Wordpress Grundabsicherung

Einige Tipps, um das CMS WordPress sicherer zu machen.

Bereits bei der Installation des WordPress-Systems sind wichtige Punkte zu beachten, um eine Grundabsicherung zu gewährleisten und es Hackern so schwer wir möglich zu machen, in das System einzubrechen. Durch veraltete und nicht ausgereifte Themes und Plugins von Drittanbietern entstehen oft schon erhebliche Sicherheitslücken.

Das hat sich sicher schon alles herumgesprochen aber wie mache ich die Installation nun sicherer?

Hier sind einige hilfreiche Tipps zum Thema WordPress Sicherheit:

Bei der Installation von WordPress:

Sicherheitsschlüssel – Secret Keys
die „wp-config-sample.php“ muß auf die eigenen Datenbank-Parameter angepasst und anschließend umbenannt werden in „wp-config.php“.

Die Sicherheitsschlüssel sollten erneuert werden und in die config.php neu eingebunden werden. Die Schlüssel sind ganz einfach mit folgendem Link im Browser neu zu generieren: (https://api.wordpress.org/secret-key/1.1/salt/). Diese Keys sind für die spätere Verschlüsselung der Login-Daten in den Cookies wichtig.

Tabellen-Präfix
Eine zusätzliche Absicherung zur Sicherheit ist die Änderung des Standard-Präfixes. In den WordPress-Tabellen ist hier vom System wp_ voreingestellt. Dieses Präfix kann man ebenfalls in der wp-config-Datei ändern. Das neue Präfix wird damit in den Tabellen der Datenbank übernommen.

Passwort
Für noch mehr Sicherheit sorgen die Anmeldedaten im WordPress Backend (Dashboard bzw. Administration). Dieses Passwort wird bei der Installation festgelegt. Es sollte darauf geachtet werden, dass der Benutzername keinen Standardnamen wie admin, test oder dergleichen enthält. Bei Angriffen durch Brute-Force-Attacken kann solch ein Passwort leicht gehackt werden. Das Passwort sollte mit der Sicherheitsstufe „Stark“ bewertet sein (wenigstens 7 bis 8 Stellen lang, inclusive Klein- und Großbuchstaben, Zahlen und Sonderzeichen).

Benutzername
Der Benutzername sollte nirgendwo im Blog erscheinen (Archiv oder Blogposts). Mit der Kenntnis des Benutzernamens sind Hacker dem Login wieder einen Schritt näher. Den Admin-Benutzernamen kann man auch verbergen, indem man mit einer anderen Benutzerrolle seine Beiträge postet. Idealerweise kann ein neuer Benutzer mit der Rolle „Redakteur“ angelegt werden, der standardmäßig keinen wichtigen Zugriff auf die WordPress-Installation hat. Damit können Hacker nicht die Installation der Site angreifen.

Dateien: license.txt – liesmich.html – readme.html
Die Dateien license.txt sowie liesmich.html und readme.html sollten aus dem Rootverzeichnis von WordPress gelöscht werden. Ohne diese Dateien kann die WordPress-Version ncht erkannt werden.

Weitere Sicherheitsmaßnahmen zeigen wir in unserem folgenden Beitrag.

Von |2018-09-16T12:30:12+00:009. September 2018|Wordpress|