Skip to main content

WordPress sicherer machen: WordPress Security erhöhen

 

WordPress sicher machenDas beliebteste CMS ist WordPress. Viele Webseiten sind damit aufgebaut. So ist es auch einleuchtend, dass zahlreiche Angreifer versuchen, möglichst viele Webseiten mit diesem Content Management System zu kapern. Diese versuchen die Kontrolle über das System mittels Ausnutzung von Sicherheitslücken oder durch Versuchen von Benutzernamen und Passwörtern im Login-Fenster zu übernehmen.

Gelangt der Angreifer erst einmal in das Backend oder Zugriff auf FTP oder Datenbank, dann ist das Desaster groß. Denn so kann der Angreifer nicht nur die Kontrolle über die Webseite übernehmen, sondern auch Schadcode einschleusen. Damit erscheint die Internetseite ggf. als unsicher und wird von Google und anderen Suchmaschinen als solches gekennzeichnet. Auch wenn die Benutzer davon Wind bekommen, werden diese die Webseite in Zukunft meiden. Deshalb ist es nicht verkehrt, sich mit dem Thema „WordPress Sicherheit“ auseinanderzusetzen, vor allem dann, wenn als Unterbau WordPress verwendet wird. Die Umsetzung um WordPress sicherer zu machen ist nicht so schwer und aufwendig, wie es sich eventuell anhören mag. Dieser Artikel soll dir dabei helfen.

 

Benutzername und Passwort

Wenn du WordPress installierst, wird in der Regel der Benutzername „admin“ verwendet. Dieser ist nicht wirklich einfallsreich und schon gar nicht sicher. Die Angreifer verwenden diesen bei Ihren Angriffen in ihren Skripten, davon kann man ausgehen. Daher sollte dieser Benutzer entweder gelöscht oder umbenannt werden. Wenn du den Benutzer „admin“ löscht, solltest du darauf achten, dass du zuerst einen neuen Benutzer erstellst und diesem alle Rechte überträgst, damit du dich nicht selbst aussperrst. Du kannst den Benutzernamen ändern, indem du dich einloggst und unter „Benutzer“ auf der linken Seite, den Benutzernamen änderst.

Achte aber nicht nur bei dem WordPress Login auf einen ordentlichen und nicht sofort zu erratenden Benutzernamen. Auch bei den folgenden Bereichen solltest du nicht den Standardbenutzer verwenden:

Außerdem ist ein starkes Passwort ebenfalls wichtig. Denn je aufwendiger dein Passwort ist, desto schwerer hat es der Angreifer. Dein Passwort sollte die folgenden Merkmale aufweisen:

  • Groß- und Kleinschreibung
  • Zahlen
  • Sonderzeichen
  • nicht deinen Vor- und/oder Nachnamen enthalten
  • nicht dein Geburtsdatum enthalten

Je aufwendiger dein Passwort also ist, desto schwieriger ist es für die Angreifer dies zu knacken, da die Berechnung zu lange dauern würde.

Datenbankprefix ändern für mehr Sicherheit bei WordPress

Ebenfalls bereits bei der Installation von WordPress kannst du etwas zur erhöhten Sicherheit beitragen, indem du das Datenbankpräfix änderst. Als Standard wird „wp_“ verwendet, du kannst es allerdings in z. B. „tg5243_“ ändern. So laufen die Skripte der Angreifer ins Leere, wenn diese nach dem Standardpräfix suchen. Sollte die Installation bereits bestehen, so ist es nicht ganz so einfach, das Präfix zu ändern. Wenn du es ändern möchtest, musst du jedes „wp_“ in „tg5243_“ ändern sowie die Änderung in der Datei „wp-config.php“ bekannt geben und ggf. in weiteren Dateien. Bevor du mit der Änderung bei einer bestehenden Installation starten möchtest, solltest du auf jeden Fall ein Backup deiner Datenbank machen.

 

Ordnerberechtigungen und Ordnernamen

Ein weiterer Sicherheitsbaustein ist die Überprüfung von Berechtigungen auf Ordnerebene. In der Regel benötigen die Ordner lediglich eine chmod Berechtigung von „755“ und nicht mehr, außer du verwendest ein weiteres Tool, welches eine „777“ Berechtigung explizit benötigt. Eine „755“ Berechtigung bedeutet bildlich folgendes:

Linux Rechte

Das bedeutet also, dass der Besitzer des Ordners volle Rechte darauf hat. Andere Benutzer und Gruppen können nur lesend oder ausführend darauf zugreifen. Die Zusammensetzung der Rechte ist wie folgt:

  • Lesen = 4
  • Schreiben = 2
  • Ausführen = 1

Da nicht nur die Berechtigungen, sondern auch die Ordnernamen zur erweiterten Sicherheit beitragen können, sollte man diese ändern, sofern möglich. Wenn du ein Tool wie z. B. MySQL Dumper verwendest, dann sollte der Ordner nicht „mysqldumper“ lauten, sondern z. B. „datenbanksicherung-tool“.

Auch bei den Standard WordPress Ordnernamen kann etwas getan werden. So kann der Admin-Ordner von WordPress (Standard: „wp-admin“) umbenannt werden. Auch der „wp-content“ Ordner sollte wenn möglich umbenannt werden. Auch hier gilt, die Skripte der Angreifer scannen nach den Standardwerten, da dies viel einfacher, schneller und erfolgsversprechender ist. Sind die Ordner umbenannt, so laufen die Skripte der Angreifer ins Leere.

Um den „wp-content“ Ordner umzubenennen, aknnst du wie folgt vorgehen:

  • „wp-config.php“ Datei herunterladen und mit passenden Editor öffnen
  • in die „wp-config.php“ Datei folgende Zeilen hinzufügen
    • define(‚WP_CONTENT_DIR‘, ‚/absoluter/pfad/zum/webspace/neuername-wp-content‘);
    • define(‚WP_CONTENT_URL‘, ‚http://www.domain.tld/neuername-wp-content‘);

Somit ist der „wp-content“ Ordner umbenannt.

Die Umbenennung bei neuen und frischen Installationen ist kein Problem, bei bestehenden Systemen kann dies sehr wohl ein Problem sein, bzw. ist deutlich aufwendiger. Schließlich sind auch Bilder, Plugins und Themes in dem „wp-content“ Ordner enthalten. So wäre eine manuelle Umbenennung bei Bildern notwendig. Du müsstest nach „wp-content“ suchen und durch „neuername-wp-content“ ersetzen. Du kannst aber auch ein Plugin dafür verwenden (z. B. Better Search Replace), um dir Zeit zu sparen.

Dafür ist es allerdings notwendig, den absoluten Pfad zu kennen. Diesen kannst du herausfinden, indem du den nachfolgenden Code in eine leere Textdatei einfügst und diese als z. B. als „pfadfinder.php“ abspeicherst:

<?php
$p = getcwd();
echo $p;
?>

 

Um den absoluten Pfad anzuzeigen, musst du auf domain.tld./pfadfinder.php navigieren. Hier wird dir der absolute Pfad angezeigt.

 

Rechte auf Dateien

Bei den Rechten auf Dateien verhält es sich ähnlich wie bei den Ordnerberichtigungen. Denn auch hier wird in der Regel kein „777“ und somit Vollzugriff benötigt. In den meisten Fällen reichen auch hier „755“ Rechte aus, wenn nicht sogar „644“. Bei der „644“ Berechtigung kann nur der Administrator, bzw. Besitzer der Datei darauf zugreifen. Kritische Dateien sind demnach also z. B.

  • wp-config.php
  • .htaccess
  • .htpasswd
  • config.php

Diese solltest du mit den chmod „644“ Rechten versehen.

 

.htaccess und .htpasswd

Die .htaccess Datei enthält wichtige Befehle inklusive Parameter, um den Webserver entsprechend anzuweisen. Hier können Befehle bzgl. Caching und Sicherheit implementiert werden. So kann nicht nur die WordPress PageSpeed verbessert werden, sondern auch die Sicherheit gesteigert werden. Du kannst so zum Beispiel das Ausführen von PHP-Dateien in Unterverzeichnissen verbieten. So besteht z. B. unter „wp-content/upoads“ keine Notwendigkeit, PHP-Dateien auszuführen. Also erstellst du in diesem Unterverzeichnis eine .htaccess Datei und fügst die folgenden Befehle hinzu:

<Files *.php>
deny from all
</Files>

Somit können nun in diesem Verzeichnis keine PHP-Dateien mehr ausgeführt werden.

Des Weiteren macht es durchaus Sinn, den Login Bereich mit Benutzername und Passwort zu versehen. Hier kannst du eine .htpasswd Datei erstellen und diese in der .htaccess Datei verknüpfen. Dazu musst du eine .htpasswd Datei generieren lassen, hier kannst du es tun. OK, man kann das natürlich auch mit XAMPP machen, wenn man anderen Webseiten nicht traut. Hierzu solltest du dir XAMPP herunterladen, ein CMD-Fenster öffnen und in das folgende Verzeichnis navigieren:

C:\xampp\apache\bin\htpasswd.exe

Anschließend gibst du folgende Parameter ein:

-c -b .htpasswd <user> <password>

Zur Erklärung:

-c bedeutet, dass ein neues File erstellt werden soll, mit den Namen „.htpasswd“

-b bedeutet, dass das Passwort, welches du auf der Kommandozeile eingibst, übernommen wird. Du kannst es auch weglassen und wirst ansonsten zwei Mal nach deinem gewünschten Passwort gefragt. Wenn du die .htpasswd Datei erstellt hast, musst du die .htaccess Datei erweitern, indem du die folgenden Einträge vornimmst:

 

# Schutz /wp-admin
AuthName „Admin-Bereich“
AuthType Basic
AuthUserFile /absoluter-pfad-zur/.htpasswd
require valid-user

 

Allerdings musst du den absoluten Pfad zur .htpasswd kennen. Diesen findest du wie folgt heraus:

  1. erstelle eine neue PHP-Datei, z. B. pfad.php
  2. in die PHP-Datei trägst du folgendes ein: <? echo dirname(__FILE__); ?>
  3. lade die Datei in den Ordner deiner Domain auf FTP hoch
  4. rufe deine Domain mit der Datei auf: www.domain.tld\pfad.php
  5. und schon siehst du deinen absoluten Pfad

Wenn du diesen herausgefunden und die .htaccess Datei entsprechend bearbeitet hast, kannst du nun „domain.tld/wp-login.php“ aufrufen und wirst aufgefordert deinen Benutzernamen und Passwort einzugeben. Erst wenn du diese erfolgreich eingetragen hast, gelangst du zum Login Fenster zum WordPress Backend.

 

WordPress PlugIns

Das CMS WordPress bietet an sich schon zahlreiche PlugIns an, welche sich mit dem Thema „WordPress Sicherheit“ auseinander setzen. Die nachfolgenden PlugIns können dir dabei helfen, dein WordPress abzusichern und sicherer zu machen:

 

Die oben aufgeführten PlugIns sind nur eine Auswahl, es gibt noch ein paar mehr. Die PlugIns untersuchen WordPress und Theme Dateien nach Veränderungen und informieren dich, sofern eine Änderung vorgenommen wurde. Auch die Anzahl der Logins kann eingeschränkt werden und einige weitere Funktionen. Du solltest dich mit diesen PlugIns beschäftigen und bei dir installieren.

 

Internen WordPress Editor abschalten

Der interne WordPress Editor schafft eine Art Bequemlichkeit, vor allem dann, wenn es um die Modifikation von Theme und Plugin Dateien geht. Dies ist im Falle eines erfolgreichen Angriffs kontraproduktiv, da der Hacker sonst Änderungen an diesen Dateien vornehmen und Schadcode implementieren kann. Du kannst diese Möglichkeit abschalten. Dazu musst du in der „wp-config.php“ folgende Zeile eintragen:

  • define(‚DISALLOW_FILE_EDIT‘,true);

 

Sicherheitsschlüssel verwenden

Die Verwendung von Sicherheitsschlüssel bei WordPress sorgen ebenfalls für eine höhere Sicherheit und bilden somit einen weiteren Sicherheitsbaustein, der implementiert werden kann. Die Sicherheitsschlüssel musst du in die „wp-config.php“ einfügen und die alten entfernen. Beispielhaft dargestellt:

define(‚AUTH_KEY‘,         ‚.vc3}Rc]pi<U=E1#ocsQ8?fr/D5k582}VS+.S|fD~:vX?`FZImU(!!FSH+b6%+=t‘);
define(‚SECURE_AUTH_KEY‘,  ‚iW|DA#td}s,TYtq@y:uN@zXNe5d?ws_xz9FrW*Xmc+6=Q.3t5N[EtXd;zEKH27x0‘);
define(‚LOGGED_IN_KEY‘,    ‚ iV!+9o|,gDG!H|c&Go-*:x.-{%X)Jw+p(OdRYAqn|=lBYse:8g3VXNs$OROC{N9‘);
define(‚NONCE_KEY‘,        ‚~seO>k-;=eGvg]PRWH,:?=Ri7R]<4^<5!iN@?)4592!XH;C$GKW{8|bE :F[w)Xj‘);
define(‚AUTH_SALT‘,        ‚NmZB_:<$AAX:/R+*PVPr{U]ycIfeiX]]EkQ3,#%op8pSn]KVTr_z .WLHb`C4&@j‘);
define(‚SECURE_AUTH_SALT‘, ‚U|/pj!T+0l2hcJ,{aJ9#8mGbFPVxi 5?[%3X(SRp0Usi(bKQx|8;B.n1#T(l ,]|‘);
define(‚LOGGED_IN_SALT‘,   ‚3|d=j]g)tvC~7NQNX+9&6<|~L,^lO*T21)(fLd3tEBGb~=NO2,f{AK$UrR`Z*sU-‚);
define(‚NONCE_SALT‘,       ‚S]Xo@:o.WVTo@1j0M$Gz;B|??o!fg@)J;f|.>G#&9H+=@[rEp2$h]+|Yqx?|?`aq‘);

 

Um die Sicherheitsschlüssel zu implementieren, kannst du wie folgt vorgehen:

  • wp-config.php mittels FTP downloaden
  • mit einem passenden Editor öffnen
  • alte Sicherheitsschlüssel entfernen
  • https://api.wordpress.org/secret-key/1.1/salt besuchen und neue Sicherheitsschlüssel generieren lassen
  • die wp-config.php speichern und wieder über FTP uploaden (alte Datei überschreiben)

 

Updates – WordPress Updates und Plugin Updates

Da immer wieder neue Sicherheitslücken bekannt werden, egal ob in Thems oder Plugins oder im WordPress CMS selbst, sollte man nach Möglichkeit die neuen Updates installieren. Mit den Updates werden so wichtige Fehler und sicherheitskritsiche Lücken geschlossen. Damit verringert sich das Risiko mit einem aktuellen System auf einen erfolgreichen Angriff durch einen Hacker, als mit einem veralteten Stand. Vor einem großen Update ist allerdings eine Sicherung der Datenbank wichtig und sollte auf jeden Fall durchgeführt werden.

 

Nur das Benötigte installieren

Oft werden verschiedene PlugIns und Themes installiert um diese zu testen und ggf. zu verwenden. Wenn sich diese als ungeeignet herausstellen, dann sollten sie deaktiviert und gelöscht werden. Dies erhöht das Risiko, da weniger Angriffsfläche geboten wird. Und je weniger Angriffsfläche, desto höher die Sicherheit. Möchtest du die PlugIns und Themes aufbewahren, so kannst du dies z. B. auf deiner lokalen Festplatte tun.

 

Fazit

WordPress ist sehr beliebt, es gibt viele verschiedene kostenlose und kostenpflichtige Themes und PlugIns. Das Ganze zusammen ergibt eine bestimmte Angriffsfläche. Diese kannst du minimieren, indem du einige Sicherheitsbausteine einbaust, sodass du die Sicherheit deines Systems erhöhst. Ganz klar, eine 100%ige Sicherheit gibt es nicht, außer du schaltest deine Webseite ab und kündigst deinen Webspace, dann kannst du auch nicht angegriffen werden.

WordPress an sich bietet einige Hilfen in Form von PlugIns an, welche die Sicherheit deines Systems steigern können. Außerdem kannst du mit einigen Handgriffen die Sicherheit stark erhöhen. Der Aufwand hält sich in Grenzen. Nimm dich dem Thema an, denn Sicherheit wird immer wichtiger. Und Webseiten, welche SPAM verteilen oder Malware enthalten, werden von Usern und Suchmaschinen schlechter gewertet.

Dies kannst du dir ersparen.

 

Ich würde mich sehr freuen, wenn du meine Zeit und Arbeit würdigst und den Beitrag teilst. Es ist nur ein kleiner Klick für dich, aber eine große Hilfe für mich.

Du willst mehr Sichtbarkeit und geilen Content?

Mehr Sichtbarkeit durch geilen Content und Content Marketing. Analyse deine Rankings, optimiere die Schwächen deiner Website und erhalte kostenlos und unverbindlich einen SEO-Check für deine Website. Prüfe, wie sich dein Content schlägt und optimiere ihn mit der Content Suite.

Loslegen, analysieren, optimieren, dominieren!*

Du willst mehr Sichtbarkeit in den Suchmaschinen?

Dann analysiere deine Rankings, optimiere die Schwächen deiner Website und erhalte kostenlos und unverbindlich einen SEO-Check für deine Website. Mache auch eine schnelle WDF*IDF-Analyse und prüfe deinen Content auf duplicate Content.

Jetzt kostenlos einen SEO-Check machen!*

Sponsor: Clixado

Hochwertige Backlinks kaufen

Durch Kooperationen mit unzähligen und unabhängigen Seitenbetreibern stehen uns über 4000 Blogs und Magazine zu verschiedenen Themen zur Verfügung, auf denen wir Artikel mit einem DoFollow Link zu deiner Seite veröffentlichen können.

  • Kein SEO-Netzwerk, verschiedene Seiteninhaber (kein PBN! oder ähnliches)
  • Keine abgestraften oder blackisted Seiten
  • Unterschiedliche Qualitäts- und Preisklassen
  • Einmalzahlung, keine laufenden Kosten

Jetzt kostenlos und unverbindlich Beispiele anfordern



Ähnliche Beiträge



Keine Kommentare vorhanden


Du hast eine Frage oder eine Meinung zum Artikel? Teile sie mit uns!

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *