Zum Inhalt

Michel, wie macht man WordPress einigermaßen sicher?

Da mich trish und soophie gefragt haben, was ich in Sachen WordPress sicher machen herausgefunden habe, schreib ich das kurzerhand mal auf. Das wird hier jetzt ein wenig technisch, wer dem nicht gewachsen oder einfach nicht daran interessiert ist, hat Pech ;)

Die Tipps habe ich allesamt aus folgenden Quellen gezogen:

Nicht den Default-Datenbank-Präfix benutzen

Irgendwas anderes als wp_ sollte es schon sein. Dieser wird bei der Installation abgefragt.

Default-Admin löschen

Nach der WordPress-Installation einen neuen Admin-Benutzer anlegen und den Default-Admin kurzerhand löschen. Noch sicherer ist wohl, zusätzlich einen Benutzer zum Schreiben anzulegen. Der neue Admin sollte nicht Admin heißen und der Anzeige-Name sollte nicht dessen Benutzernamen gleichen.

WordPress-Zugangsdaten verschlüsseln

Lasst euch dafür ein paar Zeilen ausspucken, die ihr dann in eure wp-config.php einfügt. Ab 2.6.0 sind die wohl schon automatisch drin, aber in älteren Versionen nicht. Schaut auf jeden Fall mal rein.

WordPress-Version aus den <meta>-Angaben entfernen

Schaut in eure header.php, da könnte folgendes stehen:

<meta name="generator" content="WordPress <?php bloginfo('version'); ?>" />
<!-– leave this for stats please -->

Löscht es einfach raus. Steht die WordPress-Version nämlich im Quelltext, wissen potenzielle Angreifer, welche Schwachstellen eure Installation aufweist.

Dateiberechtigungen und sinnvoller Einsatz der .htaccess

Checkt eure Dateiberechtigungen (CHMOD) auf dem Server, nicht alles muss schreiben und ausführen können. (So richtig durchgeblickt habe ich da auch noch nicht.) Zudem kann man die wp-config.php per .htaccess sperren, steht im ersten Link beschrieben (unter Punkt 3).

Passende Plugins installieren

WPAntivirus um Änderungen an unter anderem Theme-Dateien zu bemerken, WP Security Scan für ein paar andere Dinge.

Lest euch die oben verlinkten Artikel und Plugin-Seiten am besten nochmal genau durch, da stehen noch einige andere Tipps, die ich hier nicht komplett wiedergeben möchte, das haben die anderen ja schon getan ;)




Published inIntern

10 Comments

  1. Die meisten Dinge wusste ich schon. Das mit den verschlüsselten Zugangsdaten aber zum Beispiel noch nicht. Danke für den Tipp!

    • Ha, cool. Dem ersten ist geholfen. Habs auch erst jetzt eingebaut .

  2. Hi Michel!

    Danke für den Link :) Soweit ich mich erinnere, entfernt das Plugin „Secure WordPress“ die Versionsnummer aus den Meta-Angaben. Das muss man also nicht händisch lösen ;)

    Viele Grüße
    Markus

    • Hey Markus,

      ist wahrscheinlich nicht mal das einzige Plugin dass das macht ;) aber stimmt schon, mit Plugin durchaus komfortabler.

  3. Stefan K Stefan K

    mhm wp-admin odner um benennen :D

  4. gnnn dann muss ich ja alle tabellen anfassen? da mach ich doch bestimmt wieder was kapoottt

    • Musste doch nur den Präfix ändern, in der Tabelle und inner config-Datei.

  5. hab jetzt einfach alles weggeschmissen und machs neu. sonst wird das nie was bei mir. ich immer mit meinem „ich mach mal eben….“

  6. Hab den Artikel mal ein wenig ergänz bzw. korrigiert.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.