Immer wieder werden Tausende Blogs, die das CMS (Content Management-System) WordPress nutzen, Opfer von Attacken durch Hacker, Cracker, Bots oder Script-Kiddies. Sie kapern das Blog, schleusen unerwünschten Code ein, funktionieren es zur Spamschleuder um oder löschen es gar komplett – mitunter inklusive Datenbankinhalten. Dabei ist es gar nicht so schwer, sein Blog vor derartigen Übergriffen zu schützen.
An dieser Stelle sei erwähnt, dass WordPress nicht grundsätzlich unsicherer als andere Systeme ist. Das Ausnutzen von Sicherheitslücken ist hier aufgrund der hohen Popularität dieses CMS schlicht einträglicher.
Nachfolgend erfahren Sie, wie Sie in einfachen, aber effizienten Schritten WordPress absichern.
Änderung von Standardwerten
Übernehmen Sie, wenn möglich, keine Standardeinstellungen.
Schon bei der Installation können Sie erste Änderungen vornehmen, um Ihr Blog zu schützen.
Datenbanktabellen-Präfix ändern
Während der Installation werden Sie gebeten, die wp-config.php mit einem Editor zu öffnen, um Ihre Datenbankdetails einzutragen.
Scrollen Sie anschließend weiter runter.
Eine der Standardvergaben von WordPress ist das Tabellen-Präfix ‘wp_’.
Ersetzen Sie einfach das „wp“ beispielsweise mit ‘jhgUjb_’ oder für eine bessere Übersicht auch durch diese Variante ‘wp_kuddelmuddel_’.
Haben Sie WordPress bereits installiert, ist eine nachträgliche Änderung des Tabellen-Präfixes etwas aufwendiger.
Neben der Änderung der wp-config.php (Tabellen-Präfix ‘wp_’ durch ein Präfix Ihrer Wahl ersetzen) müssten Sie anschließend in Ihrer Datenbank sämtliche ‘wp_’-Präfixe durch Ihr neues Präfix von Hand ersetzen. Sollten Sie sich dazu entschließen, erstellen Sie bitte vorher ein Backup. Eingriffe in die Datenbank erfolgen auf eigene Gefahr.
Sicherheitsschlüssel anpassen
Auch das können Sie gleich während der Installation erledigen. Scrollen Sie dazu nach der Bearbeitung des Tabellen-Präfixes in der wp_config.php noch ein Stück runter bis zu den Sicherheitsschlüsseln. Im enthaltenen Kommentar gibt WordPress Ihnen einen Link an die Hand, über den Sie eigene Phrasen generieren können: https://api.wordpress.org/secret-key/1.1/salt/
Nutzen Sie diese Möglichkeit, kopieren Sie die generierten Phrasen und setzen diese an entsprechender Stelle ein.
Sollten Sie WordPress bereits installiert haben, können Sie die Phrasen auch nachträglich noch problemlos einfügen.
WordPress verschlüsselt mithilfe dieser Security Keys den Inhalt seiner Cookies.
Benutzername: admin
Standardmäßig wird dem Administratorkonto mit der User ID 1 von WordPress der Benutzername „admin“ zugewiesen. Das sollten Sie ändern. Da eine nachträgliche Änderung des Benutzernamens bei WordPress nicht möglich ist, legen Sie zunächst ein zweites Benutzerkonto (Benutzer > Neu hinzufügen) mit einem neuen Benutzernamen an und teilen diesem Administratorrechte zu.
Tragen Sie außerdem bei „Spitzname“ und „öffentlicher Name“ Namen ein, die sich vom Benutzernamen unterscheiden. Loggen Sie sich anschließend in das neue Konto ein und löschen Sie den Account mit dem Benutzernamen admin.
Das steckt dahinter:
Ein Administratorkonto hat uneingeschränkte Rechte – es ist das einzige Konto, über welches auch das gesamte Blog gelöscht werden kann.
Um sich erfolgreich bei WordPress einzuloggen, werden der Benutzername und das zugehörige Passwort benötigt. Ist der Benutzername jedoch bekannt (admin), benötigt ein Hacker nur noch das Passwort.
Sie erhöhen somit die Sicherheit, wenn ein Hacker neben Ihrem Passwort zusätzlich noch den Benutzernamen herausfinden muss.
Weiterer Tipp: Vermeiden Sie es, als Administrator zu bloggen oder irgendwie in Erscheinung zu treten. Legen Sie ein weiteres Konto mit einem wieder anderen Benutzernamen an, vergeben Sie an dieses Konto lediglich die Rechte eines Autors oder Redakteurs und bloggen/kommentieren Sie nur über dieses Konto. Sie können auch gerne noch ein, zwei weitere Konten ohne erweiterte Rechte einrichten und dann per Zufall entscheiden, welchem Sie die Administratorrechte zuteilen möchten (beispielsweise der User ID 5). Auf diese Weise muss das Admin-Konto (von dem es immer nur eines geben sollte) erst gesucht und gefunden werden, bevor man sich daran machen kann es zu knacken.
Benutzernamen ausblenden
All das Verstecken nützt aber nichts, wenn Sie irgendwann doch mal (versehentlich) mit Ihrem Admin-Account kommentieren sollten. WordPress generiert dann eine CSS-Klasse, die Ihren Login-Namen enthält. Das gilt übrigens für alle Accounts.
Deaktivieren Sie das.
Fügen Sie dazu in die funktions.php Ihres Themes nachstehende Zeilen ein:
[code]
// hide usernames from classes
function remove_author_login_class( $classes ) {
foreach( $classes as $key => $class ) {
if(strstr($class, "comment-author-")) {
unset( $classes[$key] );
}
}
return $classes;
}
add_filter( 'comment_class' , 'remove_author_login_class' );
[/code]
So steigern Sie die Sicherheit erneut.
Immer up-to-date
Es ist wichtig, dass Sie Ihre WordPress-Installation aktuell halten. Laden und installieren Sie daher möglichst zeitnah stets die neusten Updates, da diese oft auch Sicherheitslücken schließen. WordPress informiert Sie, sobald ein neues Update oder Upgrade zur Verfügung steht.
Themes
Auch Themes (speziell mit WordPress mitgelieferte) erhalten ab und zu ein Update.
Ignorieren Sie dieses nicht. Des Weiteren empfehle ich, nicht verwendete Themes vom Server zu löschen. Alles was ein Risikofaktor sein könnte, jedoch nicht gebraucht wird, muss nicht gehortet werden.
Themes die nicht (mehr) betreut werden, sollten Sie austauschen.
Plugins
Aktualisieren Sie ebenso sämtliche Plugins, sobald neue Updates für sie verfügbar sind.
Nutzen Sie außerdem so wenig Plugins wie möglich.
Es gibt viele, die zwar nette Funktionen mitbringen, aber gleichzeitig immer ein neuer Risikofaktor sein können – etwa, weil sie veraltet sind, nicht weiter gepflegt werden oder Sicherheitslücken aufweisen.
Wägen Sie also gut ab, was Sie wirklich benötigen.
Mauern ziehen
Beim Thema WordPress absichern darf nicht nur gekleckert, sondern durchaus geklotzt werden. Schließen Sie nicht nur Tür und Tor, errichten Sie ruhig eine Festung.
wp-config.php schützen
Schirmen Sie die wp-config.php ab, so dass Sie von außen niemand erreichen kann.
Dazu fügen Sie einfach ein bisschen Code in die .htaccess ein, nachdem Sie sie mit einem Editor geöffnet haben:
[code]
# wp-config.php
<files wp-config.php>
order allow,deny
deny from all
</files>
[/code]
Beachten Sie bitte, dass sich die Dateien wp-config.php und .htaccess auf dem Server im gleichen Verzeichnis befinden müssen.
Login modifizieren
Gesetztenfalls ein unerwünschter Zeitgenosse/Bot erfährt den Nutzernamen des Administratorkontos – dann kann er damit beginnen, sich mittels Brute-force Attacke durch alle möglichen Passwörter zu raten.
Im schlimmsten Fall hat er, abhängig vom Passwort, bereits nach wenigen Sekunden einen Treffer.
Plugins wie Simple Login Lockdown oder Limit Login Attempts ermöglichen Ihnen, die Anzahl der Login-Versuche auf beispielsweise drei oder fünf zu beschränken und anschließend einen Zeitraum festzulegen, wann erneut versucht werden kann sich einzuloggen. Bis dahin bleibt der Zugang zu diesem Account für die genutzte IP gesperrt. So verlängern Sie den Zeitraum der benötigt wird Ihr Passwort per Brute-force zu erraten.
Zusätzlich bieten die genannten Plugins zahlreiche weitere Funktionen rund um den Login.
Die Sicherheit Ihres Blogs wird hier bedeutend erhöht.
Weitere Maßnahmen
Um den Schutz Ihres Blogs zu komplettieren, beachten Sie auch folgendes:
Das Passwort
Ein gutes Passwort sollte immer so lang wie möglich sein und nicht weniger als zehn Zeichen haben. Nutzen Sie eine Kombination aus Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen.
Backups
Erstellen Sie regelmäßig Backups (besonders vor Änderungen). Sichern Sie sowohl die Inhalte Ihres Blogs als auch die Ihrer Datenbank.
Abschließend sei erwähnt: Absolute Sicherheit können Sie nicht erreichen – aber mit den oben genannten Maßnahmen können Sie Ihr Blog effektiv vor der kriminellen Masse schützen. Unbefugten ist der Zugang nun merklich erschwert und für die meisten sogar unmöglich geworden.