Tipps für mehr WordPress Sicherheit

WordPress Sicherheit ist ja immer wieder ein Thema und darauf möchte ich nun wieder etwas eingehen. In diesem Beitrag möchte ich euch ein paar Tipps geben, wie Ihr euer WordPress Blog sicherer machen könnt. Einige Tipps wird der ein oder andere vielleicht schon kennen, aber vielleicht ist auch etwas Neues für dich dabei.
WordPress ist das erfolgreichste Blogsystem der Welt. Es ist kostenfrei verfügbar und Millionen von Blogs werden mit WordPress betrieben. Deshalb stehen WordPress Blogs auch im Visier von Angreifern. Damit dein Blog keine leichte Beute wird, solltest du folgende Punkte berücksichtigen.

1. Halte deine WordPress Installation immer aktuell

Angreifer kennen die Lücken alter WordPress Installationen und nutzen diese auch aus. Das System ist leider auch bekannt dafür, öfters Schwachstellen zu haben, die dann aber zum Glück meißt schnell durch Updates behoben werden. Biete Angreifern erst gar keine Möglichkeit bekannte Lücken auszunutzen, indem du deine WordPress Installation immer auf dem aktuellsten Stand hältst.

2. Benutze keine Standard Benutzernamen für deinen Adminzugang

Benutze nicht den Standardnamen „admin“  für deinen WordPress-Adminzugang. Damit hast du potenziellen Angreifern sonst schon eines von zwei Loginkriterien (Benutzername + Passwort) verraten. Verwende einen individuellen Namen für deinen Admin-Zugang.

3. Verwende sichere Passwörter

Schon oft angesprochen, aber immer wieder missachtet! Wenn ich manchmal mitbekomme, was Leute für Passwörter benutzen, dann bekomme ich sofort Magenschmerzen. Nein, „schnucki18“ oder „tigerente“ sind keine guten Passwörter. Benutze Groß- und Kleinschreibung, Sonderzeichen und Zahlen in deinen Passwörtern. Angreifer versuchen mit der Brute-Force-Methode einfache Passwörter automatisch zu knacken. Wenn dein Admin Benutzername also „admin“ ist und ein Passwort in der Liste der von Twitter gebannten Passwörter vorkommt oder zu einfach gehalten ist, dann solltest du schnellstens aktiv werden.

4. Entferne die meta-Angabe „generator“

Entferne die Ausgabe von <meta name=“generator“ content=“WordPress 3.4.1“ /> in deinem Blog. Niemand muss wissen, was du gerade für eine WordPress Version installiert hast.

Und so entfernst du die Meta-Angabe „generator“ aus deinem Template.
Füge folgenden Code in die functions.php deines Themes ein:

remove_action('wp_head', 'wp_generator');

5. Sei vorsichtig bei der Verwendung kostenfreier WordPress-Themes

Manachmal kommt es vor, dass kostenfreie WordPress Themes Schadcode enthalten. Prüfe deshalb genau, woher dein Theme kommt und ob im Quellcode Schadcode oder ungewollte Links enthalten sind. Das AntiVirus Plugin für WordPress kann Abhilfe schaffen. Mittlerweile gibt es einige Anbieter sehr hochwertiger WordPress Premium Themes, bei denen du hochwertige Templates kostengünstig kaufen kannst. Bei Premium Anbietern kannst du dir nahezu zu 100% sicher sein, dass kein Schadcode im Template enthalten ist.

6. Regelmäßige Backups machen

Führe regelmäßig Backups deiner Datenbank und deines FTP-Servers durch. Nur so kannst du deinen Daten ohne Verlust  wieder herstellen. Wichtig, lade die Datenbank-Backups auch auf deinen lokalen Rechner runter! Für WordPress gibt es einige Plugins zur Datensicherung.

7. Informationen der Login-Fehlerausgabe entfernen

Wenn man sich im Adminbereich anmeldet und einen richtigen Benutzernamen, aber ein  falsches Passwort eingibt, bekommt ein eine Meldung wie diese hier:

[box]FEHLER: Das Passwort, welches du für den Benutzernamen admin eingegeben hast, ist falsch. Hast du dein Passwort vergessen?[/box]

Und schon hat der Angreifer herausbekommen, dass der Benutzer „admin“ existiert. Fehlt nur noch das Passwort für den Zugang. Entferne diese Informationen bei fehlerhaften Logins aus deinem Blog, indem du folgenden Code in die Datei „functions.php“ deines Themes einbaust:

add_filter('login_errors',create_function('$a',"return null;"));

8. Begrenze die Maximale Anzahl an fehlerhaften Logins

Es macht es einem Angreifer einfach, wenn es die Möglichkeit hat, unzählige Loginkombinationen automatisiert auszuprobieren. Dem kann man entgegenwirken, wenn man ein Plugin installiert, welches die Maximale Anzahl an fehlerhaften Logins auf wenige Versuche einschränkt. Ein solches Plugin ist z.B. das Plugin Limit Login Attempts.

9. Begehe keine der drei Todsünden im Bezug auf die WordPress Sicherheit

Viele Sicherheitsprobleme werden vom Blogger selbst verursacht und das geschieht durch eine oder mehrere der drei Todsünden im Bezug auf die WordPress Sicherheit.

Zufrieden mit unserem Service oder unseren Artikeln?
» Bewerten Sie unsere Agentur doch schnell bei Google.

Tobias Karnetzke CEODer Autor: Tobias Karnetzke ist Mitinhaber der Internetagentur Karnetzke. Er ist seit 2004 selbständiger Webdesigner, Programmierer, SEO-Experte und Google zertifiziert. Agenturen im In- und Ausland vertrauen auf seine Erfahrung als Berater und WordPress-Spezialist. E-Mail: tk@karnetzke.de

3 Kommentare

  1. […] dem Blog blog-mal.de gibt es einen interessanten Artikel dazu, wie man einen WordPress Blog sicherer machen kann. Es werden einige nützliche Tipps und Plugins vorgestellt, die Problemstellen im Blog […]

  2. Stefan
    14.03.2013 at 10:43 ·

    Vielen Dnak für diese hilfreichen und sehr einfach – umzusetzenden Tipps. Gerade dei Verwendung des Plugins Limit Login Attempts werde ich mir ansehen.

  3. Steffi
    07.06.2013 at 00:25 ·

    Hallo Tobias,

    deine Tipps haben mir sehr weiter geholfen 🙂 Bei meiner Recherche nach weiteren Tipps bin ich auf http://igor-ermentraut.de/wordpress-blog/wordpress-sicherheit.html gestoßen. Vielleicht könntest du ja einige der Tipps von Igor in deinem Artikel aufnehmen, die du bis jetzt noch nicht hast 😉

    Grüße,
    Steffi