Zurück zur Übersicht

Wordpress: 10 Punkte für mehr Sicherheit (vor dem Start)

22.01.2011

Mit Wordpress ist ein neues Weblog-System schnell eingerichtet. Die einfache Installation und die intuitive Benutzeroberfläche verleiten dazu, einfach loszulegen: Kategorien anlegen, Artikel schreiben, Publizieren, fertig!

Doch halt. Bevor Sie Ihre ersten Artikel online stellen (oder überhaupt die URL Ihres Blogs herausgeben), sollten Sie einige Sicherheitsmaßnahmen ergreifen. Denn Wordpress ist sehr populär und damit öfter Opfer von Angriffen als weniger bekannte Websysteme.Übrigens: Das Thema Sicherheit für Wordpress ist nicht allumfassend in einem einzigen Blogbeitrag abzuhandeln. Vielmehr sollen hier die wichtigsten Griffe gezeigt werden, die Sie bereits vor oder während der Installation oder wenigstens vor der Veröffentlichung Ihres Blogs durchführen sollten.

1. Datenbank-Präfix

Die erste Maßnahme sollten Sie schon während der Installation durchführen: Ändern Sie den vorgeschlagenen Datenbank-Präfix wp_ in einen beliebigen anderen Präfix, z. B. Initialen Ihres Blognamens oder besser noch einen Zufallswert. Angreifer kommen so weniger leicht an Ihre Tabellen heran. Die Änderung nehmen Sie in der Datei wp_config.php vor.

Wenn Sie Wordpress bereits installiert haben, ist auch eine nachträgliche Änderung möglich. Dafür gibt es spezielle Tools. Suchen Sie bei Google nach "Wordpress Datenbank Präfix ändern".

2. Sicherheitskeys ändern

Wordpress verwendet zur Verschlüsselung diverser Werte (Passwörter etc.) Phrasen, die die Sicherheit erhöhen sollen. Diese Phrasen können (und sollten) Sie in der wp-config.php ändern. In dieser Datei finden Sie auch einen Link, unter dem Sie sich vollautomatisch schrecklich lange und verschnörkelte Phrasen erstellen lassen können. Nutzen Sie den Service!

3. Schützen Sie Ihre Config-Datei

Die wp-config.php enthält nicht nur Security Keys und Datenbank-Präfix, wie oben beschrieben, sondern auch die Zugangsdaten zu Ihrer Datenbank. Schützen Sie die Datei daher vor direktem Zugriff! Am einfachsten geht das per .htaccess. Erstellen Sie eine Datei mit dem Namen .htaccess und folgendem Inhalt:


Order deny,allow
deny from all

Schieben Sie die Datei auf den Webserver, in dasselbe Verzeichnis wie die wp-config.php.

4. Keine Fehlermeldungen an den Browser

Kontrollieren Sie, ob in der wp-config.php folgende Zeile enthalten ist:

define('WP_DEBUG', true);

Mit dieser Einstellung werden Fehlermeldungen an den Browser ausgegeben, was Sie immer vermeiden sollten (außer im Testbetrieb). Ändern Sie daher true in false oder löschen Sie die Zeile.

5. Verschleiern Sie Ihre Wordpress-Version

Mit welcher Version von Wordpress Sie arbeiten, interessiert in der Regel vor allem Angreifer. Trotzdem gibt Wordpress die verwendete Version noch immer standardmäßig im Quellcode aus. Diese Ausgabe ist nicht Teil des Themes, sondern geschieht automatisch.

Um das zu verhindern, öffnen Sie die functions.php Ihres Themes (wp-content/themes/default/ oder im Verzeichnis Ihres Themes). Falls die Datei noch nicht existiert, legen Sie sie an. Fügen Sie folgende PHP-Zeile ein:

remove_action('wp_head', 'wp_generator');

Laden Sie die Datei hoch. Fertig.

6. Admin-User ersetzen

Wordpress erstellt automatisch einen User namens admin, der sich auch nicht umbenennen lässt. Hacker wissen, dass es diesen Standard-User mit Universal-Rechten gibt und richten ihre Angriffe darauf aus. Erstellen Sie sich daher möglichst einen neuen Nutzer mit Adminrechten und löschen Sie admin. Achten Sie darauf, dass nicht Ihr Benutzername unter den Beiträgen angezeigt wird (das lässt sich im Profil einstellen).

7. Passen Sie auf Ihre Plugins auf

Ihre installierten Plugins sind Ihre Privatsache. Achten Sie darauf, dass das so bleibt, denn auch Plugins können Sicherheitslücken haben (ohne dass Sie davon wissen). Deshalb sollte das sogenannte Directory Listing auf Ihrem Webserver deaktiviert sein (das sollte es sowieso, immer). Ob das so ist, testen Sie, indem Sie an Ihre Blog-URL /wp-content/plugins/ anhängen. Wenn Sie jetzt eine Liste Ihrer Plugins sehen, wenden Sie sich schnellstens an Ihren Webhoster und lassen Sie Directory Listing deaktivieren. Oder erstellen Sie eine .htaccess-Datei und fügen Sie folgende Zeile ein:

Options All -Indexes

Diese Datei schieben Sie auf den Webserver in das unterste Verzeichnis (root).

Sehen Sie eine weiße Seite, ist alles gut.

8. SSL-Zugang zum Admin-Bereich

SSL verschlüsselt Ihre Zugangsdaten, die Sie beim Einloggen vom Browser an den Webserver senden. Sind diese nicht verschlüsselt (wie es standardmäßig der Fall ist), können Sie unterwegs ausspioniert werden. Für die Verschlüsselung benötigen Sie ein SSL-Zertifikat von Ihrem Webhoster oder einem externen Anbieter. Aktivieren Sie dieses für Ihre Blog-Domain.

Fügen Sie folgenden Zeilen in die .htaccess-Datei ein, die sich im Wordpress-Verzeichnis befindet (oder legen Sie die Datei neu an, wenn nicht vorhanden).

RewriteEngine On
RewriteCond %{HTTPS} !=on
RewriteRule ^wp-admin(.*) https://%{SERVER_NAME}/wp-admin$1 [R,L]

9. Sicherheits-Plugins installieren

Es gibt eine Vielzahl an Erweiterungen für Wordpress, die die Sicherheit des Blog-Systems erhöhen. Einige davon werde ich hier in meinem Blog in loser Serie vorstellen.

10. Updates (laufend)

Führen Sie regelmäßig Updates durch, auch wenn es bei einem so kurzen Release-Zyklus, wie Wordpress ihn hat, anstrengend erscheint. Die neuen Versionen enthalten oft Fehlerkorrekturen (Bugfixes) und machen schon allein deshalb Sinn. Außerdem verbreiten sich Sicherheitslücken älterer Versionen im Netz rasend schnell, wenn sie erstmal bekannt sind.

Kategorien: Recht & Sicher | Schlagworte: Blog, Checkliste, Security, Sicherheit, Wordpress

Lust auf mehr?

Grips-Letter abonnieren und nichts mehr verpassen.

Der Grips-Letter erscheint alle 1 - 2 Wochen. Du kannst dich jederzeit wieder abmelden. Deine Daten werden nicht weiter gegeben. Hier erfährst du mehr über den Grips-Letter. Hier findest du unsere Datenschutzerklärung.

Beitrag kommentieren

Wie alle anderen Websites verwendet auch unsere Cookies. Wenn du unsere Website verwendest, stimmst du dem zu.

Folgende Cookies zulassen:

Alle akzeptieren

Mehr Infos


Welche Cookies werden gesetzt?

Notwendig
PHPSESSID Behält die Einstellungen der Seite des Benutzers bei allen Seitenanfragen bei.
robin_marketing_popup Sorgt dafür, dass das Marketing-Popup nicht bei jedem Seitenwechsel erneut aufpoppt.
dwa_cookie_noticed Speichert die Einwilligungen zu den Cookies für ein Jahr. Dieser Cookie kann zurückgesetzt werden, wenn die Einwilligung entzogen werden soll.
Statistik
_pk_id Matomo - Cookie zum Speichern einiger Details über den Benutzer, z. B. der eindeutigen Besucher-ID (anonymisiert), notwendig zum Zählen wiederkehrender Besucher. - Speicherdauer 13 Monate
_pk_ses Matomo-Cookie zur Speicherung Sessionabhängiger Nutzerdaten - Speicherdauer 30 Minuten