WordPress gegen Hacker absichern

WordPress gegen Hacker absichernDas CMS WordPress ist beliebt, cool, gratis und leicht bedienbar. Ja beliebt, aber auch bei Hackern und Scriptkiddies. Unser Blog wurde leider auch schon gehackt und als Spamschleuder missbraucht.

Eine WordPress Standardinstallation ist alles andere als sicher! Es ist für Hacker relativ einfach in das Backend von WordPress einzudringen und die Website als Spamschleuder oder ähnliches zu missbrauchen. Glücklicherweise erfolgen die meisten Attacken über Bots oder möchtegern Hackern. Es gibt aber Möglichkeiten und Tricks die Website gegen Brute Force Attacken und gegen Hacker zu schützen. Eine 100% Lösung und Sicherheit gibt es nie.

 

WordPress bereits bei der Installation absichern

  1. Die erste Unsicherheit beginnt schon bei der Wahl des Benutzernamens des Administrators. Bei der Installation wird von WordPress automatisch der Benutzer „admin“ vorgeschlagen. Hier sollte man dringend einen anderen Benutzernamen verwenden. Bitte auch nicht „Administrator“ oder den Domainnamen wählen, die werden mit der Brute Force Methode genauso gecheckt wie „admin“. Man kann den Benutzernamen admin nachträglich am einfachsten mit einem Plugin ändern. Lösche danach das Plugin wieder. Unnötige Plugins haben auf dem Server nichts verloren und stellen ein gewisses Sicherheitsrisiko dar.
  2. Während dem Installationsvorgang, benötigt WordPress die Datenbankangaben. WordPress schlägt dazu den Tabellenpräfix wp_ vor. Dieser sollte auf jedenfall geändert werden und etwas kryptischer sein, wie z.B. WsdfPsrTd_
  3. Der Sicherheitsschlüssel in der wp-config.php darf keinesfalls fehlen. WordPress bietet einen Service für neue Sicherheitskeys an. Mit jedem refresh der Seite werden neue Keys generiert. Kopiere die generierten Keys und ersetze die alten Keys in der wp-confg.php aus.WordPress Sicherheitskeys

Sicherheit und Schutz mit Plugins

Die meisten Blogbetreiber merken gar nicht mal, dass jemand versucht auf das Backend von WordPress zu gelangen. Das Plugin „Limit Login Attemps“ oder das umfangreichere Plugin „Wordfence„, liefert Informationen und bietet einen recht guten Schutz. Man kann die Anzahl Logins limitieren und die IP des Angreifers wird für gewisse Zeit gesperrt. Gleichzeitig bekommt der Administrator des Blogs eine E-Mail Mitteilung (falls man das eingestellt hat).

Die Eingangstür wp-login.php Datei mit .htaccess sperren

Es ist besser, dass Bots und Hacker gar nicht auf wp-login.php Seite gelangen können. Mit einer zusätzlichen Passwortabfrage gelangen Bots und Gelegenheitshacker schon mal sicher an ihre Grenzen. Eine gutes Tutorial gibt es auf der Seite „Mehr Sicherheit für WordPress durch Admin Schutz„.

WordPress & Plugins regelmässig kontrollieren und updaten

Es ist sehr wichtig WordPress Core & Plugin Updates möglichst schnell auszuführen. WordPress macht es dem Administrator besonders leicht, denn Updates werden im Backend angezeigt und mit wenigen Klicks sind sie auch recht schnell aktualisiert. Somit werden Bugs gefixt und Sicherheitslöcher gestopft. Unnötige und nicht mehr gebrauchte Plugins sollte man löschen, auch die deaktivierten.

Nochmals kurz zusammengefasst:

  • Benutzernamen admin durch einen anderen ersetzen
  • Schwierige Benutzer Passwörter wählen
  • Sicherheitskeys in der wp-config.php ergänzen/austauschen.
  • Die Datei wp-login.php mit einer zusätzlichen Passwortabfrage schützen
  • Regelmässig auf Updates kontrollieren und updaten
  • Regelmässige Backups erstellen!

Diese Massnahmenliste kann man sicher noch erweitern und verfeinern. Die Kombination dieser Massnahmen tragen zu einer recht sicheren WordPress Installation bei, so dass man sich wieder dem bloggen widmen kann.. 😉

 

Wurde Dein Blog auch schon mal gehackt? Was für Massnahmen zur Sicherheit des Blogs hast Du unternommen? 

 

 

 

 

Weiterempfehlen

image description

Kommentieren

2 Kommentare

image description
  1. Lemi Hacioglu | 9.07.2013 08:53

    Hoi Hugo, Danke für Dein Feedback. Freut mich, dass der Beitrag als „Reminder“ dienen kann. Der Aufwand um für etwas mehr Sicherheit zu bekommen, ist wirklich nicht gross. Viel Erfolg 😉

  2. Hugo Casutt | 8.07.2013 15:22

    Danke…super der Bericht…man wähnt sich immer in falscher Sicherheit…hat grad wieder einen Anstoss gegeben, um das nochmal unter die Lupen zu nehmen….

    security for ever:-)

    Hugo

Kommentar schreiben

Please copy the string jUuw3P to the field below: