Checkliste: WordPress Sicherheit optimieren – 15 Tipps

http://www.wordpress-koeln.de/wp-content/uploads/2012/07/wordpress-sicherheit-optimieren.jpg

Die Kehrseite des Erfolgs: WordPress ist durch seinen rasanten Aufstieg vom reinen Weblog zum beliebten Content Management System zum Ziel für Angriffe geworden. Auch wenn WordPress zu den sichersten CMS zählt, so gibt es einige Maßnahmen um die Sicherheit Ihrer WordPress-Installation zusätzlich optimieren. Das Team von wordpress-koeln.de hat eine Checkliste mit 15 Tipps für die Sicherung von WordPress zusammengestellt.

In einem ersten Beratungsgespräch mit einer Kundin wurde ich neulich auf die Sicherheit von WordPress angesprochen. Sie hatte von einer befreundeten Firma erfahren, deren Webseite gehackt worden war und sämtliche Inhalte der Datenbank gelöscht wurden. Eine Sicherheitskopie der Datenbank wurde fahrlässigerweise niemals durchgeführt. So etwas ist nicht nur äußerst ärgerlich und zeitraubend, sondern kann für ein Unternehmen im schlimmsten Fall sogar existenzbedrohend werden.
Daher gleich in medias res…

WordPress Sicherheit optimieren – die Installation

#1: Sicherheitsschlüssel erstellen
Lassen Sie in jedem Fall die acht Sicherheitsschlüssel der wp-config.php durch den von WordPress zur Verfügung gestellten “Secret Key Service” erstellen. Diese zufällig generierten Zeichenketten verschlüsseln die LogIn Daten zuverlässig. Es spricht natürlich nichts dagegen, die Zeichenfolge zusätzlich von Hand zu “versalzen”.

#2: Änderung des Tabellen-Präfix
Die Standard Installation von WordPress bietet als Tabellen-Präfix in der wp-config.php schlicht “wp_” an. Dies weiß natürlich auch der Eindringling und nutzt die Faulheit der User zu gerne aus. Ändern Sie also das Präfix in eine zufällige Zeichenfolge aus Zahlen und Buchstaben ab, beispielsweise “27hGf9934_”.
Dieser Schritt nimmt dem Eindringling eine weitere Angriffsfläche.

#3: Verschieben der wp-config.php / Absicherung via .htaccess
Das Verschieben der Datei in die Root-Ebene Ihrer WordPress-Installation erschwert das Auslesen dieser darin enthaltenen sensiblen Daten beträchtlich. Falls Ihr Provider das Verschieben in die nächsthöhere Ebene nicht erlaubt, lässt sich die wp-config.php durch einen entsprechenden Befehl in der .htaccess gegen Zugriffe von außen absichern:

# Sichern der wp-config.php

Order deny,allow
deny from all

#4: SSL-Verschlüsselung
Nahezu jeder Provider bietet auch bereits in kleinen Webpaketen mittlerweile eine SSL-Verschlüsselung an. Nutzen Sie diese Möglichkeit, um Ihren Administrationsbereich zu sichern.
Fügen Sie dazu einfach in der wp-config.php folgende Zeile hinzu:

define('FORCE_SSL_ADMIN', true);

#5: Der Admin Account
Standardmäßig schlägt WordPress Ihnen bei der Installation den Admin-Namen “admin” vor und weist diesem Account die #ID1 zu. Ändern Sie den Admin-Namen unbedingt ab. Wie wäre es mit etwas leicht merkbarem wie “Tempelwächter-Blogname”? ;-)
Nach der Installation sollten Sie dann noch die Administrator-ID von #ID1 in eine zufällige Zahl ändern.
Hierzu müssen Sie in Ihre Datenbank eingreifen und folgendes mySQL-Query durchführen:

UPDATE wp_users SET ID = '3862' WHERE ID = 1;
UPDATE wp_usermeta SET user_id = '3862' WHERE user_id = 1;

#6: Dateiberechtigung ändern
Nach dem Abschluss der Installation sollten die Dateiberechtigungen überprüft und gegebenenfalls angepasst werden. Zum Beispiel kann in WordPress ein eigener Upload-Ordner mit Schreibrechten (CHMOD 777) außerhalb des wp-content Verzeichnisses definiert werden. Dem wp-content Verzeichnis lassen sich dann die Dateiberechtigungen entsprechend einschränken.
Empfehlenswert ist auch das Anpassen der Schreibrechte der .htaccess Datei.

#7: Fehlerhinweise unterdrücken
WordPress beschreibt Ihnen bei einem fehlerhaften LogIn-Versuch sehr detailliert, was genau Sie falsch gemacht haben (“Fehler: Falscher Benutzername” bzw. “Fehler: Falsches Passwort”). Das ist natürlich praktisch für Sie – leider gilt das auch für einen unerwünschten Gast, der aus diesen Informationen natürlich seine Vorteile ziehen kann.
Um Fehlerhinweise beim LogIn zu unterdrücken, ist eine zusätzliche Zeile in der functions.php hilfreich:

add_filter('login_errors',create_function('$a', "return null;"));

Wer es etwas komfortabler mag, möge sich das PlugIn “Secure WordPress” näher anschauen. Neben dem Unterdrücken der Fehlerhinweise bietet dieses PlugIn noch weitere sicherheitsrelevante Features, z.B. Unterdrücken der Anzeige der WordPress Version in URLs oder der Core & PlugIn Update Informationen für Nicht-Admins.

#8: Einschränken der LogIn-Versuche
Um sogenannte “Brute-Force Attacken” erheblich zu erschweren, lohnt sich die Installation des PlugIns “Limit Login Attempts”. Wer eine frei bestimmbare Zahl an fehlerhaften LogIns hinter sich hat, wird für einen ebenfalls frei bestimmbaren Zeitraum ausgesperrt. Der Admin kann sich über sämtliche LogIn-Versuche per Mail informieren lassen.

#9: Security Scan
Das PlugIn “Security Scan” prüft Ihre WordPress-Webseite und Weblog auf Sicherheitslücken wie beispielsweise schwache Passwörter oder zu großzügige Dateiberechtigungen, erhöht die Datenbanksicherheit und entfernt das WP Generator META Tag aus der Kerninstallation.

#10: WordPress AntiVirus
Das PlugIn “AntiVirus” schützt zuverlässig gegen Exploits, Malware and Spam Injections.

#11: HideLogIn
Das PlugIn “Hide LogIn” ermöglicht es Ihnen, eine Alternative zum voreingestellten Login-Pfad www.ihredomain.de/wp-admin.php zu definieren

#12: Datenbank regelmäßig sichern
Für den Fall der Fälle sollten Sie stets eine aktuelle Sicherung Ihrer WordPress-Datenbank in der Hinterhalt haben. Auch hierfür gibt es eine Fülle praktischer und erprobter PlugIns. Wir verwenden gerne “WP-DB-Backup“. Es schickt Ihnen wöchentlich eine Sicherung in Ihr E-Mail Postfach oder legt eine Kopie auf Ihrem Server ab.

#13: Immer Aktuell bleiben
Das WordPress-Entwicklerteam reagiert im allgemeinen sehr schnell auf eventuelle Sicherheitslücken und stellt entsprechende Updates zur Verfügung. WordPress meldet Ihnen als Admin sofort, wenn ein Software-Update zur Verfügung steht. Die Installation ist durch einen Mausklick schnell erledigt, es gibt also kein Pardon! Für Ihre PlugIns gilt das ebenso.

#14: Der Admin schreibt nicht
Der Administrator hat eine – ACHTUNG! – administrative Funktion. Durch seine umfangreichen Zugriffsrechte in WordPress ist dieser Zugang selbstverständlich das zentrale Ziel eines Hackers. Legen Sie sich also zum schreiben und veröffentlichen von Weblog-Artikeln unbedingt einen separaten Zugang mit eingeschränkten Rechten an. Der Admin schreibt nicht. Niemals!

#15: Starke Passwörter
Die Wahl starker Passwörter sollte eigentlich selbstverständlich sein, aber der Mensch ist ja bekanntlich ein Gewohnheitstier. Und ein Faules noch dazu. Sollten Sie “Firlefanz” oder das allseits beliebte “123456″ zu Ihrem Passwort küren, sollten Sie sich nicht wundern wenn über kurz oder lang ungebetener Besuch zur Tür rein schneit.
Wirklich starke Passwörter bestehen aus mindestens 8 Zeichen aus kleinen und großen Buchstaben in Kombination mit Zahlen und Sonderzeichen wie + – , . # % & § ( ).
Okay, “27hP&t()12-h,.” kann sich wohl kaum jemand merken, aber unterstehen Sie sich, Ihre Passwörter irgendwo zu notieren. Der sicherheitstechnische SuperGAU: PostIt mit LogIn und Passwort auf den Monitor kleben. TABU! Sie lachen? Haben wir alles schon gesehen…

Wie aber ein sicheres Passwort generieren welches sich auch gut merken lässt?
Ihr Lieblingslied ist AC/DCs “For those about to Rock”? Ihre Lieblingskünstlerin ist Nana Mouskouri?
Die Hausnummer Ihrer ersten eigenen Wohnung in München war 14?
Um Ihr Passwort leicht merkbar zu machen, sollten Sie sich eine kleine und möglichst absurde und somit leichter merkbare Geschichte dazu basteln: Vor Ihrer Wohnung in München, Hausnummer 14 steht Nana Mouskouri und singt für Sie “For those about to Rock”. Ihr Passwort könnte dann lauten: “M14(NM-FtatR)”


Fazit
Die Sicherheit von WordPress zu verbessern ist prinzipiell kein übermäßiger Aufwand, man muss die zusätzlichen Schritte nur eben gehen. Die einzelnen Maßnahmen sind mit etwas Know-How recht fix erledigt und die Installation der hier vorgestellten PlugIns geht schnell von der Hand. Allgemein gilt: Wer wirklich in ein System eindringen will, findet einen Weg – im Internet ist 100%ige Sicherheit eine Illusion.
Die in diesem Artikel vorgestellten Maßnahmen legen Eindringlingen jedoch erprobte Stolpersteine in den Weg und sichern Ihre WordPress-Seite gegen die gebräuchlichen Angriffsmuster wie automatisierte Brute Force Attacken, Exploits und Malware/Spam Injections sehr solide ab. Und mit einer regelmäßig durchgeführten Sicherung Ihrer Datenbank gibt es eine Fallback-Lösung, mit der sich Ihre Webseite schnell wieder aufsetzen lässt.

Sie haben Fragen zur Sicherheit von WordPress oder möchten Ihr aktuelles oder künftiges WordPress von uns prüfen & absichern lassen?
Bitte kontaktieren Sie uns unter 02203-1832611 oder schicken Sie einfach Ihre Anfrage über unser unverbindliches Formular.


wallpaper-1019588
Studie: Hauspreise in Portugal seit Jahren "überbewertet"
wallpaper-1019588
[Manga] Gannibal [1]
wallpaper-1019588
Uglymug, Epicfighter: Anime-Adaption angekündigt + Visual
wallpaper-1019588
Dekin no Mogura: Manga-Reihe erhält eine Anime-Adaption + Promo-Video