WordPress .htaccess Optimierung gibt es auch dazu viele Tipps und Tricks.

Über Peter

Ich bin seit 2008 selbständiger Web-Entwickler und Inhaber von Design-Insel.de. Ich versorge meine Kunden mit anspruchsvollen und erfolgsorientierten Weblösungen. Dazu zählen mittelständische aber auch größere Unternehmen wie T-Systems und Zalando.

Ein Kommentar

  • Alex sagt:

    Ich kann es nur gebetsmühlenartig wiederholen: Limit Login Attempts ist bei dem Netz von 90.000 Zombies, die sich beim Angreifen abwechseln, sinnlos, wenn das Passwort schwach ist. Ein starkes Passwort ist hier alternativlos.

Hinterlasse eine Antwort