Kategorien
Intern

Michel, wie macht man WordPress einigermaßen sicher?

Da mich trish und soophie gefragt haben, was ich in Sachen Wordpress sicher machen herausgefunden habe, schreib ich das kurzerhand mal auf. Das wird hier jetzt ein wenig technisch, wer dem nicht gewachsen oder einfach nicht daran interessiert ist, hat Pech ;)

Da mich trish und soophie gefragt haben, was ich in Sachen WordPress sicher machen herausgefunden habe, schreib ich das kurzerhand mal auf. Das wird hier jetzt ein wenig technisch, wer dem nicht gewachsen oder einfach nicht daran interessiert ist, hat Pech ;)

Die Tipps habe ich allesamt aus folgenden Quellen gezogen:

Nicht den Default-Datenbank-Präfix benutzen

Irgendwas anderes als wp_ sollte es schon sein. Dieser wird bei der Installation abgefragt.

Default-Admin löschen

Nach der WordPress-Installation einen neuen Admin-Benutzer anlegen und den Default-Admin kurzerhand löschen. Noch sicherer ist wohl, zusätzlich einen Benutzer zum Schreiben anzulegen. Der neue Admin sollte nicht Admin heißen und der Anzeige-Name sollte nicht dessen Benutzernamen gleichen.

WordPress-Zugangsdaten verschlüsseln

Lasst euch dafür ein paar Zeilen ausspucken, die ihr dann in eure wp-config.php einfügt. Ab 2.6.0 sind die wohl schon automatisch drin, aber in älteren Versionen nicht. Schaut auf jeden Fall mal rein.

WordPress-Version aus den <meta>-Angaben entfernen

Schaut in eure header.php, da könnte folgendes stehen:

<meta name="generator" content="WordPress <?php bloginfo('version'); ?>" />
<!-– leave this for stats please -->

Löscht es einfach raus. Steht die WordPress-Version nämlich im Quelltext, wissen potenzielle Angreifer, welche Schwachstellen eure Installation aufweist.

Dateiberechtigungen und sinnvoller Einsatz der .htaccess

Checkt eure Dateiberechtigungen (CHMOD) auf dem Server, nicht alles muss schreiben und ausführen können. (So richtig durchgeblickt habe ich da auch noch nicht.) Zudem kann man die wp-config.php per .htaccess sperren, steht im ersten Link beschrieben (unter Punkt 3).

Passende Plugins installieren

WPAntivirus um Änderungen an unter anderem Theme-Dateien zu bemerken, WP Security Scan für ein paar andere Dinge.

Lest euch die oben verlinkten Artikel und Plugin-Seiten am besten nochmal genau durch, da stehen noch einige andere Tipps, die ich hier nicht komplett wiedergeben möchte, das haben die anderen ja schon getan ;)

10 Antworten auf „Michel, wie macht man WordPress einigermaßen sicher?“

Hi Michel!

Danke für den Link :) Soweit ich mich erinnere, entfernt das Plugin „Secure WordPress“ die Versionsnummer aus den Meta-Angaben. Das muss man also nicht händisch lösen ;)

Viele Grüße
Markus

Hey Markus,

ist wahrscheinlich nicht mal das einzige Plugin dass das macht ;) aber stimmt schon, mit Plugin durchaus komfortabler.

Schreibe einen Kommentar zu Michel Antworten abbrechen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert