WordPress – Sicherheit erhöhen

Wie kann man WordPress sicherer machen? – Als Webmaster und Blogger ist man in der Regel auch für die Sicherheit des eigene Blogs verantwortlich und sollte es potentiellen Hackern so schwer wie möglich machen, unbefugt Zugriff auf das System zu erlangen. Dazu gibt es eine Reihe von Möglichkeiten, im erste Teil dieser Reihe wollen wir ein paar der einfacheren Möglichkeiten vorstellen, die keine größeren Anforderungen an die Programmierkenntnisse des Webmasters stellen.

1. Sichere Passwörter und Namen

Die beste technische bsicherung nützt nichts, wenn ein Angreifer einfach der Admin-Passwort erraten kann. Daher sollte man für den Account mit Administrator Rechten dringend ein sicheres passwort wählen, dass in keinem Wörterbuch zu finden ist. Ein paar Tipps zu sicheren pPasswörtern gibt es im Bärenblog, bei der PSW Group und bei Datenschutzbeauftragter. Darüber hinaus sollte der Login Name für diesen Account geändert werden. Bei älteren Blogs war der Name immer „admin“ – mit den neueren WordPress Version wurde das geändert und man sollte diese Funktion auf jeden Fall nutzen. Darüber hinaus ist es wichtig, den Login Namen für den Admin Account nicht im Blog anzuzeigen. Das lässt sich am einfachsten über zwei Accounts realisieren: einen mit dem man schreibt und einen der die Administrator Funktionen hat. Alternativ kann man auch den Spitznamen des Accounts ändern. Dies ist der Name der im Blog als Autor angezeigt wird.

Diese Maßnahmen erfordern kaum technische Vorkenntnisse und sollten daher auf jeden Fall umgesetzt werden.

2. WordPress Updates erhöhen die Sicherheit

Ein aktuelles System ist in der Regel der beste Schutz gegen unbefugte Zugriffe. WordPress hatte immer wieder Sicherheitslücken in verschiedenen Versionen die erst durch eine weitere Aktualisierung geschlossen wurde. Aus diesem Grund sollte man immer das aktuellste Release einer WordPress-Version verwenden. Dort sind dann die bekannten Sicherheitslücken geschlossen.

Die neusten Versionen der WordPress-Core-Datein sind immer auf WordPress Deutschland zu finden. Dort kann man auch davon ausgehen, dass es scih um sichere Varianten handelt. Wer WordPress aus anderen Quellen lädt, geht die Gefahr ein, dass er nicht die originale Datein erhält sondern Dateien mit Änderungen.

Neben den Systemdateien ist es auch wichtig, die installierten Plugins aktuell zu halten. Die Aktualisierungshinweise durch WordPress sind nicht nur eine nette Spieler sonder weisen darauf hin, dass hier Handlungsbedarf besteht. Die Anzeige sollte man daher auch nicht ausschalten oder unterdrücken.  So bleibt man recht einfach auf den neusten Stand und weiß genau wann ein Plugin neu geupdatet werden muss. Dies gilt allerdings nur für offiziell unterstützte Plugins. Alle anderen Plugins müssen manuell aktuell gehalten werden.

3. Sicherheit durch begrenzte Loginversuche

Mit einer Limitierung der Loginversuche kann man das zufällige Erraten von passwörtern erschweren. Dabei wird pro IP/Account nur eine bestimmte Anzahl von Logins zugelassen, danach wird der Account gesperrt oder zumindest der Login vorerst unterbunden. Dazu geben viele Plugins in diesem Bereich Infos über falsche Logins so dass man solche Versuche auch angezeigt bekommt. Mittlerweile gibt es dazu verschieden Plugin, beispielweise steht unter Limit Login Attemps ein Plugin kostenfrei zum Download. Einen Erfahrungsbericht dazu gibt es beispielweise bei rohinie, offenesblog und coellnamrhein.

4. Usermanagment

Bei Blogs bei denen viele Nutzer mit schreiben ergeben sich zsätzliche Probleme. Eine offene Registrierung bedeutet auch, dass Nutzer relativ einfach in den internen Bereich des WordPress System kommen. Viele Sicherheitslücken waren daher nur für angemeldete Benutzer nutzbar.

Userrechte sollte man daher immer sparsam vergeben und Administrator Berechtigung nur dann verteilen, wenn es wirklich nicht anders geht. Ansonsten ist es oft sinnvoller Nutzer per Hand anzulegen und die automatische Registrierung im Blog zu deaktivieren. Das macht zwar etwas mehr Arbeit ist aber sicherer.

5. WordPress Datenbank-Prefixe

Die Standardinstallation von WordPress arbeitet immer mit den gleichen Datenbankschema und den selben Datenbanknamen. Diese sind bekannt, man kann aber zumindest die Prefixe der Tabellen ändern um Zugriffe zu erschweren. Voreingestellt bei einer Installationist der Prefix „wp_“. Diesen kann man bei einer Neuinstallation gleich ändern, am besten auf einen Zufallswert. Die Funktionsfähigkeit der Datenbank wird dadurch nicht beeinträchtigt.

Bei bereits bestehenden Installationen von WordPress können die Prefixe nachträglich mit diesem Tool geändert werden. Dazu sind keine MySQL Kenntnisse notwendig, die Ändeurng in der Datenbank kann nach der Installation direkt im Administrationsbereich durchgeführt werden.

6. Den WordPress Adminbereich zusätzliche schützen

eine wichtige Maßnahme ist der zusätzliche Schutz des Adminbereiches von WordPress mit einem Passwort. Das muss allerdings außerhalb des WordPress Systeme erfolgen, in der Regel über eine -htaccess Datei. Einige Provider bieten Verzeichnis Schutz aber auch direkt im Webspace-konfigurationsbereich an.

Gute Anleitung wie man einen solchen Schutz einrichtet gibt es hier:

Neben diesen ersten Tipps gibt es noch einige Möglichkeiten mehr, die Blogsicherheit zu erhöhen, unter anderm kann man hier noch weiterführende Tipps nachlesen.

Dieser Artikel wurde ursprünglich 2008 veröffentlicht und 2013 auf den aktuellen Stand der technik angepasst.

 

Kommentare sind deaktiviert.