Ist mein WordPress sicher? Oder gibt es da noch einiges an Optimierungspotenzial? Diese Frage hat mich schon eine Weile beschäftigt, und deshalb habe ich meinen Kollegen Clemens Plainer gebeten, doch einen Gastbeitrag dazu zu verfassen. Clemens ist ein „Wizard“ wenn es zu WordPress kommt, und hat dann auch sofort die wichtigsten Dinge aus dem Hut gezaubert, die man beachten sollte. Erfahren Sie nun, wie Sie in 5 einfachen Schritten Ihr WordPress sicherer machen können. Viel Spaß!

1. Sicheres Passwort verwenden!

Es mag banal klingen, aber die meisten Angriffe sind erfolgreich, weil ein zu einfaches Passwort verwendet wurde. Also sofort – und ich meine nicht nachher, wenn Sie diesen Artikel fertig gelesen haben, sondern jetzt! – Passwort ändern. Also jetzt einfach auf www.sicherespasswort.com gehen und ein Passwort auswählen.

WordPress erkennt ebenfalls, dass Sie jetzt auf der „sicheren“ Seite sind: 2. Ändern des Benutzernamens

Das Sprichwort „Frisch gekocht, ist halb gewonnen“ lässt sich auch auf dieses Thema umwälzen. „Ist der Benutzername erst einmal bekannt, ist die Schlacht schon halb verloren“. Der Username „admin“ wird standardmäßig angelegt. Ein nachträgliches Ändern ist via Bordmittel leider nicht möglich. Jedoch können wir das einfach über die WordPress-Datenbank machen. Im Standardfall wird die Datenbank via PHPMyAdmin geändert bzw. liegt dieses Tool auf dem Webserver. Also Zugangsdaten beschaffen und einloggen! Richtige Datenbank auswählen und dann auf die Tabelle „??_users“ klicken. Die Fragezeichen deshalb, weil der Tabellenpräfix von jedem User individuell eingestellt werden kann. Im Standardfall lautet die Tabelle jedoch (leider) „wp_users“.

Wie Sie sehen, lautet der Username „administrator“. Jetzt einfach auf das Stift-Icon klicken, und einen beliebigen Usernamen einfügen. An dieser Stelle sei noch gesagt, dass das abgebildete Passwort natürlich nicht das echte Passwort ist. Das Passwort wird in der WP-Datenbank verschlüsselt gespeichert, damit es im Falle eines Auslesens nicht verwendet werden kann.

3. WordPress zum „Schweigen“ bringen

WordPress plaudert leidenschaftlich und viel. Ein Nachteil davon sind Fehlermeldungen wie diese:

Bei der ersten Fehlermeldung wird dem Angreifer verraten, dass das Passwort falsch ist und bei der zweiten Fehlermeldung wird ausgeplaudert, dass dieser Benutzer nicht existiert. Somit wären die Bemühungen aus Schritt 2 umsonst. Eine Abhilfe schafft folgender Code, der einfach in die functions.php des aktuellen Themes eingefügt werden muss:

add_filter(‚login_errors‘,create_function(‚$a‘, „return null;“));

Wenn jetzt ein Error erzeugt wird, sieht das so aus: 4. Maximale Login-Versuche limitieren

Angriffe über Brute-Force (Ausprobieren aller möglichen Kombinationen) benötigen Zeit und viele Versuche. WordPress ist dieser Angriffsmethode leider sehr freundliche gestimmt. Die Anzahl der Versuche, wie oft sich jemand in das System falsch einzuloggen versucht, wurde nicht limitiert.

Abhilfe schafft das Plugin „Limit Login Attempts“. Plugin installieren, Einstellungen bearbeiten: Dieses Setting ist keinesfalls eine Musterlösung, ich verwende es aber so.

5. Sicherheit in der wp-config.php

Der WordPress-Codex bietet eine Menge an Informationen, wie die wp-config.php gestaltet werden kann (http://codex.wordpress.org/Editing_wp-config.php).7 Zu aller erst sollte die wp-config.php mit den sogenannten Sicherheitsschlüsseln ausgestattet werden. Diese können hier generiert werden: https://api.wordpress.org/secret-key/1.1/salt/

Diese Zeilen sind einfach in die wp-config.php zu übernehmen!

Abschließendes

Vor allem auf dem Bereich der Sicherheit gibt es noch unzählige Möglichkeiten, WordPress noch sicherer zu machen. Diese 5 Punkte sind jedoch schnell umsetzbar und so gesehen das „Basispaket“. Security-Freaks würden noch die WordPress-Installation in einen anderen Ordner verschieben, den wp-content-Ordner umbenennen usw.

Wer sich in der Materie vertiefen will, dem rate ich, diesen Artikel von Sergej Müller zu lesen http://playground.ebiene.de/954/adminbereich-in-wordpress-schuetzen/ bzw. in der WordPress-Dokumentation diesen Artikel zu lesen und anzuwenden (http://codex.wordpress.org/Hardening_WordPress)

Viel Spaß beim Absichern Ihrer WordPress-Installation!

 

Über Clemens Plainer: Clemens Plainer ist ein junger Webdesigner und Developer, der sich auf WordPress spezialisiert hat und für seine Kunden optimierte WordPresslösungen ausarbeitet. Besuchen Sie seine Website und erfahren Sie mehr – www.clemensplainer.com!