Wordpress: 10 Punkte für mehr Sicherheit (vor dem Start)
22.01.2011
Mit Wordpress ist ein neues Weblog-System schnell eingerichtet. Die einfache Installation und die intuitive Benutzeroberfläche verleiten dazu, einfach loszulegen: Kategorien anlegen, Artikel schreiben, Publizieren, fertig!
Doch halt. Bevor Sie Ihre ersten Artikel online stellen (oder überhaupt die URL Ihres Blogs herausgeben), sollten Sie einige Sicherheitsmaßnahmen ergreifen. Denn Wordpress ist sehr populär und damit öfter Opfer von Angriffen als weniger bekannte Websysteme.Übrigens: Das Thema Sicherheit für Wordpress ist nicht allumfassend in einem einzigen Blogbeitrag abzuhandeln. Vielmehr sollen hier die wichtigsten Griffe gezeigt werden, die Sie bereits vor oder während der Installation oder wenigstens vor der Veröffentlichung Ihres Blogs durchführen sollten.
1. Datenbank-Präfix
Die erste Maßnahme sollten Sie schon während der Installation durchführen: Ändern Sie den vorgeschlagenen Datenbank-Präfix wp_ in einen beliebigen anderen Präfix, z. B. Initialen Ihres Blognamens oder besser noch einen Zufallswert. Angreifer kommen so weniger leicht an Ihre Tabellen heran. Die Änderung nehmen Sie in der Datei wp_config.php vor.
Wenn Sie Wordpress bereits installiert haben, ist auch eine nachträgliche Änderung möglich. Dafür gibt es spezielle Tools. Suchen Sie bei Google nach "Wordpress Datenbank Präfix ändern".
2. Sicherheitskeys ändern
Wordpress verwendet zur Verschlüsselung diverser Werte (Passwörter etc.) Phrasen, die die Sicherheit erhöhen sollen. Diese Phrasen können (und sollten) Sie in der wp-config.php ändern. In dieser Datei finden Sie auch einen Link, unter dem Sie sich vollautomatisch schrecklich lange und verschnörkelte Phrasen erstellen lassen können. Nutzen Sie den Service!
3. Schützen Sie Ihre Config-Datei
Die wp-config.php enthält nicht nur Security Keys und Datenbank-Präfix, wie oben beschrieben, sondern auch die Zugangsdaten zu Ihrer Datenbank. Schützen Sie die Datei daher vor direktem Zugriff! Am einfachsten geht das per .htaccess. Erstellen Sie eine Datei mit dem Namen .htaccess und folgendem Inhalt:
Order deny,allow deny from all
Schieben Sie die Datei auf den Webserver, in dasselbe Verzeichnis wie die wp-config.php.
4. Keine Fehlermeldungen an den Browser
Kontrollieren Sie, ob in der wp-config.php folgende Zeile enthalten ist:
define('WP_DEBUG', true);
Mit dieser Einstellung werden Fehlermeldungen an den Browser ausgegeben, was Sie immer vermeiden sollten (außer im Testbetrieb). Ändern Sie daher true in false oder löschen Sie die Zeile.
5. Verschleiern Sie Ihre Wordpress-Version
Mit welcher Version von Wordpress Sie arbeiten, interessiert in der Regel vor allem Angreifer. Trotzdem gibt Wordpress die verwendete Version noch immer standardmäßig im Quellcode aus. Diese Ausgabe ist nicht Teil des Themes, sondern geschieht automatisch.
Um das zu verhindern, öffnen Sie die functions.php Ihres Themes (wp-content/themes/default/ oder im Verzeichnis Ihres Themes). Falls die Datei noch nicht existiert, legen Sie sie an. Fügen Sie folgende PHP-Zeile ein:
remove_action('wp_head', 'wp_generator');
Laden Sie die Datei hoch. Fertig.
6. Admin-User ersetzen
Wordpress erstellt automatisch einen User namens admin, der sich auch nicht umbenennen lässt. Hacker wissen, dass es diesen Standard-User mit Universal-Rechten gibt und richten ihre Angriffe darauf aus. Erstellen Sie sich daher möglichst einen neuen Nutzer mit Adminrechten und löschen Sie admin. Achten Sie darauf, dass nicht Ihr Benutzername unter den Beiträgen angezeigt wird (das lässt sich im Profil einstellen).
7. Passen Sie auf Ihre Plugins auf
Ihre installierten Plugins sind Ihre Privatsache. Achten Sie darauf, dass das so bleibt, denn auch Plugins können Sicherheitslücken haben (ohne dass Sie davon wissen). Deshalb sollte das sogenannte Directory Listing auf Ihrem Webserver deaktiviert sein (das sollte es sowieso, immer). Ob das so ist, testen Sie, indem Sie an Ihre Blog-URL /wp-content/plugins/ anhängen. Wenn Sie jetzt eine Liste Ihrer Plugins sehen, wenden Sie sich schnellstens an Ihren Webhoster und lassen Sie Directory Listing deaktivieren. Oder erstellen Sie eine .htaccess-Datei und fügen Sie folgende Zeile ein:
Options All -Indexes
Diese Datei schieben Sie auf den Webserver in das unterste Verzeichnis (root).
Sehen Sie eine weiße Seite, ist alles gut.
8. SSL-Zugang zum Admin-Bereich
SSL verschlüsselt Ihre Zugangsdaten, die Sie beim Einloggen vom Browser an den Webserver senden. Sind diese nicht verschlüsselt (wie es standardmäßig der Fall ist), können Sie unterwegs ausspioniert werden. Für die Verschlüsselung benötigen Sie ein SSL-Zertifikat von Ihrem Webhoster oder einem externen Anbieter. Aktivieren Sie dieses für Ihre Blog-Domain.
Fügen Sie folgenden Zeilen in die .htaccess-Datei ein, die sich im Wordpress-Verzeichnis befindet (oder legen Sie die Datei neu an, wenn nicht vorhanden).
RewriteEngine On RewriteCond %{HTTPS} !=on RewriteRule ^wp-admin(.*) https://%{SERVER_NAME}/wp-admin$1 [R,L]
9. Sicherheits-Plugins installieren
Es gibt eine Vielzahl an Erweiterungen für Wordpress, die die Sicherheit des Blog-Systems erhöhen. Einige davon werde ich hier in meinem Blog in loser Serie vorstellen.
10. Updates (laufend)
Führen Sie regelmäßig Updates durch, auch wenn es bei einem so kurzen Release-Zyklus, wie Wordpress ihn hat, anstrengend erscheint. Die neuen Versionen enthalten oft Fehlerkorrekturen (Bugfixes) und machen schon allein deshalb Sinn. Außerdem verbreiten sich Sicherheitslücken älterer Versionen im Netz rasend schnell, wenn sie erstmal bekannt sind.
Kategorien: Recht & Sicher | Schlagworte: Blog, Checkliste, Security, Sicherheit, Wordpress
Tipps + News für deinen Online-Shop
Abonniere den Grips-Letter, und erhalte Ideen und Impulse für deinen Shopware oder OXID Shop, die dir helfen, sichtbarer zu werden, deinen Umsatz zu steigern und Zeit, Geld und Nerven zu sparen. Für 0 Euro direkt in dein Postfach!
Du kannst dich jederzeit wieder abmelden. Mehr dazu findest du in unserer Datenschutzerklärung.