WordPress Sicherheit – Top10: Admin-Einstellungen, Datenbankpräfix, Versions-Aktualität, SSL und .htaccess. All diese Sicherheits-Vorkehrungen werden umso wichtiger, je mehr Traffic man hat. Denn je mehr Traffic man hat, desto mehr muss man Hacker abwehren. Das hört sich schlimm an, wird aber ungefährlich, wenn man die folgenden Einstellungen trifft und immer wieder aktualisiert.
WordPress Sicherheit – Top1 – Admin-Benutzername
Wordpress Sicherheit - Top10
WordPress Sicherheit – Top2 – Datenbank-Präfix ändern
Ein weiterer Schritt, der bereits bei der Erstinstallation erfolgt, ist die Änderung des Datenbank-Präfixes. Das geschieht spätestens bei Anlage der WordPress-Config-Datei: wp-config.php. Nachdem man dort alle Sicherheitsangaben gemacht hat, findet man etwas weiter unten die Möglichkeit den Präfix abzuändern. Das hat nicht nur sicherheitstechnische Vorteile sondern führt auch dazu, dass man in derselben Datenbank mehrere WordPress-Installationen mit verschiedenem Präfix installieren kann.
WordPress Sicherheit – Top3 – Passwörter
Einmal abgesehen davon, dass man die Passwörter regelmäßig ändern sollte, muss man sichere Passwörter wählen. Das bedeutet, dass man keine Wörter aus Wörterbüchern, keine Namen und keine reinen Zahlenkombinationen. Man sollte mindestens 8 Zeichen wählen, die aus Buchstaben, Zahlen und Sonderzeichen bestehen. Diese kann man sich randomisiert über einen Offline-Passwort-Generator erstellen lassen.
WordPress Sicherheit – Top4 – Admin und Autor unterscheiden
Beim Schreiben von Artikeln sollte man nie unter seinem Admin-Namen schreiben. Man legt also einen weiteren Autor mit möglichst wenig Rechten an, den man dann beim Schreiben des Artikels im Backend auswählen kann. Das macht unter anderem deshalb, weil WordPress mit Mouseover-Effekt den Benutzernamen anzeigt, auch wenn man ihn wie oben beschrieben verändert hat.
WordPress Sicherheit – Top5 – SSL
Man sollte ein Login über SSL einführen, da ein Hacker sonst Anmeldeinformationen sehen könnte. Wenn man später einen Shop betreiben möchte, braucht sowieso SSL. Also kann man sich auch von Anfang an darum kümmern und von SSL-Sicherheitsvorteilen profitieren. Professionelle Provider bieten SSL in ihren Tarifen an. Man aktiviert mod_rewrite und erzeugt dann mit der .htaccess-Datei eine Weiterleitung zum SSL-Login:
# Weiterleitung zum SSL-Login
RewriteEngine on
RewriteRule admin$ https://ssl-proxy-adresse/wp-login.php
WordPress Sicherheit – Top6 – Config-Datei und Admin-Bereich sichern
Bestimmte Dateien werden nur von WordPress benutzt. Andere sollten keinen Zugriff auf diese Daten haben. Besonders sicher sollte die Datei wp-config.php sein, denn darin liegen alle Zugangsdaten. Über die .htaccess-Datei wird die wp-config.php gesichert, indem man das folgende dort hineinschreibt:
# Zugriffsschutz wp-config.php
Order deny,allow
deny from all
WordPress Sicherheit – Top7 – Regelmäßige Aktualisierung von WordPress
Ab dem Moment, wo eine neue WordPress-Version herauskommt, versuchen Hacker Sicherheitslücken zu finden. Je mehr Zeit man ihnen gibt, desto gefährlicher wird es. Daher sollte man seine WordPress-Installation immer auf dem neuesten Stand haben.
WordPress Sicherheit – Top8 – Plugins
Bevor man ein Plugin installiert, sollte man im Plugin-Forum von WordPress schauen, ob es Sicherheitsbedenken gibt. Nach der Installation sollte man darauf achten, dass man das Plugin immer wieder aktualisiert. Prinzipiell ist man sicherer, wenn man weniger Plugins betreibt. Außerdem wird die Website dadurch schneller.
WordPress Sicherheit – Top9 – Spam Registrierungen
Man sollte durch Captcha Spam-Registrierungen vermeiden, bzw. wenn sie dann doch vorkommen regelmäßig löschen. Die Gefahr besteht hier darin, dass man irgendwann bei der Veränderung von Rechten der Mitglieder, ungewollt Rechte an Spammer vergibt, indem man en bloque Rechte verändert.
Welche Erfahrungen hast Du gemacht? Hast Du noch weitere Sicherheitsvorkehrungen, die Du triffst und die in der WordPress Sicherheit Top10 auftauchen sollen? Schreibe einen Kommentar…
Loading ...
Danke für die guten Ideen.
Als kleine Anregung
Update zur .htaccess. Hier auch mit Passwortschutz arbeiten!
2. immer neuste WP Version
3. sonst nutze ich noch folgende Plugins zur Sicherheit
WP Security Scan, TimThumb Vulnerability Scanner (diesen um die altbekannte Lücke in vielen Templates zu schließen), Secure WordPress, Limit Login Attempts, Exploit Scanner, AntiVirus
@matze
gern geschehen.
BG Chris
Hm, das mit den Benutzer IDs kann man doch auch machen indem man einfach erst mal paar fake Benutzer erstellt und dann wieder löscht oder? Das mit der phpMyAdmin klingt mir zu kompliziert.
Insgesamt finde ich den Artikel echt super. Danke für die Hinweise
@Jaz
will.
… ja, das ist die Variante, wenn man sich mit einer ein- bis zweistelligen ID verteidigen
BG Chris
@Jaz
ich hab vollstes Verständnis, wenn dies zu Beginn etwas kompliziert klingen mag – ging mir nicht anders. Allerdings, wenn man sich ein paar Sekunden damit auseinandersetzt ist es sehr einfach, vor allem sehr schnell mit dieser SQL-Anweisung.
Das ‘Problem’ mit dem neuen Benutzernamen ist aus meiner Sicht das Folgende: Wenn ein Hacker die ID 1 nicht findet, dann sucht der doch automatisch die 2, 3, etc. Teilweise gehen die weit über die ID 25 mit der Suche. Legt man also einen neuen Benutzer an, dann ist die Benutzer ID +1 und genau dieses *hinaufzählen* erachte ich als problematisch. Und glaube mir bitte, dass sich die Hacker sehr vieles einfalen lassen, auch im Bezug auf die Benutzer-ID.
Hinzu kommt, dass es viele dieser Anleitungen im Netz gibt und auch Hacker lesen diese Anleitungen
Du kannst das mit der SQL-Anweisung auch gut lokal ausprobieren, falls Du Dir eine Testumgebung eingerichtet hast
Greets Pat
Das Anlegen eines neuen Benutzers erachte ich als zu wenig da die meisten dann die Benutzer-ID 2 oder 3 besitzen, was vermutlich von Hackern als erstes ausprobiert wird.
Persönlich ändere ich nebst dem Benutzername auch die IDs über phpMyAdmin mittels SQL-Anweisung. Als Beispiel:
UPDATE wp_users SET ID = ’15′ WHERE ID = 1;
UPDATE wp_usermeta SET user_id = ’15′ WHERE user_id = 1;
SET ID / SET user_id = die neue Benutzer-ID
WHERE ID / WHERE user_id = die bestehende Benutzer-ID
Sich in phpMySQL einloggen, die richtige Datenbank auswählen, oben in der Buttonleiste auf SQL klicken und die beiden Anweisungen eintragen. Die 2 SQL-Anweisungen müssen noch angepasst werden wenn man den Tabellen-Präfix geändert hat.
Somit haben die Hacker schon mal einen grösseren Mehraufwand, die ID herauszufinden…
@Pat
Vielen Dank für den sehr guten Hinweis. Wäre nur noch darauf zu achten, dass die ID noch nicht vergeben ist… und je mehr Ziffern die Zahl hat, desto sicherer
Ich frage mich gerade, ob es da eine Obergrenze an Ziffern gibt.
bg Chris
@Chris,
habe gerade nen neuen Benutzer angelegt und die ID über die SQL-Anweisung geändert. Die ID des neuen Benutzers lautet 99999
Danke Dir, hab`s geschafft, dann muss ich nun ein paar Websites entsprechend anpassen
“Nur neu anlegen”
Danke Dir Chris,
also zwei Schritte, wenn ichs recht verstanden habe
unter dem admin einloggen, dann einen neuen Benutzer mit admin Rechten, dann ausloggen und unter dem neuangelegten reingehen und dann quasi noch einen Benutzer anlegen.Doch wozu noch einen Benutzer?
Finde nicht die Stelle für admin Rechte vergabe ?
Danke Dir Chris,
also zwei Schritte, wenn ichs recht verstanden habe
unter dem admin einloggen, dann einen neuen Benutzer mit admin Rechten, dann ausloggen und unter dem neuangelegten reingehen und dann quasi noch einen Benutzer anlegen.Doch wozu noch einen Benutzer?
Finde nicht die Stelle für admin Rechte vergabe ?
@Michael
Nein… unter dem neu angelegten Benutzer keinen weiteren anlegen, sondern dort nur einen Real-Name eingeben. Dann über das dortige Pulldownmenü zur Namensvergabe, den neu eingegebenen Namen auswählen.
Danach mit einem weiteren Pulldown-Menü die Admin-Rechte für den neuen Administrator einrichten.
Du wirst sehen. Die Erklärung hier ist viel komplizierter als das Einrichten an sich.
BG Chris
für dich ev. eine “blöde” Frage, aber wie kann ich den Benutzernamen “admin” ändern, wo im backend von WP?
ich komme bald wieder vorbei wegen der Antwort
@Michael
das ist überhaupt keine blöde Frage!
…sondern eine kleine Sicherheitslücke von WordPress, die Du schnellstmöglich schließen solltest.
Man kann einen Benutzernamen bei WordPress nicht ändern. Nur neu anlegen und den alten Benutzer löschen.
Lege unter Benutzer einen neuen Benutzer (,der nicht admin heißt!) an und gebe ihm Admin-Rechte. Dann logge Dich unter dem neuen Benutzernamen ein und lösche Deinen alten admin-Benutzer.
Beim Anlegen des neuen Benutzers kannst Du ruhig statt des Benutzernamens ein stark verschlüsseltes Passwort eingeben. Das Passwort selbst sollte auch stark verschlüsselt sein.
Nach der Anlage des neuen Benutzers kannst Du dann unter Benutzer/Dein Profil per Pulldown-Menü Deinen echten oder beliebigen Namen eingeben, den Du später auch jederzeit ändern kannst.
Etwas abstrakt, aber sicher.
…und das gehört ganz sicher zu den WordPress-Sicherheits Top10.
BG Chris
Vielen Dank für die vielen Tips. Gerade das mit dem Ändern der Passwörter habe ich bis jetzt sträflich vernachlässigt. Da werde ich gleich mal drangehen.