In diesem Beitrag möchte ich Euch zeigen, wie ihr Euren WordPress Blog sicherer machen könnt.

Wir steigen dazu an mehreren Stellen ein.

1. Die wp-config.php auf dem Server und die .htaccess auch auf eurem Server

2. Verschiedene PlugIns, die ich euch empfehle

3. Spezielle Hinweise

Fangen wir mit Punkt 1 an.

Wer sein WordPress selber hostet, der kommt an die beiden Dateien wp-config.php und .htaccess über jeden FTP Client ran.

In der wp-config.php gibt es zwei Stellen, die für mehr Sicherheit sorgen. Ihr findet dort folgenden Eintrag:

define(‘AUTH_KEY’, ‘put your unique phrase here’);

define(‘SECURE_AUTH_KEY’, ‘put your unique phrase here’);

define(‘LOGGED_IN_KEY’, ‘put your unique phrase here’);

define(‘NONCE_KEY’, ‘put your unique phrase here’);

define(‘AUTH_SALT’, ‘put your unique phrase here’);

define(‘SECURE_AUTH_SALT’, ‘put your unique phrase here’);

define(‘LOGGED_IN_SALT’, ‘put your unique phrase here’);

define(‘NONCE_SALT’, ‘put your unique phrase here’);

Über den Link Secret Key könnt ihr Euch diesen Bereich generieren lassen (bei jedem neuen Aufruf dieser Seite werden neue Werte generiert)

Weiter unten in der wp-config.php steht das Tabellenpräfix (das vorangestellte Kürzel vor jeder Tabelle)

$table_prefix = ‘wp_’;

Das bedeutet, dass jede Tabelle, die über Euren Blog generiert wird (die üblichen WordPresstabellen und alle zusätzlichen durch PlugIns erstellten Tabellen), mit ‘wp_’ beginnen.

Mit dieser Information kann man jetzt schon die Tabellennamen erkennen. wp_options, wp_posts usw..

Daher unbedingt diesen Präfix ändern und zur besseren Lesbarkeit den Unterstrich nicht vergessen (z.B. ‘meineTabelle_’ oder ‘irgendeinKuerzelEurerWahl_’).

In der wp-config sind auch alle Informationen Eurer Datenbak enthalten, die notwendig sind, damit WordPress auf die Tabellen zugreifen kann. Daher sollte der Zugriff auf diese Datei von außen her nicht möglich sein.

Im “Normalfall” kann man auf dieses Datei nicht ohne weiteres zugreifen. Probiert es einfach mal aus, in dem ihr Eure Domain gefolgt von /wp-config.php eingebt. Ihr solltet eine Fehlermeldung erhalten. Wennn der Server jedoch einen Fehler hat, wäre es möglich, dass er den Inhalt der wp-config.php als Klartext ausgibt, was fatale Folgen hätte. Wir können dem entgegenwirken, wenn wir in die .htaccess Datei folgende Zeilen einfügen. (Wer keine .htaccesss auf seinem Server hat, kopiert eine leere Textdatei dorthin und benennt sie auf dem Server um in .htaccess.

Ihr sollte folgendes eingeben:

#protect wp-config

<files wp-config.php>

Order deny,allow

Deny from all

</files>

Wenn ihr diesen Eintrag erledigt und die .htaccess wieder gespeichert habt, dann tragt noch einmal eure Domain gefolgt von /wp-config.php in euren Browser ein. Jetzt sollte es folgendermaßen aussehen:

Zum Punkt 2, zusätzliche PlugIns installieren um die Sicherheit zu erhöhen:

Ich stelle Euch hier 3 PlugIns vor, die in meinen Augen in jede WordPressinstallation gehören, wenn es sich um Sicherheit handeln soll.

1. WordPress Database Backup

2. Limit Login Attempts

3. Secure WordPress

Kurzer Hinweis:

Alle WordPress PlugIns solltet ihr aus dem Backend eures Blogs über den Menüpunkt “PlugIns installieren” oder direkt bei

www.wordpress.org

im Menüpunkt PlugIns downloaden.

Zum WordPress Database Backup PlugIn

Dieses PlugIn sichert in zeitlich wählbaren Abständen eure komplette Datenbank.

Zur Erläuterung. Jeder WordPress-Blog besteht aus zwei groben Bereichen. Den reinen Dateien, die auf den FTP Server liegen und der Datenbank, in dem alle Artikel, Kommentare, Metadaten und weitere Informationen enthalten sind. Mit diesem PlugIn werden NUR die Datenbankeinträge gesichert, nicht die einzelnen Dateien auf Eurem Server. Diese bitte extra mit entsprechenden Tools in regelmäßigen Abständen sichern, z.B. einmal in der Woche mit eurem FTP-Client verbinden und alle Dateien in ein Verzeichnis auf eurer Festplatte abspeichern. Aus WordPress-Sicht müssten nur gesichert werden, die wp-config.php und der Ordner wp-content. Sollte eine Neuinstallation notwendig sein, dann die aktuellste WordPressversion hochladen und den Ordner wp-content mit dem aus dem Backup ersetzen, sowie die wp-config.php hochladen (in einer neuen WP-Version gibt es keine wp-config.php, sondern eine wp-config-sample.php, die als Vorlage dient.)

Zurück zum WordPress Database Backup. Nachdem ihr das PlugIn runtergeladen und aktiviert habt, findet ihr unter dem Menüpunkt “Werkzeuge” den Eintrag Backup. Hier könnt ihr entscheiden, ob ihr nur die WordPress-Tabellen oder alle zusätzlichen Tabellen mitsichern möchtet. Dann könnt ihr auch einen Job einrichten, der in wählbaren Zeitabständen das Backup an eine bestimmt Mailadresse sendet. Das war es auch schon.

Das nächste PlugIn ist äußert interessant. Mit Limit Login Attempts könnt ihr einstellen, nach wie vielen Falscheingaben, eine Zeitsperre für das LogIn und gesteigert dazu die IP Adresse gesperrt wird und für wie lange. Nachdem ihr das PlugIn runtergeladen und aktiviert habt, findet ihr unter Einstellungen den Eintrag Limit Login Attempts.

Dort könnt ihr u.a. folgendes einstellen:

Die Einträge sind selbsterklärend. Ihr erhaltet dann per Mail (könnt ihr ein Stück weiter unten einstellen) die Informationen, welche IP-Adresse sich wie oft mit welchem LogIn Namen versucht hat “einzudringen”.

Ich war echt erstaunt, wie viele Versuche am Tag gestartet werden, meine Seiten “zu hacken”. Hier ein paar Beispiele:

Wer jetzt noch sehen will, wer hinter der IP-Adresse steht (also welcher Provider aus welchem Standort, die IP-Adresse vergeben hat), der sollte sich eine IP-Adresse kopieren und bei utrace.de eintragen.

Ich habe Informationen aus Japan, Ukraine, Los Angeles aber auch aus Berlin erhalten. Die Hacker lauern überall !!!!!!

Auch interessant ist, mit welchem LogIn Namen versucht wurde, Euren Account zu hacken. Fast zu 100% wird der Standarduser “admin” gewählt, der automatisch bei Erstinstallation eines WordPress-Blogs vorgeschlagen wird. Der nächste Hinweis, seinen Blog sicherer zu machen ist der, den Benutzer “admin” erst gar nicht anlegen zu lassen (sondern gleich mit einem Benutzernamen eurer Wahl zu belegen) oder, wenn schon geschehen, diesen löschen. Bitte darauf achten, dass man einen äquivalenten Benutzer vorher einrichtet, denn beim Löschen des Benutzer “admin” wird gefragt, ob eventuell durch ihn erstellte Beiträge von anderen Benutzern übernommen werden sollen.

Zum letzten PlugIn Secure WordPress

Hierzu ist nicht viel zu schreiben.

Nachdem ihr das PlugIn heruntergeladen und aktiviert habt, funktioniert es auch schon. Ihr findet unter Einstellungen den Eintrag “secure wp” und dort könnt ihr verschiedene Punkte an- und abhaken. Die Einträge sind auf Deutsch und eigentlich selbsterklärend. Es entfernt u.a. Versionsinformationen aus verschiedenen Bereichen von WordPress und verhindert, dass “nicht-Admins” bestimmte Bereiche sehen können, die Hinweise auf Versionen und Zustand der WordPressinstallation geben können. Mit dem erstellen einer entsprechenden index.php werden die Ordner “Plugins” und Themes vor dem Auslesen geschützt und weitere nützliche Einträge.

Zum Punkt, verschiedene Hinweise:

Grundsätzlich ist Euer WordPress-Blog nur so sicher, wie das schwächste Element. Es gilt hier, wie anderswo, wählt eure Passwörter sorgsam aus, mindestens 6 Zeichen, kombiniert aus Zahlen, Buchstaben und Sonderzeichen. Wer “im Grunde” immer ein Passwort für viele LogIns  benutzt, sollte dieses dann öfter wechseln, denn wenn man eins kennt, kennt man Alle 🙂

Im Grunde steht und fällt alles mit Euren Passwörtern. Seit einfallsreich und variiert von LogIn zu LogIn. Ihr könnt Euch ein bestimmtes Passwortgerüst erstellen und dann am Anfang, in der Mitte oder am Ende ein bestimmtes Kürzel für die bestimmte Anwendung ausdenken. Alles mit Sonderzeichen versehen usw….

Ein probates Mittel ist es auch, einen bestimmten Spruch, den ihr niemals vergesst zu verwenden. Von diesem Spruch nehmt ihr immer den Anfangs- oder Endbuchstaben und aus einem E könnt ihr eine 3 machen, aus einem i eine 1, aus eine a ein @ usw…

Aktualisiert unbedingt so schnell wie möglich Euer WordPress und Eure PlugIns, sobald Updates vorhanden sind.

Deaktiviert und löscht PlugIns, die ihr nicht mehr verwendet. Hinter jedem schlecht gewartetem PlugIn lauern Gefahren, auch wenn diese nicht aktiv sind.

Nehmt keine PlugIns von dubiosen Seiten.

Wer noch weitere gute Möglichkeiten kennt, seinen Blog sicherer zu machen, kann sich gerne über die Kommentarfunktion auslassen.

Euer John Doe