WordPresssicherheit – Wir zeigen Ihnen wie es geht!

WordPresssicherheit – Wir zeigen Ihnen wie es geht!

WordPresssicherheit – Wir zeigen Ihnen wie es geht!

Mit unserem WordPress-Theme können Sie Affiliate-Webseiten völlig unkompliziert erstellen. Dabei ist nicht nur ein ansprechendes Design und interessanter Inhalt von Bedeutung. Vor allem die Sicherheit Ihrer WordPress-Installation darf auf keinen Fall vernachlässigt werden. Wir zeigen Ihnen wie’s geht.

Punkt 1: Der Benutzer-Account:

a) Die Bezeichnung

Den Admin-Account einer WordPress-Installation sollte man auf keinen Fall Administrator, Admin, der Name der Domain, der Nachname oder der Vorname des Webseiteninhabers sein. Wählen Sie einen schwer zu beratenden Benutzernamen. Doch ein schwer zu erratender Benutzer-Account nutzt wenig, denn spätestens der erste Beitrag veröffentlicht wird, erscheint auch der Benutzername.

Aus diesem Grund ist es ratsam, wenn Sie unter Benutzer, zu Ihrem Account auch einen Spitznamen angeben, der bei den Beiträgen angezeigt werden soll. Doch damit nicht genug, denn WordPress hat eine üble Schwäche, die es Hackern einfach macht, trotz eingestelltem Spitznamen, den Benutzernamen auszulesen. Doch diesem Problem kann man entgegenwirken.

Das Auslesen des Benutzernamens verhindern – wir zeigen Ihnen wie es geht

Das CMS ist so konstruiert, dass es für jeden Autoren, ein separates Archiv anlegt. Hierfür wird ein separater Permalink erzeugt, über den jedes Autorenarchiv erreicht werden kann. An sich eine gute Funktion, da jeder der Autoren auf dem aktuellen Stand, was seine Mitschreiber verfassen. Doch diese WP-Funktion erleichtert Hackern den Zugriff von außen erheblich, denn WordPress nutzt für die Erzeugung des Permalinks den Benutzernamen des Autors, nicht den Spitznamen.

Das Auslesen des Benutzernamens kann auf zwei verschiedene Arten unterbunden werden. Schließen Sie den Aufruf des Autoren-Archivs mithilfe der .htaccess komplett aus. Soll das Autorenarchiv erhalten bleiben, haben Sie die Möglichkeit, den angezeigten Benutzernamen dauerhaft mit dem Plug-In „Edit Author Slug“ nach Ihren Wünschen ändern. Wenn Sie schon dabei sind, ändern Sie auch die Autoren-ID des Admin-Accounts. Der erste Account hat immer die 1, was es unbefugten Dritten ebenfalls einfach macht, eine WordPress-Installation zu kapern. Auch hierbei kann Ihnen ein Plug-In helfen und zwar „iThemes-Security“.

Punkt 2: Das Passwort:

Egal in welchen Bereichen, die meisten User verwenden einfache Passwörter, um sie nicht zu vergessen. Und genau das ist das Problem, werden ganze Wörter genutzt, vielleicht noch in Kombination mit dem Geburtsdatum hat der Hacker leichtes Spiel mithilfe elektronischer Wörterbücher das Passwort zu ermitteln. Genau aus diesem Grund ist es unerlässlich ein sicheres Passwort zu wählen, das regelmäßig in „unregelmäßigen Abständen“ durch ein neues Passwort ersetzt wird.

Was ist ein sicheres Passwort?

Ein sicheres Passwort ist mindestens acht Zeichen lang. Es besteht aus einer Kombination aus Groß- und Kleinbuchstaben und enthält auch Ziffern und Sonderzeichen.

Punkt 3: Die Administratorenoberfläche

  1. Eine weitere Maßnahme, um es Hackern so schwer wie möglich zu machen, Ihre WP-Installation zu kapern, ist der Schutz des Backendes bzw. der Administratoren-Oberfläche. Hierfür stehen dir verschiedene Möglichkeiten zur Auswahl.
    1. Möglichkeit: Mithilfe des Sicherheits-Plug-In „iThemes Security“ lässt sich der WP-Login-Pfad ganz schnell und unkompliziert ändern.
    2. Möglichkeit: Die URL des Login-Pfads kann auch mithilfe der .htaccess verändert werden. Folgend zeigen wir Ihnen wie es geht.

WORDPRESS-LOGIN ÜBER DIE .HTACCESS ÄNDERN

Für das Ändern des Standard-Log-In-Pfades deiner WordPress-Installation musst du nur folgendes Snipet vor dem Code: #BEGIN WordPress einfügen:

RewriteRule ^neueurl$ http://test.de/wp-login.php [NC,L]

Für den Zugang zum Backend ist nun folgende URL gültig http://test.de/neueurl

DAS BACKEND VOR BRUTE-FORCE-ATTACKEN SCHÜTZEN

Um Brute-Force-Attacken auszuschließen, kannst du das Backend noch über ein zusätzliches Passwort schützen, das über die .htaccess eingerichtet wird.

WELCHE VORTEILE BRINGT EIN ZUSÄTZLICHES PASSWORT ?

Durch ein zusätzliches Passwort, dass über die .htaccess eingerichtet wird, kommt es zu einer deutlichen Entlastung des Servers, da Brute-Force-Attacken nicht mehr möglich sind.

WIE GEHT DAS EINRICHTEN DER .HTPASSWD UND DER .HTACCESS?

Die .htpasswd kannst du am schnellsten über einen Generator erstellen. Der Generator generiert gleich die komplette Datei oder einen Code, der in eine Textdatei eingefügt werden muss, die .htpasswd benannt werden muss. Für das Aufrufen der .htpasswd muss folgender Code-Schnipsel in die .htaccess eingefügt werden.

<Files wp-login.php>

AuthType Basic

AuthName “Zweites Password”

AuthUserFile /xx/www/htpasswd (hier müssen Sie den genauen Pfad angeben, in dem die .htpasswd liegt.)

Require valid-user

</Files>

Wichtig: Nicht jeder Webhoster erlaubt das Einrichten eines weiteren Passworts

Punkt 4: Deaktivieren der WordPress-Fehlermeldungen

WP ist ein zuverlässiges CMS, dessen Sicherheitslücken durch neue Updates ständig reduziert werden. Doch WordPress hat eine große Schwäche, die es unbefugten Dritten vereinfacht die Installation in Besitz zu nehmen. Für jede falsche Eingabe gibt nämlich das Content-Management-System eine genaue Fehlermeldung aus. Ist der Benutzername richtig, aber das Passwort falsch, teilt es das auch mit. Eine nicht wirklich sinnvolle Funktion, da sie Angreifern dabei hilft, die richtige Kombination von Benutzername und Passwort herauszufinden. Aus diesem Gründen ist es sinnvoll, wenigstens die Login Fehlermeldungen zu deaktivieren. Hierfür muss die functions.php einfach nur durch folgendes Snippet ergänzt werden.

Add_filter(‘login_errors‘, create-funktion(‘$a‘,“return null;“));

Punkt 5: Die WordPress-Version entfernen

Eine der wichtigsten Sicherheitsmaßnahmen ist das ständige Updaten der WordPress-Installation. Doch meistens halten sich die meisten WP-Nutzer nicht daran. Dumm nur, dass bei WP die Version angezeigt wird. Handelt es sich um eine alte Version, kennen die Hacker meist auch die entsprechenden Sicherheitslücken. Aus diesem Grund ist es ratsam, die WP-Version entsprechend aus dem Quellcode zu entfernen. Hierfür hast du zwei Möglichkeiten. Entweder löscht du aus der header.php die Codezeile

<meta content=“Wordpress <?php bloginfo (‘version‘; ?>“name=“generator“/> oder du fügst der functions.php folgenden Snippet hinzu remove_action(‘wp_head‘, ‘wp_generator‘);remove_action(‘wp_head‘, ‘wp_generator‘);

Punkt 6: Schütze deine WordPress Ordner vor Fremdzugriffen

Eine weitere Maßnahme zum Schutz deiner WordPress-Installation ist es, die Ordnerinhalte vor Zugriffen Fremder zu schützen. Dabei stehen dir zwei verschiedene Möglichkeiten zur Auswahl. Entweder fügst du der .htaccess folgendes Snipped hinzu (Options All – Index) oder lädst in die WordPress-Installation einen leere index.html hinzu.

Punkt 7) Die wp-config.php oft unterschätzt, doch ein separater Schutz ist unerlässlich

Für die WordPress-Funktion ist die wp-config.php die wichtigste Datei. Die Datei beinhaltet zum Beispiel die Zugangsdaten zu den zu WP zugehörigen Datenbank und diese sind unbedingt schützenswert. Hierfür müssen Sie der .htaccess um folgenden Code-Snipet erweitern.
deny from all

Punkt 8: ungenutzte Plug-Ins und Themes nicht nur deaktivieren, sondern gleich löschen

Es reicht nicht, dass Themes und Plug-Ins, die nicht gebraucht werden, nur deaktiviert werden. Alle sofort löschen, denn auch deaktivierte Themes und Plug-Ins stellen eine Angriffsfläche für Hacker dar. Vor allem die beiden Standardthemes, die bei der Erstinstallation von WordPress auftauchen.

Punkt 9: Ein aktuelles Anti-Virenprogramm auf dem Computer

Um Ihre WordPress-Installation zu schützen, ist es von Bedeutung, dass Sie das Anti-Viren-Programm Ihres Computers immer up-to-date halten. Nicht nur aus dem Grund, damit keine Trojaner das Passwort und den Benutzernamen des WordPress-Blogs ausspionieren kann. Gerade MS-Word kann ein hohes Infektionsrisiko für Ihre Webseite bedeuten. Modernere Ausführungen des Office-Programms nutzen XML-Dateien. Haben Sie Mailware auf dem Computer, kann im Word-Dokument Javascript eingefügt werden, was Ihren Blog infiziert. Aus diesem Grund nie blind Beiträge von Word in WordPress rein kopieren. Schauen Sie sich die Beiträge und Seiten in der Code Ansicht genau an.

Punkt 10: Reduzieren Sie die Kommentarmöglichkeiten bei WP

Stelle WordPress immer so ein, dass nur dann Kommentare erscheinen, wenn diese von Ihnen freigeschalten worden sind. Ein angenehmer Nebeneffekt der Einschränkung, XXS-Angriffe haben keine Chance mehr.

Die genannten Punkte sind nur eine kleine Anzahl an Möglichkeiten, wie Sie die Sicherheit Ihrer WordPress-Installation verbessern können. Wie sicher Ihr WP wirklich ist, können Sie auf https://www.wordpress-security-scan.com prüfen. Hierbei handelt es sich um eine andere Variante von WPscan. Der Vorteil, für den Gebrauch benötigt man keinen eigenen Server auf dem man das Sicherheitstool installieren muss. Auf www.wordpress-security-scan.com muss nur die URL eingeben und schon ermittelt das Tool die Schwachstellen der WordPress-Installation.

/ Blog

Share the Post

About the Author

Comments

No comment yet.

Leave a Reply

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

Sicherheitsabfrage * Time limit is exhausted. Please reload CAPTCHA.