Ein oft unterschätzter Aspekt einer WordPress-Installation ist die Sicherheit des Blogs. Wurden die Seiten erst einmal gehackt, ist es meist schon zu spät und man hat evtl. eine Menge Arbeit vor sich. Die Sicherheit von WordPress kann man mit ein paar wirkungsvollen Massnahmen massiv erhöhen. Die wichtigsten werden hier näher beschrieben.

Der WordPress Tabellen Präfix

Um SQL-Injections (Einschleusen von Datenbankbefehlen) zu verhindert, empfiehlt es sich, den Tabellen Präfix von WordPress ‘wp_’ zu ändern. Bei einer Neuinstallation ist dies kein grosses Thema. Ändern Sie einfach in der wp-config.php folgende Zeile nach Ihren wünschen ab:

Standardeinstellung: $table_prefix = ‘wp_’;
Beispiel für eine Änderung: $table_prefix = ‘12db9_’;

Wenn Sie jetzt mit der Installation von WordPress beginnen, werden alle Präfixe mit ‘12db9_’ angelegt.
Bei einer bestehenden Installation sieht das allerdings etwas komplizierter aus. Basis hierbei ist ebenfalls die Änderung der wp-config.php. Legen Sie dort wie zuvor beschrieben, Ihren neuen Präfix an. Das alleine ist natürlich noch nicht alles, denn die Datenbanktabellen haben ja immer noch Ihren alten Präfix ‚wp_‘. Diese müssen ebenfalls auf den neuen Präfix umgestellt werden. Dies kann man direkt über phpMyAdmin mit dem Befehl RENAME TABLE wp_comments to 12db9_comments; erledigen (dabei müssen alle entsprechenden Tabellen berücksichtigt werden). Man sollte aber unbedingt vor der Durchführung ein Backup seiner Datenbank anlegen.

Die WP-CONFIG.PHP schützen

Um einen Zugriff von aussen auf die Konfigurationsdatei zu verhindern, ergänzt man in der .htaccess folgende Angaben:

# Schützt die wp-config.php
<files wp-config.php>
Order deny,allow
deny from all
</files>

Nicht benötigte Dateien löschen

Nach einer Neuinstallation bzw. nach einem Update von WordPress werden die Installationsdateien nicht automatisch gelöscht. Dies sollte man von Hand nachholen. Wechseln Sie per FTP-Programm in das Unterverzeichnis /wp-admin Ihrer WordPress-Installation. Löschen Sie dort nun die Dateien install.php und upgrade.php.

Adminbereich über .htaccess schützen

Ein zusätzlicher Schutz für den Adminbereich in WordPress bietet eine Passwortabfrage über .htaccess. Man muss dann zwar zweimal ein Login ausführen, es erhöht aber ungemein die Sicherheit des Adminbereiches. Zuerst ergänzen wir die .htaccess um folgende Einträge:

AuthName „Adminschutz“
AuthType Basic
AuthUserFile /pfad_zur_passwortdatei/.htpasswd
require valid-user

Jetzt legen wir uns eine weitere Datei mit dem Namen .htpasswd an, und geben dort unsere Zugangsdaten ein. Hierzu empfiehlt es sich, das Passwort gleich verschlüsselt einzugeben. Einen .htpasswd-Generator findet man hier. Der Eintrag in der .htpasswd sollte dann in etwa so aussehen:

username:$apr1$oaVNZ/..$JMB0/oZLnvCFJM5fIsV3C/

Beide Dateien, .htaccess und .htpasswd, kopieren wir in das Verzeichnis /wp-admin unserer WordPress-Installation. (mod_rewrite muss auf Ihrem Server aktiviert sein)

Mehr Sicherheit durch Plugins

Auch auf Plugin-Basis gibt es Möglichkeiten, WordPress noch sicherer zu machen. Zwei Plugins die durchaus Sinn machen sind:

Login Lockdown

Gerade Brut-Force-Attacken können schnell Ihre Zugangsdaten hacken. Das Prinzip ist einfach: Ein spezielles Hackerprogramm versucht über mögliche Zahlen- und Buchstabenkombinationen Ihren Adminzugang herauszufinden. Solch eine Software versucht, mit immer wieder neuen Kombinationen, in Ihren Adminbereich zu gelangen. Da dies nunmal in den allerwenigsten Fällen sofort gelingt, wird Ihre Seite praktisch ständig mit neuen Logindaten bombadiert. Das Plugin Login Lockdown von Michael Van De Mar verhindert solche Angriffe, indem es fehlgeschlagene Login-Versuche nach einer gewissen Anzahl blockiert. Wenn z.b. von einer IP-Adresse 3 fehlgeschlagene Login-Versuche innerhalb eines bestimmten Zeitfensters stattgefunden haben, wird für diese IP die Login-Funktion deaktiviert. Maximale Login-Versuche und sämtliche Zeitfenster (Logins innerhalb einer bestimmten Zeit, Dauer der Deaktivierung) können frei festgelegt werden.

Secure WordPress

Das Plugin Secure WordPress von Frank Bültge bietet einige Optionen, um Ihre WordPress-Installation sicherer zu machen. Im Detail sieht das folgendermassen aus:

  • Deaktivierung der Hinweis- und Fehlermeldungen beim Login in WordPress.
  • Entfernt den Versionshinweis von WordPress in allen Bereichen, inkl. dem Feed.
  • Anlage einer virtuellen index.php in den Verzeichnissen /plugins/ und /themes/. Dies soll ein Auslesen der Verzeichnisse verhindern.
  • Entfernt den link für Really Simple Discovery und Windows Live Writer im Headbereich des Frontends
  • Deaktiviert das Core-Update für Nicht-Admin’s. Die Benachrichtigung über eine neue Version von WordPress wird ausschließlich Nutzern gezeigt, die die Rechte zum Editieren von Plugins haben.
  • Aktiviert den WordPress-Scanner, mit dem Sie die Sicherheit Ihres Blogs unter http://blogsecurity.net/wpscan prüfen können.
  • Unterbindung von negativen Abfragen (bösartige URL-Anforderungen)
  • Ebenfalls wird das Plugin- und Theme Update deaktiviert.

Desweiteren besteht die Möglichkeit seine Seiten über sitesecuritymonitor auf Malware und gefundene Schwachstellen überprüfen zu lassen.

Sicher gibt es noch einige Möglichkeiten mehr, um Ihre Webseiten gegen ungewollte Angriffe zu schützen. Mit den hier vorgestellten Lösungsansätzen sollte Ihr Blog aber ausreichend gegen Fremdeinflüsse gewappnet sein.
Weitere nützliche Tipps zu WordPress und empfehlenswerten Plugins.

The following two tabs change content below.

Frank Viehmann

Geschäftsinhaber bei 3D Mediadesign
Ursprünglich Projektleiter in der 3D-Produktentwicklung, seit 2006 spezialisiert auf 3D Visualisierungen mit Cinema 4D und Webdesign auf Basis von WordPress. Begeisterter Schäferhundefan und Hundesportler mit unserer Freya. Folge mir auch auf Google+, Twitter oder Facebook.

Neueste Artikel von Frank Viehmann (alle ansehen)

5 Kommentare zu “WordPress gegen Angriffe schützen

  1. Super Beitrag…
    Als WordPress-Neuling haben mir einige Hinweise sehr weiter geholfen. Leider ist der WordPress-Scanner auf Blogsecurity schon längere Zeit offline. Gibt es noch eine andere Möglichkeit die Seiten auf Sicherheit scannen zu lassen?

    Gruss aus North Carolina

  2. @Moni
    Bringt nicht wirklich viel, da der Dienst für die vollen Optionen kostenpflichtig ist. Soweit ich das aus erster Sichtung beurteilen kann.

  3. Vielen Dank für die Tipps.
    Wurden bereits einmal gehackt. Das reicht. Hätte den Support doch bei Euch lassen sollen.

Kommentare sind geschlossen.