Methoden um die Sicherheit von WordPress zu erhöhen

WordPress ist die verbreitetste Blogsoftware im Netz und wie bei allen sehr bekannten Systemen, sind diese auch ein beliebtes Ziel für Hackerangriffe. In den meisten Fällen sind es leicht zu knackende Passwörter, Standardnamen der Administratorkonten oder fehlende Updates um Sicherheitslücken im System oder Plugins zu schließen. Um die Sicherheit von WordPress zu erhöhen sollten folgende 10 Methoden unbedingt angewendet werden.

1. Die Accounts der Administratoren absichern

Bei der Installation von WordPress wird Standardmäßig der Benutzername admin vorgegeben. Bei der Installation sollte man diesen nicht übernehmen sondern in einen anderen umbenennen. Zusätzlich sollte nach der Installation zum Loginnamen auch ein abweichender Spitzname gewählt werden, damit der Loginname nicht öffentlich einsehbar ist. Der Spitzname kann im Backend unter Benutzer -> Dein Profil geändert werden.

2. Wie sicher ist mein Passwort wirklich?

Geburtstage, Orte oder Vornamen sind als Passwörter sehr beliebt und auch leicht zu erraten. Passwörter sind zu vergleichen mit einem Schlüssel zur eigenen Wohnung und dort wollen wir ja auch nicht, dass jemand direkt den Schlüssel unter der Fußmatte findet. Passwörter sollten mindestens eine Länge von 8 Zeichen haben, aus Buchstaben mit Zahlen bestehen und keine direkte Bedeutung besitzen. Um sich einfach ein Passwort generieren zu lassen gibt es verschiedene Passwortgeneratoren im Internet.

3. Die Anzahl der Loginversuche limitieren

Eine beliebte Methode um in das Backend zu gelangen ist ein Brute Force Angriff. Dabei werden von einer Software durchgehend alle möglichen Passwortkombinationen durchprobiert bis eins davon stimmt. Um diese Methode zu unterbinden müssen wir die Loginversuche zeitlich limitieren. Dafür empfiehlt sich das Plugin Limit Login Attempts von johanee aus dem offiziellen WordPress Plugin Verzeichnis.

4. Das Backend mit einem Verzeichnisschutz absichern

Zugriff auf das Backend von WordPress läuft immer über das Verzeichnis /wp-admin/ und wird daher auch immer Ziel von Angriffen sein. Mit einem Verzeichnisschutz kann man diesen Bereich serverseitig über eine .htaccess mit einem Passwort absichern. Daniel Weihmann von Redirect301 erklärt dies im Artikel: Verzeichnisschutz per htaccess-Datei.

5. Ausgabe von Fehler und WordPress Version ausblenden

Die Ausgabe von Fehler sind für Entwickler interessant, jedoch können Angreifer mit diesen Informationen Sicherheitslücken im System finden und diese gezielt ausnutzen. Die Versionsnummer von WordPress kann auch Aufschluss darüber geben, welche Sicherheitslücken das System besitzt, wenn WordPress noch nicht auf die aktuellste Version geupdatet wurde. Es empfiehlt es sich diese Informationen auszublenden indem wir in der functions.php des aktiven Themes folgende Zeile hinzufügen:
remove_action(‘wp_head’, ‘wp_generator’);

 6. Schnittstellen zur Fernveröffentlichung deaktivieren

Wenn man nicht vor hat, seine Artikel mit dem Handy oder Windows LiveWriter zu schreiben, kann man diese Schnittstellen im Backend unter Einstellungen -> Schreiben deaktivieren. Die Schnittstelle kann auch in der functions.php des aktiven Themes mit dem hinzufügen folgenden Zeilen abgeschaltet werden:
remove_action(‘wp_head’, ‘rsd_link’);
remove_action(‘wp_head’, ‘wlwmanifest_link’);

7. Registriertung neuer Benutzer abschalten

Die meisten WordPress Blogs benötigen für den Betrieb keine Mitgliedschaft. Brauchen Besucher auf dem Blog keine Mitgliedschaft, kann man im Backend unter Einstellungen -> Allgemein die Registrierung neuer Benutzer durch Besucher deaktivieren.

8. Inaktive Plugins deaktivieren und löschen

Mit Plugins kann man Worpress um sinnvolle Funktionen erweitern, aber oft werden eine große Anzahl von Plugins installiert, aktiviert und dann wieder vergessen. Es sollten nur die wirklich benötigten Plugins aktiviert und nicht mehr genutzte Plugins gelöscht werden.

9. WordPress, Theme und Plugins aktuell halten

WordPress wird von den Entwicklern stehts weiterentwickelt. Es werden Sicherheitslücken geschlossen und Fehler behoben. Plugins und Themes werden häufig auch vom jeweiligem Entwickler aktualisiert oder einer neuen WordPress Version angepasst. Wenn ein neues Update für WordPress, ein Plugin oder Theme vorhanden ist, wird dies im Backend mitgeteilt.

10. Regelmäßig Sicherheitskopien erstellen

Sollte es jemanden doch gelingen in das System einzudringen und Schaden zu verursachen oder ist beim updaten etwas schief gelaufen, ist es immer gut ein Backup zu haben. Vor jedem WordPress Update und an regelmäßigen Zeitpunkten sollte deshalb ein Backup der kompletten Installation gemacht werden. Auf der offiziellen WordPress Webseite wird erklärt wie man eine Sicherheitskopie der Installation erstellt. Es gibt auch eine große Anzahl an Backup Plugins, welche unter anderem auch ein Backup bei Dropbox ermöglichen.

Deine Meinung

Mit deiner E-Mailadresse kannst du dein Gravatar einblenden. Deine E-Mailadresse wird nicht veröffentlicht. Pflichtfelder sind mit einem * markiert.

*
*

Nach Oben