WordPress Sicherheit – Top10

WordPress Sicherheit – Top10: Admin-Einstellungen, Datenbankpräfix, Versions-Aktualität, SSL und .htaccess. All diese Sicherheits-Vorkehrungen werden umso wichtiger, je mehr Traffic man hat. Denn je mehr Traffic man hat, desto mehr muss man Hacker abwehren. Das hört sich schlimm an, wird aber ungefährlich, wenn man die folgenden Einstellungen trifft und immer wieder aktualisiert.

WordPress Sicherheit – Top1 – Admin-Benutzername

Wordpress Sicherheit - Top10

Wordpress Sicherheit - Top10

Schon bei der Installation sollte man hier den Benutzernamen von Admin in einen anderen verändern. Aus Sicht eines Hackers bestehen hier drei Angriffpunkte: ID, Benutzername und Passwort. Also sollte man auch gleichzeitig ein sicheres Passwort wählen und nach der Anmeldung der ersten Benutzer einen neuen Admin erstellen, damit dieser nicht die ID 1 hat. Ein absolutes DON’T ist als Benutzernamen Admin zu vergeben. Hier ist mit Screenshots beschrieben, wie genau man den Benutzernamen abändern sollte…

WordPress Sicherheit – Top2 – Datenbank-Präfix ändern

Ein weiterer Schritt, der bereits bei der Erstinstallation erfolgt, ist die Änderung des Datenbank-Präfixes. Das geschieht spätestens bei Anlage der WordPress-Config-Datei: wp-config.php. Nachdem man dort alle Sicherheitsangaben gemacht hat, findet man etwas weiter unten die Möglichkeit den Präfix abzuändern. Das hat nicht nur sicherheitstechnische Vorteile sondern führt auch dazu, dass man in derselben Datenbank mehrere WordPress-Installationen mit verschiedenem Präfix installieren kann.

WordPress Sicherheit – Top3 – Passwörter

Einmal abgesehen davon, dass man die Passwörter regelmäßig ändern sollte, muss man sichere Passwörter wählen. Das bedeutet, dass man keine Wörter aus Wörterbüchern, keine Namen und keine reinen Zahlenkombinationen. Man sollte mindestens 8 Zeichen wählen, die aus Buchstaben, Zahlen und Sonderzeichen bestehen. Diese kann man sich randomisiert über einen Offline-Passwort-Generator erstellen lassen.

WordPress Sicherheit – Top4 – Admin und Autor unterscheiden

Beim Schreiben von Artikeln sollte man nie unter seinem Admin-Namen schreiben. Man legt also einen weiteren Autor mit möglichst wenig Rechten an, den man dann beim Schreiben des Artikels im Backend auswählen kann. Das macht unter anderem deshalb, weil WordPress mit Mouseover-Effekt den Benutzernamen anzeigt, auch wenn man ihn wie oben beschrieben verändert hat.

WordPress Sicherheit – Top5 – SSL

Man sollte ein Login über SSL einführen, da ein Hacker sonst Anmeldeinformationen sehen könnte. Wenn man später einen Shop betreiben möchte, braucht sowieso SSL. Also kann man sich auch von Anfang an darum kümmern und von SSL-Sicherheitsvorteilen profitieren. Professionelle Provider bieten SSL in ihren Tarifen an. Man aktiviert mod_rewrite und erzeugt dann mit der .htaccess-Datei eine Weiterleitung zum SSL-Login:
# Weiterleitung zum SSL-Login
RewriteEngine on
RewriteRule admin$ https://ssl-proxy-adresse/wp-login.php

WordPress Sicherheit – Top6 – Config-Datei und Admin-Bereich sichern

Bestimmte Dateien werden nur von WordPress benutzt. Andere sollten keinen Zugriff auf diese Daten haben. Besonders sicher sollte die Datei wp-config.php sein, denn darin liegen alle Zugangsdaten. Über die .htaccess-Datei wird die wp-config.php gesichert, indem man das folgende dort hineinschreibt:
# Zugriffsschutz wp-config.php
Order deny,allow
deny from all

WordPress Sicherheit – Top7 – Regelmäßige Aktualisierung von WordPress

Ab dem Moment, wo eine neue WordPress-Version herauskommt, versuchen Hacker Sicherheitslücken zu finden. Je mehr Zeit man ihnen gibt, desto gefährlicher wird es. Daher sollte man seine WordPress-Installation immer auf dem neuesten Stand haben.

WordPress Sicherheit – Top8 – Plugins

Bevor man ein Plugin installiert, sollte man im Plugin-Forum von WordPress schauen, ob es Sicherheitsbedenken gibt. Nach der Installation sollte man darauf achten, dass man das Plugin immer wieder aktualisiert. Prinzipiell ist man sicherer, wenn man weniger Plugins betreibt. Außerdem wird die Website dadurch schneller.

WordPress Sicherheit – Top9 – Spam Registrierungen

Man sollte durch Captcha Spam-Registrierungen vermeiden, bzw. wenn sie dann doch vorkommen regelmäßig löschen. Die Gefahr besteht hier darin, dass man irgendwann bei der Veränderung von Rechten der Mitglieder, ungewollt Rechte an Spammer vergibt, indem man en bloque Rechte verändert.

Welche Erfahrungen hast Du gemacht? Hast Du noch weitere Sicherheitsvorkehrungen, die Du triffst und die in der WordPress Sicherheit Top10 auftauchen sollen? Schreibe einen Kommentar…

Welche Sicherheitsvorkehrungen nutzt Du bei Wordpress?

View Results

Loading ... Loading ...

14 Gedanken zu „WordPress Sicherheit – Top10

  1. Matthias

    Danke für die guten Ideen.
    Als kleine Anregung

    Update zur .htaccess. Hier auch mit Passwortschutz arbeiten!

    2. immer neuste WP Version
    3. sonst nutze ich noch folgende Plugins zur Sicherheit
    WP Security Scan, TimThumb Vulnerability Scanner (diesen um die altbekannte Lücke in vielen Templates zu schließen), Secure WordPress, Limit Login Attempts, Exploit Scanner, AntiVirus

    Antworten
  2. Jaz M.

    Hm, das mit den Benutzer IDs kann man doch auch machen indem man einfach erst mal paar fake Benutzer erstellt und dann wieder löscht oder? Das mit der phpMyAdmin klingt mir zu kompliziert.
    Insgesamt finde ich den Artikel echt super. Danke für die Hinweise

    Antworten
    1. pat

      @Jaz
      ich hab vollstes Verständnis, wenn dies zu Beginn etwas kompliziert klingen mag – ging mir nicht anders. Allerdings, wenn man sich ein paar Sekunden damit auseinandersetzt ist es sehr einfach, vor allem sehr schnell mit dieser SQL-Anweisung.

      Das ‘Problem’ mit dem neuen Benutzernamen ist aus meiner Sicht das Folgende: Wenn ein Hacker die ID 1 nicht findet, dann sucht der doch automatisch die 2, 3, etc. Teilweise gehen die weit über die ID 25 mit der Suche. Legt man also einen neuen Benutzer an, dann ist die Benutzer ID +1 und genau dieses *hinaufzählen* erachte ich als problematisch. Und glaube mir bitte, dass sich die Hacker sehr vieles einfalen lassen, auch im Bezug auf die Benutzer-ID.

      Hinzu kommt, dass es viele dieser Anleitungen im Netz gibt und auch Hacker lesen diese Anleitungen :)

      Du kannst das mit der SQL-Anweisung auch gut lokal ausprobieren, falls Du Dir eine Testumgebung eingerichtet hast :)

      Greets Pat

  3. pat

    Das Anlegen eines neuen Benutzers erachte ich als zu wenig da die meisten dann die Benutzer-ID 2 oder 3 besitzen, was vermutlich von Hackern als erstes ausprobiert wird.

    Persönlich ändere ich nebst dem Benutzername auch die IDs über phpMyAdmin mittels SQL-Anweisung. Als Beispiel:

    UPDATE wp_users SET ID = ’15’ WHERE ID = 1;
    UPDATE wp_usermeta SET user_id = ’15’ WHERE user_id = 1;

    SET ID / SET user_id = die neue Benutzer-ID
    WHERE ID / WHERE user_id = die bestehende Benutzer-ID

    Sich in phpMySQL einloggen, die richtige Datenbank auswählen, oben in der Buttonleiste auf SQL klicken und die beiden Anweisungen eintragen. Die 2 SQL-Anweisungen müssen noch angepasst werden wenn man den Tabellen-Präfix geändert hat.

    Somit haben die Hacker schon mal einen grösseren Mehraufwand, die ID herauszufinden…

    Antworten
    1. Chris Andersen

      @Pat
      Vielen Dank für den sehr guten Hinweis. Wäre nur noch darauf zu achten, dass die ID noch nicht vergeben ist… und je mehr Ziffern die Zahl hat, desto sicherer ;-)
      Ich frage mich gerade, ob es da eine Obergrenze an Ziffern gibt.
      bg Chris :-)

    2. pat

      @Chris,
      habe gerade nen neuen Benutzer angelegt und die ID über die SQL-Anweisung geändert. Die ID des neuen Benutzers lautet 99999 :)

  4. Michael

    “Nur neu anlegen”
    Danke Dir Chris,
    also zwei Schritte, wenn ichs recht verstanden habe
    unter dem admin einloggen, dann einen neuen Benutzer mit admin Rechten, dann ausloggen und unter dem neuangelegten reingehen und dann quasi noch einen Benutzer anlegen.Doch wozu noch einen Benutzer?
    Finde nicht die Stelle für admin Rechte vergabe ?

    Antworten
    1. Chris Andersen

      Danke Dir Chris,
      also zwei Schritte, wenn ichs recht verstanden habe
      unter dem admin einloggen, dann einen neuen Benutzer mit admin Rechten, dann ausloggen und unter dem neuangelegten reingehen und dann quasi noch einen Benutzer anlegen.Doch wozu noch einen Benutzer?
      Finde nicht die Stelle für admin Rechte vergabe ?

      @Michael
      Nein… unter dem neu angelegten Benutzer keinen weiteren anlegen, sondern dort nur einen Real-Name eingeben. Dann über das dortige Pulldownmenü zur Namensvergabe, den neu eingegebenen Namen auswählen.

      Danach mit einem weiteren Pulldown-Menü die Admin-Rechte für den neuen Administrator einrichten.
      Du wirst sehen. Die Erklärung hier ist viel komplizierter als das Einrichten an sich.
      BG Chris :-)

  5. Michael

    für dich ev. eine “blöde” Frage, aber wie kann ich den Benutzernamen “admin” ändern, wo im backend von WP?

    ich komme bald wieder vorbei wegen der Antwort

    Antworten
    1. Chris Andersen

      @Michael
      das ist überhaupt keine blöde Frage!
      …sondern eine kleine Sicherheitslücke von WordPress, die Du schnellstmöglich schließen solltest.

      Man kann einen Benutzernamen bei WordPress nicht ändern. Nur neu anlegen und den alten Benutzer löschen.

      Lege unter Benutzer einen neuen Benutzer (,der nicht admin heißt!) an und gebe ihm Admin-Rechte. Dann logge Dich unter dem neuen Benutzernamen ein und lösche Deinen alten admin-Benutzer.

      Beim Anlegen des neuen Benutzers kannst Du ruhig statt des Benutzernamens ein stark verschlüsseltes Passwort eingeben. Das Passwort selbst sollte auch stark verschlüsselt sein.
      Nach der Anlage des neuen Benutzers kannst Du dann unter Benutzer/Dein Profil per Pulldown-Menü Deinen echten oder beliebigen Namen eingeben, den Du später auch jederzeit ändern kannst.

      Etwas abstrakt, aber sicher.
      …und das gehört ganz sicher zu den WordPress-Sicherheits Top10.
      BG Chris :-)

  6. Harald

    Vielen Dank für die vielen Tips. Gerade das mit dem Ändern der Passwörter habe ich bis jetzt sträflich vernachlässigt. Da werde ich gleich mal drangehen.

    Antworten

Hinterlasse eine Antwort

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

Du kannst folgende HTML-Tags benutzen: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>