Wie kann ich WordPress sicher einstellen?

Wie kann ich WordPress sicher einstellen?

Hacker sind im normalen Leben auch ganz normale Menschen, aus diesem Grund, sollten Sie den Angriff auf Ihre WordPress-Internetseite nicht unnötig einfach machen. Die Basis eines umfassenden Sicherheitskonzept, ist immer das Durchführen regelmäßiger Updates. Doch das alleine, macht eine WordPress-Installation noch nicht sicher. Es sind noch weiterer Aspekte zu beachten.

Der Benutzername

Der erste Benutzername jeder WordPress-Installation ist der Admin-Account. Es dürfte selbsterklärend sein, dass Begriffe, wie Administrator, Admin oder gar der Vorname oder Zuname des Webseitenbesitzers auf keinen Fall für den Admin-Account verwendet werden sollten. Solche einfachen Begriffe können von unbefugten Dritten einfach zu leicht ausgelesen werdene.

Wichtig: Haben Sie einen nicht nachvollziehbaren Admin-Benutzernamen gefunden, achten Sie darauf, dass der WordPress-Benutzername nicht durch Unachtsamkeit von außen ausgelesen werden kann. Dabei ist es nicht genug, wenn Sie über die WordPress interne Benutzerverwaltung WordPress so einstellen, dass statt der Spitzname statt des Benutzernamens angezeigt wird.

Was kann man tun, damit der Benutzername über das Autorenarchiv nicht ausgelesen werden kann?

In der Regel legt WordPress für jeden angelegten Benutzernamen bzw. Autor eine eigenes Archiv an, bei dem im Permalink nicht der Spitzname sondern der für die Anmeldung zu verwendete Benutzername angezeigt wird. Für WordPress-Seiten mit mehreren Autoren von Vorteil, denn die Autoren bekommen so einen guten Überblick, was die anderen so schreiben. Doch damit ist es für Hacker natürlich ein Leichtes, eine WordPress-Installation zu kapern, da er nur noch das Passwort herausfinden muss. Um eben genau das zu verhindern, haben Sie verschiedene Möglichkeiten.

  • Das direkte Aufrufen des Autorenarchivs können Sie ausschließen in dem Sie diese Möglichkeit mithilfe der .htaccess ausschließen.
  • Völlig unkomplizierte Hilfe bietet in dem Fall das Plugin „Edit Author Slug“. Mithilfe des Plugins wird ausgeschlossen, dass WordPress für die Bildung des Autorenarchivs den Benutzernamen verwendet.

Die Passwörter der WordPress-Nutzer

Wie in vielen anderen Bereichen nutzen auch die WordPress-Benutzer einfache Passwörter, die der Name des ersten Hundes, der Name der Frau oder der Kinder. Mancher meinet es gut und kombiniert das Passwort gerade noch mal mit seinem Geburtsdatum, doch das ist noch lange nicht ausreichend. Hacker arbeiten mit automatisierten Wörterbüchern, wodurch es für Sie ein Leichtes wird, zum Benutzernamen das passende Passwort zu ermitteln.

Ein sicheres WordPress-Passwort – auf was muss ich achten?

Ein sicheres Passwort besteht immer mindestens aus acht Zeichen. Dabei muss das Passwort eine Mischung aus Groß- und Kleinbuchstaben sein und Sonderzeichen genauso beinhalten, wie Ziffern. Dazu muss aber gesagt werden, ein Passwort, dass 100 Prozent sicher ist, gibt es nicht. Jedes Passwort wurde bis jetzt früher oder später geknackt. Das bedeutet für Sie, dass Sie es Hackern so schwer wie möglich machen sollten, Ihren WordPress-Blog zu kapern.

Einfache Begriffe und gängige Zahlen- und Buchstabenkombinationen sind gewiss kein sicheres Passwort! Des Weiteren sollten Sie darauf achten, dass Sie das verwendete Passwort in völlig unregelmäßigen Abständen verändern.

Schützen Sie die Administratoren-Oberfläche

In dem Sie den für Worpdress typischen wp_login.php Pfad auf einen individuellen Pfad verändern, machen Sie es Hackern schwerer in Ihrer WordPress-Installation einzudringen. Des Weiteren reduzieren Sie die Möglichkeit einer Brute-Force-Attacke, wodurch die Leistungsfähigkeit Ihres Servers negativ beeinträchtigt werden würde. Mithilfe des Sicherheitstools iThemes-Security können Sie den Login-Pfad Ihrer WordPress-Installation völlig unkompliziert ändern und das ohne, dass Sie tiefgreifende Programmierkenntnisse besitzen.

Wie füge ich ein zweites Passwort in meine WordPress-Installation ein?

Neben der Änderung des WordPress-Loginpfads können Bruteforce-Attacken nur zu 100 Prozent unterbunden werden, wenn Sie ein zweites Passwort über die .htaccess einfügen.

Wichtig: Nicht jeder Webhoster erlaubt das Einrichten eines weiteren Passwortes!

Wie richtete man die .htaccess und die .htpasswd ein?

Für die .htpasswd können Sie einen Generator nutzen, mit dem die Erstellung zum Kinderspiel wird. Der so erzeugte Codeschnipsel kann entweder gleich als Datei herunter geladen werden oder Sie kopieren den Code in eine leere Textdatei, die natürlich .htpasswd heißen muss. Anschließend wird diese über FTP-Programm hochgeladen und direkt in der WordPress-Installation abgelegt. Damit die .htpasswd abgerufen werden kann, muss die .htaccess um folgenden Code-Schnipsel ergänzt werden.

<Files wp-login.php>

AuthType Basic

AuthName “Zweites Password”

AuthUserFile /xx/www/htpasswd (hier müssen Sie den genauen Pfad angeben, in dem die .htpasswd liegt.)

Require valid-user

</Files>

Die WordPress-Login-Fehlermeldungen erleichtern das Hacken – Schalten Sie sie aus

WordPress ist an sich ein tolles CMS, da hier im Vergleich zu anderen Content-Management-Systemen lange Schulungen im Bereich der Nutzung entfallen. Dabei hat die Software jedoch ein Problem, denn WordPress vereinfacht den Angriff aufgrund der Login-Fehlermeldungen. Aus diesem Grund sollten Sie die WordPress-Login-Fehlermeldungen unbedingt deaktivieren. Hierfür müssen Sie die functions.php nur um folgenden Codeschnipsel ergänzen.

Add_filter(‘login_errors‘, create-funktion(‘$a‘,“return null;“));

Eine andere Möglichkeit, um die Fehlermeldungen von WordPress zu deaktiveren, ist die Nutzung des Sicherheitsplugins iThemes Security. Über das Tool können Sie die genannten Fehlermeldungen mit nur einem Mausklick deaktivieren.

WordPress-Version entfernen – warum ist das so wichtig?

Wer seine WordPress-Installation immer up-to-date hält, hat die Basis der WordPress-Sicherheit schon einmal verstanden. Doch was ist, wenn das eine oder andere Update doch einmal vergisst? Da in vielen WordPress-Themes direkt im Quelltext die aktuell genutzte WordPress-Version zu finden ist, ist es für den Hacker ein Kinderspiel, Ihre Installation zu knacken. Um die Version Ihrer WordPress-Installation zu entfernen, haben Sie zwei Möglichkeiten.

Entweder nutzen Sie Möglichkeit eins in dem Sie aus der Header.php den Code <meta content=“Wordpress <?php bloginfo (‘version‘; ?>“name=“generator“/> entfernen oder Sie ergänzen die functions.php mit dem Code remove_action(‘wp_head‘, ‘wp_generator‘);

Schützen Sie Ihre WordPress-Ordner vor Zugriffen unbefugter Dritter

Eine weitere Sicherheitsmaßnahme mit der Sie Ihren WordPress-Blog vor Hackern schützen können, ist die Maßnahme, dass Sie fremde Zugriffe Fremder auf die Ordner Ihrer WP-Installation ausschließen. Auch hier haben Sie zwei Möglichkeiten zur Auswahl. Entweder Sie fügen WordPress eine leere index.html hinzu oder ergänzen die .htaccess mit dem Codeschnipsel Options All – Index.

Verhindern Sie das Aufrufen der wp-config.php

Für die ordnungsgemäße Funktion von WordPress ist die wp-config.php unerlässlich. Aus diesem Grund bedarf sie dementsprechend Schutz, denn in dieser WordPress-Datei sind die Zugangsdaten zu den WordPress-Datenbanken zu finden. Das geht ganz einfach und zwar in dem Sie die .htaccess mit folgender Code-Zeile erweitern.

<FilesMatch ^wp-config.php$>deny from all </FilesMatch>

Deaktivierte Plugins und nicht genutzte Themes unbedingt sofort löschen

Plugins und Themes, die nicht in Gebrauch sind, müssen nicht nur deaktiviert, sondern sofort entfernt werden. Bei einer Deaktivierung sind die genannten Dateien zwar auf dem ersten Blick inaktiv, doch können diese von Hackern genutzt werden, Ihre WordPress-Installation zu knacken. Vor allem die beiden Standard-Themes, die bei der ersten Installation in WordPress vorhanden sind, sind bekannt dafür, dass sie angreifbar sind.

Diskussionsmöglichkeiten einschränken – warum ist das so wichtig für die WordPress-Sicherheit?

Zwar sind die Kommentare unter den Beiträgen von WordPress gewünscht, doch ist es ratsam, die Diskussionsmöglichkeiten Dritter auf einer WordPress-Seite unbedingt einzuschränken. Zu finden, unter Einstellung à Diskussionen. Hier können Sie selbst beurteilen, ob es für Sie sinnvoller ist, dass ein User direkt bei Ihrer WP-Seite angemeldet sein muss oder Sie doch lieber die gemachten Kommentare selbst frei schalten wollen. So oder so, beide Möglichkeiten helfen Ihnen dabei, dass Sie mit dieser Maßnahme XXS-Angriffe effektiv unterbinden können.

Wordfence sollte mindestens vorhanden sein

Als Basis-Sicherheitsprogramm muss unbedingt Wordfence installiert werden. Unter der Option „Immediately block the IP of Users who try to sign in as these usernames” (übersetzt “Diese Usernamen sofort ausperren” sollten unbedingt die typischen Benutzernamen Admin, admin, Administrator und ähnliche eingetragen werden. Sollte ein Hacker eben mit diesen Benutzernamen versuchen einzudringen, wird er sofort gesperrt und kann es erst fünf Minuten später odere nach einer längeren Warteezeit sein Glück noch mal versuchen.

Readme-Datei schützen –so unwichtig ist die Datei nicht!

Die Readme-Datei gehört zwar nicht zu den ausführbaren Dateien, damit scheinbar auch nicht gefährlich, doch die Datei beinhaltet Informationen, die es den Angreifern einfacher macht, Ihre Installation zu kapern. Da die Readme-Datei in der Root Datei liegt, kann die Datei problemlos ausgelesen werden. Ähnlich ist das bei verschiedenen Plugin-Ins, die in Ihrer Installation Dateien in .txt- oder .html-Format beinhaltet. Dieses Problem können Sie lösen, in dem Sie die .htaccess um folgenden Code erweitern.

#disable access to readme.html (and all others)

<files *.html>

Ordner allow, deny

Deny from all

</files>

<files *.txt>

Order allow, deny

Deny from all

</files>

Ausführrechte beschränken hilft bei der Verbesserung der WordPress-Sicherheit

Der Angriff einer Webseite im Allgemeine läuft immer folgendermaßen ab, es wird eine Datei von externer Quelle auf einem Webserver hochgeladen. Doch damit so ein Angriff tatsächlich funktioniert, reicht es nicht nur, dass die Datei hochgeladen wird, die Datei muss auch ausgeführt werden können. Und das können Sie ausschließen in dem Sie die Ausführbarkeit in WP-Verzeichnissen ausschließen bei denen es völlig unlogisch, wie den Ordner /uploads oder /wp-includes. Hier für muss die .htaccess nur um folgenden Code ergänzt werden.

<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /

#disable code execution in selected paths
RedirectMatch 403 ^.*/wp-content/uploads/(.*).php$
RedirectMatch 403 ^.*/wp-includes/(.*).php$
</IfModule>

WordPress-Sicherheit – der Feind ist näher als Sie denken

Der normale User vermutet die Angreifer oft weit weg irgendwo in den Tiefen des Webs. Ganz so einfach ist das nun auch wieder nicht. Oft ist der Hacker näher als man denkt und zwar in Form von Trojanern, die man sich bei dem Besuch verseuchter Seiten geholt hat bzw. von Programmen, die man heruntergeladen hat, die dummerweise aber Schadware enthalten haben. Dank des Trojaners auf Ihrem PC ist es für den Hacker kein Problem Ihre Passwörter auszulesen und das nicht nur von Ihrer WordPress-Installation, sondern wirklich alle Passwörter. Aus diesem Grund muss das Anti-Viren-Programm auf Ihrem Computer unbedingt immer aktuell sein.

WordPress sicher einstellen – Sie sind sich nicht sicher?

Sie haben alle meine Ratschläge befolgt, sind sich aber nicht sicher, ob das ausreichend ist. Auf https://www.wordpress-security-scan.com können sie überprüfen wie sicher Ihre WordPress-Seite tatsächlich ist.

Leave a Reply