WordPress sicherer machen

Geschrieben von am 22. Mai 2010 in Tipps & Tricks - 8 Kommentare
wordpress-sicher-sicherheit

WordPress ist und bleibt ein beliebstes Ziel für Angriffe: Viele Blogs sind ein beliebtes Ziel für Spamkommentare. Andere Blogs sind so unsicher, dass man schnell fremden Code einschleusen kann.

Doch reichen bereits wenige Handgriffe, um WordPress ein ganzes Stück sicherer zu machen und somit Angriffe von vornherein gar nicht erst zuzulassen. Diese schnell zu erledigenden Handgriffe und Kniffe möchte ich einmal kurz vorstellen.

1) Regelmässige WordPress Updates

Sicherheitslücken, die WordPress selbst mitbringt – ohne dass der User diese beeinflussen könnte -, werden in aller Regel sehr schnell gefixt. Allerdings muss der Blogbetreiber dann auch die Updates einspielen.

Während ein WordPress-Update früher noch schweißtreibende Arbeit war, so hilft heute der Update-Dienst im Blog sehr komfortabel. Alles was man braucht, sind die Zugangsdaten zum eigenen FTP-Server und zwei Minuten Geduld.

Du solltest aber dennoch vor jedem Update ein Backup deines kompletten Blogs und der Datenbank machen!

Gibt es ein Update, so wirst du im gesamten Backend im Header immer darauf aufmerksam gemacht. Oder du folgst wplove.de auf twitter und wirst auch dort informiert, wenn es ein neues Update gibt!

Keine Updates, so sollte jeder Blog aussehen

Keine Updates, so sollte jeder Blog aussehen

2) WordPress-Header bereinigen

Leider gibt WordPress Informationen an Browser, Bots und Besucher aus, die das im Hintergrund arbeitende System verraten und Angreifern den Weg ebnen. Zu diesen überflüssigen Informationen zählt insbesondere die Angabe, dass man mit WordPress bloggt. Diese Information dient mittlerweile aber nur noch statistischen Erhebungen, die Information sollte daher in jedem Fall gelöscht werden!

Daher: Überprüft euer Theme und entfernt ggf. in der header.php die Information

<meta name="generator" content="WordPress <?php bloginfo('version'); ?>" />

3) Neuen Admin anlegen

Bisher (ab Version 3.0 scheint das zum Glück anders zu sein) hat WordPress dem Administrator einer Seite leider immer automatisch den Benutzernamen “admin” gegeben. Eine Tatsache, mit der sich die meisten Blogger abgefunden haben: Die wenigsten haben noch einen neuen Account angelegt.

Doch ist gerade dieser Schritt enorm wichtig um die Sicherheit in WordPress zu erhöhen und so einfach zu gestalten: Legt mit eurem Standard Admin-Account einfach einen neuen Administrator-Account an, dem ihr alle Rechte gebt. Als Nutzernamen wählt ihr am besten einen, den ein Angreifer nicht gleich erraten kann.

Neuen Admin einrichten

Neuen Admin einrichten

Melde dich dann mit dem neuen Admin-Account an und lösche den alten Standard-Admin “admin”. Bitte wähle dabei aus, dass alle Beiträge und Links von diesem alten Account an deinen neuen übertragen werden. Denn sonst sind viele Inhalte einfach weg. Um ganz sicher zu gehen, machst du vorher natürlich ein Backup!

Alten Admin-Account löschen

Alten Admin-Account löschen

4) Wichtige Dateien und Verzeichnisse mit .htaccess sichern

Apache bietet mit .htaccess zahlreiche Möglichkeiten, die nun auch in Sicherheitsbelangen wichtig werden. Dazu gehört etwa der Schutz der config.php mittels .htaccess:

# wpconfig.php schuetzen
<files wp-config.php>
Order deny,allow
deny from all
</files>

Aber auch der Schutz des Backends mit einem htaccess-Passwort ist unabdingbar. Das möchte ich nicht nochmal extra erklären, Sergej hat das besser gemacht!

5) Plugins deaktivieren

Es ist wie überall im Leben: Je mehr mögliche Schwachstellen es gibt, umso häufiger wird man Opfer dieser Schwachstellen.

Bei WordPress sieht das nicht anders aus und viele WordPress-Plugins erschweren einem das Leben dann auch noch. Denn mit jedem Plugin steigt die Gefahr einer Sicherheitslücke. Daher gilt: Nur die Plugins aktivieren, die wirklich wichtig sind! Und das meiste kann man auch durch eigene kleine Funktionen lösen!

6) Tabellen-Präfix ändern

WordPress schlägt bei der Installation immer “wp_” als Tabellenpräfix für die MySQL-Tabelle vor. Wer bei der Installation eine Änderung dieser Einstellung vergessen hat, der sollte das nun nachholen, denn auch diese Grundeinstellung bietet eine Menge Gefahren!

Es empfiehlt sich bei der Wahl des Präfixes eine Kombination aus Zahlen und Buchstaben ohne Zusammenhang, z.B. “3z5td_” Dieses neue Präfix muss dann in der config.php geändert werden:

$table_prefix = '3z5td_'; // Nur Zahlen, Buchstaben und Unterstriche bitte!

Doch müssen bei bestehenden Installationen nun natürlich auch alle Tabellen der Datenbank geändert werden. MySQL bietet hierfür eine sehr einfache Möglichkeit. Gebt in eurer Datenbank-Verwaltung (etwa phpMyAdmin o.ä.) als SQL-Befehl ein:

RENAME TABLE wp_links to 3z5td_links;

Dieser Schritt muss für alle Tabellen wiederholt werden. Alle Angaben können natürlich auch in einem großen Schritt gemacht werden. Du darfst nur keine Tabelle vergessen!

Falls du einen Fehler gemacht hat, so spiele im Notfall einfach dein aktuelles Backup ein, das du natürlich vor jeder Änderung speicherst!

Fazit

Sechs kleine Schritte genügen, um die Sicherheit in WordPress signifikant zu erhöhen. Für alle Schritte habe ich gerade einmal 10 Minuten gebraucht. Und wer noch mehr Sicherheitstipps möchte, der schaut z.B. bei Sergej, Frank oder bei Bastian.

Bild: Klearchos Kapoutsis (Lizenz, 22.04.2011)

Bitte sozial teilen

Wenn dir dieser Beitrag gefallen hat, dann teile ihn doch bitte in den verschiedenen sozialen Netzwerken! Du würdest mir damit sehr helfen!

Über den Autoren

Mein Name ist Christian. Ich blogge bereits seit 5 Jahren - manchmal mehr, manchmal weniger erfolgreich. Weil ich in der Anfangszeit meiner Erfahrungen mit den von WordPress gebotenen Möglichkeiten unzufrieden war, habe ich mir einiges Wissen zu dieser tollen Software selbst beigebracht. Aus diesen Erfahrungen ist das Projekt wpLove.de geboren. Neben WordPress bringe ich mir aber auch das Thema SEO selbst etwas näher.

8 Kommentare zu "WordPress sicherer machen"

  1. Andi Licious 22. Mai 2010 um 15:59 · Antworten

    Aloha,

    ich mag Eigenwerbung eigentlich nicht, aber vllt. hilft es ja weiter… habe vor einigen Tagen auch mal etwas zur WP-Sicherheit getippt inkl. paar Tipps: http://www.andilicious.com/blog/1284/20100511/attacke-auf-wordpress-blogs-sicherheitstipps

    Cheers, Andi

  2. Adrian 22. Mai 2010 um 17:19 · Antworten

    Und ich mag nicht so gerne Links in den Kommentare. Wenn sie nicht passen.
    Aber das ist ja bei dir nicht der Fall, daher vielen Dank für den Link! 😉 Werde ich alsbald mal lesen. 😉

  3. Daniel 22. Mai 2010 um 18:44 · Antworten

    Die meisten dieser Tipps sind übrigens auf fast alle Systeme anwendbar und zu empfehlen.

  4. Adrian 22. Mai 2010 um 19:25 · Antworten

    Naja, auch nicht alle.
    Aber sicherlich kann man die in ähnlicher Form auch für andere CMS übernehmen.
    Aber ein Hinweis noch: Gewerbliche Links lösche ich aus den Kommentaren, ich bitte um dein Verständnis. Werbung kannst du sonst gerne kaufen. 😉

Trackbacks zu diesem Artikel

  1. 7 Tipps: WordPress beschleunigen » WordPress, Google, Besucher, Ladezeiten, JavaScript, Doch, Blog, Fällen » wpLove.de
  2. Wordpress Themes & Sicherheit | realloc's asylum
  3. 5 Tipps: Mehr Traffic für den eigenen WordPress Blog » Tipps, Besucher, Artikel, Blog, Kommentare, Toplisten, Wenn, Kommentaren » wpLove.de
  4. Wie Brot und Wasser. Regelmäßige WordPress-Updates » WordPress 312, Update, WordPress, Version, Backup, Updates » wpLove.de

Kommentar hinterlassen

XHTML Du kannst diese Tags verwenden: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>