Da mich trish und soophie gefragt haben, was ich in Sachen WordPress sicher machen herausgefunden habe, schreib ich das kurzerhand mal auf. Das wird hier jetzt ein wenig technisch, wer dem nicht gewachsen oder einfach nicht daran interessiert ist, hat Pech ;)
Die Tipps habe ich allesamt aus folgenden Quellen gezogen:
- 12 Essential Security Tips and Hacks for WordPress
- Plugin-Tipps: WordPress sicherer machen
- WordPress installieren und sicherer machen
Nicht den Default-Datenbank-Präfix benutzen
Irgendwas anderes als wp_
sollte es schon sein. Dieser wird bei der Installation abgefragt.
Default-Admin löschen
Nach der WordPress-Installation einen neuen Admin-Benutzer anlegen und den Default-Admin kurzerhand löschen. Noch sicherer ist wohl, zusätzlich einen Benutzer zum Schreiben anzulegen. Der neue Admin sollte nicht Admin heißen und der Anzeige-Name sollte nicht dessen Benutzernamen gleichen.
WordPress-Zugangsdaten verschlüsseln
Lasst euch dafür ein paar Zeilen ausspucken, die ihr dann in eure wp-config.php einfügt. Ab 2.6.0 sind die wohl schon automatisch drin, aber in älteren Versionen nicht. Schaut auf jeden Fall mal rein.
WordPress-Version aus den <meta>
-Angaben entfernen
Schaut in eure header.php, da könnte folgendes stehen:
<meta name="generator" content="WordPress <?php bloginfo('version'); ?>" /> <!-– leave this for stats please -->
Löscht es einfach raus. Steht die WordPress-Version nämlich im Quelltext, wissen potenzielle Angreifer, welche Schwachstellen eure Installation aufweist.
Dateiberechtigungen und sinnvoller Einsatz der .htaccess
Checkt eure Dateiberechtigungen (CHMOD) auf dem Server, nicht alles muss schreiben und ausführen können. (So richtig durchgeblickt habe ich da auch noch nicht.) Zudem kann man die wp-config.php per .htaccess sperren, steht im ersten Link beschrieben (unter Punkt 3).
Passende Plugins installieren
WPAntivirus um Änderungen an unter anderem Theme-Dateien zu bemerken, WP Security Scan für ein paar andere Dinge.
Lest euch die oben verlinkten Artikel und Plugin-Seiten am besten nochmal genau durch, da stehen noch einige andere Tipps, die ich hier nicht komplett wiedergeben möchte, das haben die anderen ja schon getan ;)
10 Antworten auf „Michel, wie macht man WordPress einigermaßen sicher?“
Die meisten Dinge wusste ich schon. Das mit den verschlüsselten Zugangsdaten aber zum Beispiel noch nicht. Danke für den Tipp!
Ha, cool. Dem ersten ist geholfen. Habs auch erst jetzt eingebaut .
Hi Michel!
Danke für den Link :) Soweit ich mich erinnere, entfernt das Plugin „Secure WordPress“ die Versionsnummer aus den Meta-Angaben. Das muss man also nicht händisch lösen ;)
Viele Grüße
Markus
Hey Markus,
ist wahrscheinlich nicht mal das einzige Plugin dass das macht ;) aber stimmt schon, mit Plugin durchaus komfortabler.
mhm wp-admin odner um benennen :D
Auch ne Idee, Stefan ;)
gnnn dann muss ich ja alle tabellen anfassen? da mach ich doch bestimmt wieder was kapoottt
Musste doch nur den Präfix ändern, in der Tabelle und inner config-Datei.
hab jetzt einfach alles weggeschmissen und machs neu. sonst wird das nie was bei mir. ich immer mit meinem „ich mach mal eben….“
Hab den Artikel mal ein wenig ergänz bzw. korrigiert.