WordPress ist und bleibt ein beliebstes Ziel für Angriffe: Viele Blogs sind ein beliebtes Ziel für Spamkommentare. Andere Blogs sind so unsicher, dass man schnell fremden Code einschleusen kann.
Doch reichen bereits wenige Handgriffe, um WordPress ein ganzes Stück sicherer zu machen und somit Angriffe von vornherein gar nicht erst zuzulassen. Diese schnell zu erledigenden Handgriffe und Kniffe möchte ich einmal kurz vorstellen.
1) Regelmässige WordPress Updates
Sicherheitslücken, die WordPress selbst mitbringt – ohne dass der User diese beeinflussen könnte -, werden in aller Regel sehr schnell gefixt. Allerdings muss der Blogbetreiber dann auch die Updates einspielen.
Während ein WordPress-Update früher noch schweißtreibende Arbeit war, so hilft heute der Update-Dienst im Blog sehr komfortabel. Alles was man braucht, sind die Zugangsdaten zum eigenen FTP-Server und zwei Minuten Geduld.
Du solltest aber dennoch vor jedem Update ein Backup deines kompletten Blogs und der Datenbank machen!
Gibt es ein Update, so wirst du im gesamten Backend im Header immer darauf aufmerksam gemacht. Oder du folgst wplove.de auf twitter und wirst auch dort informiert, wenn es ein neues Update gibt!
Keine Updates, so sollte jeder Blog aussehen
2) WordPress-Header bereinigen
Leider gibt WordPress Informationen an Browser, Bots und Besucher aus, die das im Hintergrund arbeitende System verraten und Angreifern den Weg ebnen. Zu diesen überflüssigen Informationen zählt insbesondere die Angabe, dass man mit WordPress bloggt. Diese Information dient mittlerweile aber nur noch statistischen Erhebungen, die Information sollte daher in jedem Fall gelöscht werden!
Daher: Überprüft euer Theme und entfernt ggf. in der header.php die Information
<meta name="generator" content="WordPress <?php bloginfo('version'); ?>" />
3) Neuen Admin anlegen
Bisher (ab Version 3.0 scheint das zum Glück anders zu sein) hat WordPress dem Administrator einer Seite leider immer automatisch den Benutzernamen “admin” gegeben. Eine Tatsache, mit der sich die meisten Blogger abgefunden haben: Die wenigsten haben noch einen neuen Account angelegt.
Doch ist gerade dieser Schritt enorm wichtig um die Sicherheit in WordPress zu erhöhen und so einfach zu gestalten: Legt mit eurem Standard Admin-Account einfach einen neuen Administrator-Account an, dem ihr alle Rechte gebt. Als Nutzernamen wählt ihr am besten einen, den ein Angreifer nicht gleich erraten kann.
Neuen Admin einrichten
Melde dich dann mit dem neuen Admin-Account an und lösche den alten Standard-Admin “admin”. Bitte wähle dabei aus, dass alle Beiträge und Links von diesem alten Account an deinen neuen übertragen werden. Denn sonst sind viele Inhalte einfach weg. Um ganz sicher zu gehen, machst du vorher natürlich ein Backup!
Alten Admin-Account löschen
4) Wichtige Dateien und Verzeichnisse mit .htaccess sichern
Apache bietet mit .htaccess zahlreiche Möglichkeiten, die nun auch in Sicherheitsbelangen wichtig werden. Dazu gehört etwa der Schutz der config.php mittels .htaccess:
# wpconfig.php schuetzen
<files wp-config.php>
Order deny,allow
deny from all
</files>
Aber auch der Schutz des Backends mit einem htaccess-Passwort ist unabdingbar. Das möchte ich nicht nochmal extra erklären, Sergej hat das besser gemacht!
5) Plugins deaktivieren
Es ist wie überall im Leben: Je mehr mögliche Schwachstellen es gibt, umso häufiger wird man Opfer dieser Schwachstellen.
Bei WordPress sieht das nicht anders aus und viele WordPress-Plugins erschweren einem das Leben dann auch noch. Denn mit jedem Plugin steigt die Gefahr einer Sicherheitslücke. Daher gilt: Nur die Plugins aktivieren, die wirklich wichtig sind! Und das meiste kann man auch durch eigene kleine Funktionen lösen!
6) Tabellen-Präfix ändern
WordPress schlägt bei der Installation immer “wp_” als Tabellenpräfix für die MySQL-Tabelle vor. Wer bei der Installation eine Änderung dieser Einstellung vergessen hat, der sollte das nun nachholen, denn auch diese Grundeinstellung bietet eine Menge Gefahren!
Es empfiehlt sich bei der Wahl des Präfixes eine Kombination aus Zahlen und Buchstaben ohne Zusammenhang, z.B. “3z5td_” Dieses neue Präfix muss dann in der config.php geändert werden:
$table_prefix = '3z5td_'; // Nur Zahlen, Buchstaben und Unterstriche bitte!
Doch müssen bei bestehenden Installationen nun natürlich auch alle Tabellen der Datenbank geändert werden. MySQL bietet hierfür eine sehr einfache Möglichkeit. Gebt in eurer Datenbank-Verwaltung (etwa phpMyAdmin o.ä.) als SQL-Befehl ein:
RENAME TABLE wp_links to 3z5td_links;
Dieser Schritt muss für alle Tabellen wiederholt werden. Alle Angaben können natürlich auch in einem großen Schritt gemacht werden. Du darfst nur keine Tabelle vergessen!
Falls du einen Fehler gemacht hat, so spiele im Notfall einfach dein aktuelles Backup ein, das du natürlich vor jeder Änderung speicherst!
Fazit
Sechs kleine Schritte genügen, um die Sicherheit in WordPress signifikant zu erhöhen. Für alle Schritte habe ich gerade einmal 10 Minuten gebraucht. Und wer noch mehr Sicherheitstipps möchte, der schaut z.B. bei Sergej, Frank oder bei Bastian.
Bild: Klearchos Kapoutsis (Lizenz, 22.04.2011)
8 Kommentare zu "WordPress sicherer machen"
Aloha,
ich mag Eigenwerbung eigentlich nicht, aber vllt. hilft es ja weiter… habe vor einigen Tagen auch mal etwas zur WP-Sicherheit getippt inkl. paar Tipps: http://www.andilicious.com/blog/1284/20100511/attacke-auf-wordpress-blogs-sicherheitstipps
Cheers, Andi
Und ich mag nicht so gerne Links in den Kommentare. Wenn sie nicht passen.
Aber das ist ja bei dir nicht der Fall, daher vielen Dank für den Link! 😉 Werde ich alsbald mal lesen. 😉
Die meisten dieser Tipps sind übrigens auf fast alle Systeme anwendbar und zu empfehlen.
Naja, auch nicht alle.
Aber sicherlich kann man die in ähnlicher Form auch für andere CMS übernehmen.
Aber ein Hinweis noch: Gewerbliche Links lösche ich aus den Kommentaren, ich bitte um dein Verständnis. Werbung kannst du sonst gerne kaufen. 😉
Trackbacks zu diesem Artikel