Flern => Neben der Fotografie => WordPress Sicherheit

Hallo Zusammen,

heute soll es mal um das Thema Websicherheit und natürlich eine Pluginempfehlung.

Wie vielleicht ein paar Wissen, verwende ich das Blog-System WordPress. Was viele außer Acht lassen ist hier die Sicherheit. Da WordPress viele Einsatzmöglichkeiten bietet und mittlerweile von Millionen Seiten genutzt wird, ist es natürlich auch ein großes Ziel für Hackattacken. Hier findet ihr nun ein paar Tipps zum Sichern eurer Webseite.

1. Benutzer

Nicht den Standardbenutzernamen verwenden!

In früheren WordPressinstallationen wurde der Benutzername Admin als Standardbenutzer verwendet. Deshalb ist dieser Benutzer auch ein beliebtes Angriffsziel. Ich habe schon große Fotografenblogs mit mehreren tausend Besuchern pro Tag gesehen, welche diesen Tipp nicht befolgen. Du solltest auf jeden Fall einen individuellen Benutzernamen verwenden, das sieht nicht nur im Blog besser aus, sondern ist natürlich auch sicherer.

Enthusiasten, welche es mit der Sicherheit ganz genau nehmen wollen, können auch die Benutzer ID verändern. Ich würde dies allerdings nur für erfahrenere Nutzer empfehlen.Mit folgenden SQL Befehlen lässt sich die User-ID 1 auf 666 ändern

UPDATE `wp_users` SET `ID` = “666? WHERE `wp_users`.`ID` = 1;
UPDATE `wp_usermeta` SET `user_id` = '666' WHERE `wp_usermeta`.`user_id` = 1;
UPDATE `wp_posts` SET `post_author` = '666' WHERE `wp_posts`.`post_author` = 1;
UPDATE `wp_links` SET `link_owner` = '666' WHERE `wp_links`.`link_owner` = 1;

Einfacher ist das mit dem Plugin Search & Replace. Damit lässt sich die ID auch ohne große SQL Vorkenntnisse abändern.

Ein sicheres Passwort wählen

Ein Punkt, welcher gerne mal vergessen wird, ist das sichere Passwort. Ich habe hier einmal eine Aufstellung aller Punkte gemacht, welche ein sicheres Passwort aufweisen sollte. Hierbei handelt es sich nicht nur um den eigentlichen WordPresslogin, sondern auch um FTP und Datenbankzugänge zu den eigenen Systemen.

Regeln für ein sicheres Passwort

  • Das Passwort muss mindestens 8 und höchstens 12 Zeichen umfassen.
  • Es sollte mindestens 2 Sonderzeichen, eine Zahl, einen Kleinbuchstaben und einen Großbuchstaben enthalten.
  • Für das Passwort sind folgende Zeichen erlaubt:
    Kleinbuchstaben ( a – z )
    Großbuchstaben ( A – Z )
    Ziffern ( 0 – 9 )
    die Sonderzeichen ( ) [ ] { } ? ! $ % & / = * + ~ , . ; : < > – _

2. System sichern

Loginversuche limitieren

Wordpress Sicherheitstipps - Limit Login Attempts

Mit dem Plugin Limit Lockin Attempts Plugin ist es möglich die Loginversuche im WordPress Backend zu limitieren und IP Adressen zu sperren. Als Admin hat man auch die Möglichkeit eine E-Mail Benachrichtigung zu erhalten, sollten unerwünschte Zugriffsversuche erfolgen.

Aktualisierungen installieren

Bei Aktualisierungen werden immer wieder Fehler behoben und Sicherheitslücken geschlossen. Über verfügbare Updates wird man direkt im Adminbereich informiert. Aber Vorsicht! Je nach dem wie welche Plugins oder Designs verwendet werden, kann es hier zu Problemen kommen. Auf jeden Fall vorher darüber informieren ob die Plugins unterstützt werden und auf jeden Fall ein Backup erstellen.

Kommentare moderieren

Es ist nervig,  jeden Tag mehrere Spam-Kommentare zu erhalten. Es geht allerdings noch schlimmer. Es ist möglich, über Kommentare die Besucher auf Virenseiten zu leiten, oder auch Schadsoftware einzuschleusen. Auf jeden Fall sollte jeder Kommentar, bevor er veröffentlicht wird noch einmal durch einen Moderator geprüft werden.

Adminbereich verschlüsseln

Um den Adminbereich eurer WordPressseite per HTTPS aufzurufen, müsst ihr in der wp-config.php folgenden Eintrag setzen.

define('FORCE_SSL_ADMIN', true);

Ab sofort werden alle Aufrufe eures Adminbereiches mit https verschlüsselt. Hier solltet ihr ebenfalls darauf achten, dass dies euer Server auch unterstützt.

Weitere Infos hierzu gibt’s auf der WordPress Entwicklerseite

Pludingverzeichnis schützen

Das WordPress Entwicklerteam empfiehlt leere Verzeichnisse mit Hilfe einer leeren index.html Datei zu schützen. Diese einfach mit einem FTP-Tool in das Pluginverzeichnis your_site/wp-content/plugins/ kopieren und man ist auf der sicheren Seite. Sollte der Apache Server das Anzeigen des Verzeichnisinhalts zulassen, wird dann die index.html Datei aufgerufen und das Pluginverzeichnis ist geschützt.

3. Sicherheit der Datenbank erhöhen

Seid vorsichtig bei eurer Datenbank. Wenn ihr euch nicht sicher seid, ob ihr mehr kapputt macht, als sicher, lasst diesen Teil lieber aus und geht zum nächsten

Tabellenpräfix anpassen

In der Standardinstallation von WordPress lautet das Tabellenpräfix, welches am Anfang jeder Tabelle steht “wp_

Neuinstallation

Am besten ändert ihr das Präfix direkt bei der Installation eures Blogs. Hier dürfen jedoch nur Zahlen, Buchstaben und Unterstriche verwendet werden.

Bsp.: 59xoz18_

Bei bestehender Installation

Es ist auch bei einer bereits bestehenden Installationen möglich das Tabellenpräfix zu ändern. Hierzu muss in der wp-config.php der folgende Punkt geändert werden: $table_prefix = 'xxx_';

Anschließend muss die Datenbank auf das neue Präfix angepasst werden. Hierbei ist zu beachten, dass ihr alle Tabellen umbenennt und nicht nur den Standard. Es könnte sonst sein, dass gewisse Plugins nicht mehr funktionieren. Ich habe euch hier einmal die Standardtabellen aufgelistet.

{STRINGCACHE:MD5:0353b16d8835ad6a967373c9f3987358}

Diese werden mit folgendem Befehl von dem Standardpräfix wp_ auf ein beliebiges umgeschrieben. In meinem Fall habe ich als Beispiel xxx_ genommen. Hier bitte Das einsetzen, welches ihr in der wp-config.php verwendet habt.

{STRINGCACHE:MD5:f26a92118084d397a59798ddea73d9f9}

4. Security Plugin

Da ich in diesem Beitrag nicht alles behandeln kann, schaut euch doch mal den Plugin Better WP Security an. Dieser installiert sich in das WordPressbackend und scannt euren Blog nach Schwachstellen. Unter anderem kann das Plugin auch einige der genannten Sicherheitslücken schließen.

Wichtig!: Bevor ihr eine der genannten Optionen anwendet sichert euren WordPressblog. Ich verwende hierfür das Plugin BackWPup.

Matthias Butz

Mein Name ist Matthias Butz und ich bin Fotograf und Digital Artist im Raum Ludwigshafen – Mannheim – Heidelberg. Ok, eigentlich bin ich gar kein Fotograf, zumindest kein gelernter. Ich komme aus der IT, wo ich viele Jahre tätig war. Die Fotografie war jedoch schon immer mein Hobby, meine Leidenschaft und so kam es, dass ich eines Tages das Hobby zum Beruf gemacht habe. Ich bin der Meinung, dass man diese Leidenschaft durch nichts ersetzen kann. Ich liebe, was ich mache und habe Spaß dabei! Wenn man Spaß an etwas hat, ist man deutlich motivierter und kniet sich mehr rein als andere, um Schritt für Schritt besser zu werden. Ich möchte weg von engstirnigen Denken und probiere immer wieder neue Sachen aus um meinen Horizont zu erweitern. Das ist auch der Grund, warum ich die Dinge deutlich lockerer sehe als andere. Ich lasse mich auf mein Team und die Personen mit denen ich Arbeite ein um bessere Ergebnisse zu bekommen.

Alle Beiträge anzeigen

1 Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.