WordPress Sicherheit – wie ihr euer System absichern könnt

Geschrieben von Rolf Moczarski am 21.06.2012 in Wordpress | Keine Kommentare

Das Thema Sicherheit ist immer ein großes Problem bei Open-Source-Systemen (frei zugängliche Software) wie WordPress. Allerdings gibt es zahlreiche Möglichkeiten, um sich gegen zwielichtige Personen zur Wehr zu setzen, die in eure Wordperss-Installation eindringen möchten. Besonders für geschäftlich genutzte WordPress-Installationen ist dies wichtig, denn gerade diese Seiten sind häufig das Ziel von unerwünschten Eindringlingen.

Wir möchten euch nun in diesem Artikel einige der wichtigsten Methoden zeigen, mit denen Ihr eure WordPress-Installation absichern könnt. Befolgt diese einfachen Schritte und verbessert somit die Sicherheit eures Blogs oder eurer Internetseite.

Schritt 1 – Installation

Ein häufiger Fehler, der im Bereich der Sicherheit begangen wird, ist, dass der Tabellen-Präfix, der standardmäßig auf wp_ gestellt ist, belassen wird. Ändert diesen Präfix einfach in eine beliebige Zeichenkette ab und stärkt somit die Sicherheit eurer WordPress-Installation

Schritt 2 – Benutzerdaten

Immer wieder kann man es in der Praxis erleben, dass eine Vielzahl von WordPress-Installationen lausig gesichert worden sind. Dies fängt bereits bei der Auswahl der Benutzerdaten während der WordPress-Installation an. Viele lassen den vordefinierten Benutzernamen „admin“ stehen und vergeben dann zumeist ein unsicheres Passwort.

Im ersten Schritt möchten wir euch daher empfehlen, euch sowohl für den Benutzernamen als auch für das Passwort willkürliche Daten zusammenzustellen. So zum Beispiel:

Benutzer: cuD3Lj
Passwort: DWLijT3P

Dies sichert euren Admin-Account schon einmal immens ab, ist aber nur eine der Maßnahmen, die wir euch für die Steigerung der WordPress-Sicherheit empfehlen.

Schritt 3 – aktuelle Versionen

Häufig vergessen, doch immens wichtig ist die Aktualisierung der WordPress-Installation auf den neusten Stand. Dies sichert euer System vor bekannten Sicherheitslücken, die bereits vom WordPress-Team behoben worden sind. Es sollte jedoch auch nicht vergessen werden, dass dies auch für verwendete Plugins gelten muss.

Für die Aktualisierung von Plugins und WordPress-Installation müsst ihr euch lediglich in euer WordPress-Backend mit dem Administrator-Account einloggen und unter dem Menüpunkt „Updates“ die notwendigen Aktualisierungen durchführen.

Schritt 4 – Secure WordPress installieren

Eines der mächtigsten Sicherheits-Plugins ist definitiv Secure WordPress. Mithilfe dieses kleinen Torwächters ist es möglich, wichtige Einstellungen vorzunehmen, um einen WordPress-Blog wirklich sicher zu machen.

4.1 Fehlermeldung unterdrücken

Mit Secure WordPress kann man unter anderem die Fehlermeldung unterdrücken, welche erscheint, wenn falsche Zugangsdaten eingegeben werden.

Diese Option sollte in jedem Fall angehakt werden, denn WordPress hat leider einen entscheidenden Fehler beim Login begangen. Wird der Benutzername korrekt eingegeben und es ist lediglich das Passwort falsch, teilt WordPress dem Benutzer eben dies mit.

Dies hat den Nachteil, dass ein potenzieller Angreifer erkennen kann, dass der Benutzername schon einmal richtig ist. So müsste dieser nur noch das passende Passwort herausbekommen und hätte eure Installation geknackt.

4.2 WordPress-Version verbergen

Wie bereits zu Anfang erwähnt ist es wichtig, die WordPress-Version stets aktuell zu halten. Um es dem feindlichen Angreifer möglichst schwer zu machen, sollte auch die WordPress-Version im Head-Bereich des Blogs-Quelltextes entfernt werden.

Auch dies erledigt Secure WordPress für euch. Dies ermöglicht es dem Angreifer nicht, anhand der Version bereits bekannte Sicherheitslücken auszunutzen. Durch diese einfache Maßnahme könnt dem Angreifer einige Steine in den Weg legen.

Schritt 5 – wp-config.php sichern

Eine Möglichkeit der Absicherung, die ihr ohne ein Plugin durchführen könnt ist die Rechtevergabe der wp-config.php auf eurem Server. Diese Datei liegt auf der Root-Ebene (Basisebene eurer WordPress Installation) und muss nun über die sogenannten CHMOD-Einstellungen bearbeitet werden.

Hierfür einfach einen Rechtsklick auf die Datei tätigen und je nach FTP-Programm erscheint eine Option wie „Rechtevergabe“ oder „CHMOD“. Wichtig ist es, dass ihr dort die Rechte auf 640 setzt. Dies nimmt anderen außer euch die Schreib- und Leserechte und sichert das Passwort für die MYSQL ab, das in dieser Datei hinterlegt ist.

Schritt 6 – Limit Login Attempts

Eine Methode, mit denen Angreifer Versuchen in das Backend eurer WordPress-Installation zu gelangen, ist ein Angriff mit roher Gewalt (Brute Force Attack). Diese Methode versucht mit unzähligen Kombinationen aus Benutzernamen und Passwort durch eine Vielzahl von Log-in-Versuchen die Zugangsdaten der WordPress-Installation zu knacken. Wie also diesen Massenangriff auf eure Zugangsdaten vermeiden?

Eigentlich ganz einfach, denn mit dem Plugin „Limit Login Attempts“ könnt ihr die Anzahl der möglichen Einloggversuche drastisch reduzieren. Dies nimmt dem Angreifer die Möglichkeit, eure Installation mit der „Brechstange“ zu knacken, da eine „Brute Force Attack“ hier keinen Sinn mehr macht.

 

Fazit – aktuell bleiben lohnt sich

Wir hoffen, dass ihr durch diese einzelnen Tipps die wichtigsten Maßnahmen zur Sicherung eurer WordPress-Installation durchführen könnt. Solltet ihr jedoch noch weitere Fragen haben oder Anmerkungen zu möglichen Plugins und Vorschlägen, dann freuen wir uns darauf, euren Kommentar zu lesen.