WordPress-Installation absichern

In diesem Artikel möchte ich Ihnen zeigen, wie Sie Ihre WordPress-Installation grundlegend absichern können. Vorausgesetzt sind natürlich gewisse Grundkenntnisse.

Die Sicherheit kommt vor allem bei einigen WordPress-Blogs, die meist von Laien betrieben werden, viel zu kurz! Dabei ist die Absicherung zumindestens in grundlegenden Aspekten gar nicht schwer.
Deshalb möchte ich Ihnen in diesem Artikel einige Tipps und die grundlegende Absicherung einer WordPress-Installation näher bringen.

Schritt 1: Wichtig für eine sichere WordPress-Installation ist die Aktualität von WordPress, aber auch von installierten Plugins. Deshalb unsere Grundregel gleich zu Anfang: Immer das gesamte System aktuell halten! Wer sich über die Korrektheit einiger Updates nicht immer sicher ist, kann sich auf WordPress.org in den sogenannten Changelogs die Veränderung, die das Update mit sich bringen wird, anschauen.
Denn Sie sollten nicht jedem Plugin vertrauen, da mit einigen Updates natürlich auch wieder neue Sicherheitslücken entstehen können. Dies gilt übrigens auch für Themes.

Schritt 2: Durchaus kommt es immer zu fremden Login-Versuchen. Dabei wird von fremden Personen oder gar Bots versucht, sich in das Backend einzuloggen. Auch wieder hier, eine simple Grundregel. Lange und sichere Passwörter, die aus Buchstaben, Zahlen und Sonderzeichen bestehen. Auch empfehlen wir, den Standard-Benutzer bzw. das Administrator-Konto zu ändern. Der standardmäßig festgelegte Benutzername dessen, ist “admin”. Wer das Passwort erraten möchte, wird vor einem recht großen Problem stehen, wenn er weder Passwort noch Benutzername weiß.

Schritt 3: Des weiteren empfehle ich, das Plugin-Verzeichnis zu schützen! Dazu müssen Sie nur eine leere index.html in das /plugin/ Verzeichnis legen. So können im Falle eines Fehlers keine Plugins ausgelesen werden.
Angreifer gehen in den meisten Fällen so vor, dass sie sich zuerst über die WordPress-Version, die Sie verwenden, informieren. So können sie viel leichter herausfinden, welche Sicherheitslücken ggf. vorhanden sind.
Deshalb einfach folgende Zeile aus dem Header (meist header.php) Ihres verwendeten Themes entfernen.
“<meta name=”generator” content=”WordPress <?php bloginfo(‘version’); ?>” />”
Die WordPress-Version ist auch in /wp-includes/version.php zu finden, wer die Version also komplett verschleiern möchte, ändert diesen Eintrag auch. Dies kann allerdings zu Problemen mit einiges Plugins führen.
Wichtig: Nach einem Update, des Themes oder von WordPress, kommt es meist zu einer Überschreibung der Änderung. Deshalb dran denken, nach jedem Update, die Verschleierung zu erneuern
Am Besten ist es auch deshalb, wirklich nur die wichtigsten Plugins, die Sie wirklich benötigen, zu installieren. So kann das Sicherheitsrisiko deutlich minimiert werden.

Schritt 4: Wenn Sie der alleinige Nutzer des Blogs oder der Webseite sind, empfehle ich, im Backend unter “Einstellungen” -> “Allgemein” den Haken bei “Jeder kann sich registrieren.” zu entfernen.

Dies wären die vier grundlegenden Schritte, die ein jeder gehen sollte, um seine WordPress-Seite etwas sicher zu machen. Neben diesen Schritten, gibt es natürlich noch einige, viele mehr, die ich aber später in einem weiteren Teil der “WordPress-Installation absichern”-Reihe ansprechen möchten. Diese wird sich dann mehr mit der Absicherung für fortgeschrittene Benutzer beschäftigen.
Ein sehr empfehlenswertes Plugin ist außerdem, AntiVirus von Sergej Müller. Dieses prüft den Code Ihres Themes, nach schädlichem Code. Diesen können Sie dann entfernen. Auch hier wichtig, informieren Sie sich lieber vorher im WordPress Deutschland Forum, ob der markierte Code wirklich schädlich ist, bevor Sie an’s löschen gehen.
Aber denken Sie immer daran, keine Sicherheitsvorkehrung ersetzt ein Backup!
Gerne dürfen Sie mir auch eine E-Mail schicken.

MX-Magic.de

MX-Magic.de

Unsere Leistungen:

• Umsetzung eines reinen HTML/CSS Designs
• Beratungsleistungen
• Meta-Tags