WordPress-Sicherheit Schritt für Schritt (Regeln 1 bis 4)

WordPress-Sicherheit.jpg WordPress-Sicherheit-Detail.jpg
| WordPress

WordPress-Security sollte zu den absoluten Grundlagen für jeden Blog-Betreiber gehören. WordPress-Seiten zählen zu den am häufigsten gehackten Seiten weltweit. Mit den nachfolgenden Tricks und Tipps können Sie die Sicherheit Ihres WordPress-Blogs erhöhen.

    Regel 1 - Themes

    WordPress liefert mit der Grundinstallation bereits einige Standardthemes aus. In der Vergangenheit gab es auch hier Sicherheitslücken. Alle Themes die nicht benötigt werden, sollten also vor dem Onlinegang gelöscht werden.


    Regel 2 - Umgang mit Plugins

    WordPress-Plugins gehören aus Hackersicht zu einem der größten Einfalltore einer WordPress-Installation. In der Regel ist es einem Seitenbetreiber nicht möglich, jedes Plugin vor der Installation auf Herkunft und Sicherheitslücken zu prüfen. Oftmals verlässt man sich bei der Auswahl auf Empfehlungen oder wählt ein Plugin, dass schon einige hundert oder tausend Mal heruntergeladen wurde oder wählt einfach das erstbeste.

    • Je weniger Plugins zum Einsatz kommen, desto besser. Vor jeder Istallation sollte die Frage gestellt werden, ob das Plugin wirklich benötigt wird und ob es das Risiko einer eventuell zusätzlichen Sicherheitslücke wert ist.
    • Alle nicht genutzten Plugins sollten nicht nur deaktiviert werden, sondern gleich deinstalliert werden.


    Regel 3 - Benutzer

    Verwenden Sie nach Möglichkeit keine geläufigen Benutzernamen. Admin, Administrator, Editor oder ähnliche Namen sollten tabu sein.
    Geben Sie den Nutzern immer nur die Rechte, die wirklich benötigt werden. Keinesfalls sollte jeder Benutzer pauschal Administratorenrechte erhalten.
    Verwenden Sie kein Passwort doppelt. Jeder Benutzer sollte ein eindeutiges, einmaliges Passwort erhalten. Die vorgeschlagenen Passwörter von WordPress sehen lang und kompliziert aus und das sind sie auch - zu recht.Ein Passwort, dass kürzer als 12 Zeichen ist, gilt aus potentiell unsicher.

    Verwenden Sie zur Verwaltung Ihrer Passwörter einen Passwortmanager wie z.B. KeePass

    Hier können Sie prüfen, ob Ihr Passwort sich bereits auf einer Hackerliste befindet: Pwned Passwords


    Regel 4 - Grundabsicherung

    WordPress bringt einige Standardeinstellungen mit, die als willkommenes Einfallstor für Hacker dienen. Dazu zählen die XML-RPC-Schnittstelle, die standardmäßig aktiviert ist, sowie die Möglichkeit über einen Link alle angelegten Benutzernamen in Erfahrung zu bringen. Hängen Sie dazu einmal ?author=1 an Ihre Domain an. Also z.B. www.ihreDomain.de/?author=1 und tauschen Sie die 1 durch 2, 3 usw.. Wir werden in separaten Artikeln auf die Vor- und Nachteile dieser Features eingehen. In den allermeisten Fällen ist es besser, den Zugriff auf die beiden genannten Punkte zu sperren. Dies kann einfach mittels der htaccess-Datei erfolgen.

    # Zugriff auf die Datei xmlrpx.php sperren
    <Files xmlrpc.php>
    Order Deny,Allow
    Deny from all
    </Files>

    # Zugriff auf die Benutzernamen sperren
    <IfModule mod_rewrite.c>
    RewriteEngine on
    RewriteCond %{QUERY_STRING} .*author=(.+.?) [NC]
    RewriteRule (.*) /blog/?author= [NC,L,R=301]
    </IfModule>

    Noch sicherer wird es, wenn Sie den Zugriff auf das WordPress-Backend, also auf die Verwaltungsoberfläche sperren. Dazu setzen Sie folgenden Absatz ein und ersetzen das Wort "IPADRESSE" durch Ihre IP-Adresse. Diese finden Sie z.B. über folgenden Link heraus: Privacy Check
    Wenn Sie über keine statische IP-Adresse verfügen, müssen Sie sehr wahrscheinlich regelmäßig die IP-Adresse anpassen.

    # Backendzugriff sperren
    <IfModule mod_rewrite.c>
    RewriteEngine on
    RewriteCond %{REQUEST_URI} ^(.*)?wp-login\.php(.*)$ [OR]
    RewriteCond %{REQUEST_URI} ^(.*)?wp-admin$
    RewriteCond %{REMOTE_ADDR} !^IPADRESSE$
    RewriteRule ^(.*)$ - [R=403,L]
    </IfModule>

    Wenn Sie statt Apache Nginx verwenden, werden die Einträge in der .htaccess keine Wirkung zeigen. In diesem Fall wenden Sie sich an Ihren Hoster, der die Einstellungen für Nginx vornehmen kann.

    Zurück