Nach der Installation ist es wichtig, eine WordPress Seite abzusichern. Hier finden Sie einige Tipps zur Sicherheit und Absicherung von WordPress-Installationen. Alle Tipps wurden mit WordPress ab V4.3 getestet. Für weitere Tipps habe ich die Kommentarfunktion angefügt.

Updates einspielen

Sowohl WordPress als auch Plugins werden von Zeit zu Zeit aktualisiert und angepasst. Nicht selten sind Sicherheitsrelevante Änderungen notwendig und werden durchgeführt. Alle Administratoren müssen Ihre WordPress-Installation als auch Plugins auf den aktuellen Stand halten.

Administrator-Name und Passwort

Nicht nur das Passwort ist in dieser Kombination wichtig. Auch der Anmeldename sollte nicht leicht zu erraten sein. Namen wie Admin, Administrator oder Initialen dürfen nicht verwendet werden. Hat ein Hacker mit üblichen Namen Erfolg ist das ein wesentlicher Schritt zum Hack. Das ein Passwort aus großen und kleinen Buckstaben, Zahlen sowie Sonderzeichen bestehen soll, hat sich hoffentlich weit verbreitet. Auch längere Passwörter machen das Aushebeln des Passwortschutzes schwieriger. Für die Installation einer WordPress Seite sind zwei unterschiedliche Benutzernamen für den Webadministrator und den Datenbankadimistrator notwendig.

Für die sichere Aufbewahrung kann ich einen Password Safe empfehlen (LINK).

Absicherung mit Hilfe der .htaccess Datei

Auflistung der Webverzeichnisse verhindern

Mit den Standardeinstellungen eines Webservers wird der Verzeichnisinhalt angezeigt, wenn in das Adressfeld des Browsers nur der Verzeichnisname eingeben wird.

Das wir verhindert durch das Ablegen einer leeren Datei index.html. Oder viel einfacher fügt man die Option

Options All –Indexes

in die .htaccess Datei im root-Verzeichnis ein.

Dateien vor neugierigen Blicken schützen

Dateien werden am einfachsten vor unberechtigten Zugriff über die .htaccess Datei geschützt. Dieser Schutz muss für alle Konfigurationsdateien eingerichtet werden. Starten wir mit der Datei wp-config.php:

<Files wp-config.php>
order allow,deny
deny from all
</Files>

Weiter geht es mit der Datei .htaccess

<Files .htaccess>
order allow,deny
deny from all
</Files>

WordPress Version aus Quellcode entfernen

WordPress gibt die Version im Seitenquellcode preis. Da jede Software größere und kleinere Sicherheitsprobleme hat, kann man daraus eine Angriffsstrategie ableiten.

WordPress Version im Seitenquelltext

Die WordPress Version wird einfach per remove_action aus dem Header aller Dateien entfernt. Dieses Kommando wird in die functions.php ganz oben eingefügt.

WordPress Version entfernen

Die Datei functions.php müssen Sie eventuell in Ihrem Childtheme anlegen.

Login-Fehlermeldungen abschalten

WordPress gibt bei falschen Login Hinweise auf den Fehler und hilft so Passwörter zu knacken.

Im Bild sieht man, dass der Benutzername schon mal richtig ist… Deshalb sollten Login-Fehlermeldungen abgeschaltet werden. Die Fehlermeldung schaltet man über einen Filter ab. Fügen Sie

add_filter('login_errors',create_function('$login_failed', "return 'Login nicht möglich.';"));

der functions.php hinzu.

Die Sicherheit wird durch das Plugin Limit Login Attempts erhöht. Das Plugin zwingt nach 3 falschen Logins zu einer Pause von 20min. Leider wurde das Plugin sehr lange nicht aktualisert. Hinweise auf aktuellere Plugins bitte als Kommentar auf der Seite eintragen. Danke.

WordPress absichern