WordPress absichern und schützen

WordPress Logo

Die Blog-Anwendung WordPress erfreut sich nach wie vor großer Popularität. Dank den vielen und guten Plugins kann der Funktionsumfang beinahe beliebig ausgebaut werden, weshalb WordPress heutzutage auch oft als CMS oder Shopsystem verwendet wird. Insgesamt läuft WordPress auf gut ein Viertel aller Webseiten weltweit, weshalb die Anwendung ein sehr beliebtes Angriffsziel darstellt.

Nachfolgend eine umfangreiche Sammlung vieler sinnvoller Tipps und Plugins, um WordPress sicherer zu machen.

Basisschutz

Diese einfachen Tipps sollten von allen umgesetzt werden, die WordPress einsetzen.

  • regelmäßig Updates installieren
    • vor allem von WordPress selbst
    • aber auch Plugins und Themes sollten aktualisiert werden, wenn neue Versionen bereit stehen
  • nicht verwendete Plugins und Themes löschen
  • Administrator-Account
    • wenn möglich nur ein Administrator-Account
    • Administrator-Account sollte nicht den standardmäßig vergebenen Usernamen “admin” besitzen
    • keine Artikel mit dem Administrator-Account verfassen, sondern über separate Accounts mit Redakteurs-Rechten
  • verschiedene Passwörter für WordPress Admin, Datenbank und FTP benutzen
  • “sichere” Passwörter verwenden
    • Groß- und Kleinschreibung, Zahlen sowie Sonderzeichen verwenden
    • lange Passwörter, je mehr Stellen desto besser (12 Stellen oder mehr sind gut)
  • regelmäßige und automatische Datensicherung
    • Datenbank und Dateien sichern
    • beides kann zum Beispiel einfach mit dem Plugin BackWPup erledigt werden
    • Sicherungen nicht auf dem Server aufbewahren

Erweiterter Schutz

Die Tipps hier sind deutlich aufwendiger zu realisieren und sollten nur von erfahrenen Anwendern befolgt werden, die wissen was sie tun. Für Anfänger sind die Tipps unter “Basisschutz” ausreichend.

  • Zugriffsschutz für das Backend (Admin-Bereich) mit Hilfe von .htaccess
  • TLS-Verschlüsselung für das Backend oder direkt für die gesamte Webseite einsetzen
  • XML-RPC-Schnittstelle deaktivieren / Zugriffsschutz einrichten
    • ist seit WordPress 3.5 standardmäßig aktiviert
    • Nachteil: Trackbacks von anderen Blogs können nicht mehr empfangen werden
    • XML-RPC-Schnittstelle über die “functions.php” vollständig deaktivieren
      /* Disable XML-RPC */
      add_filter( 'xmlrpc_enabled', '__return_false' );
    • alternativ Zugriff auf Dateo “xmlrpc.php” einschränken
      # bis einschließlich Apache 2.3
      # auth protection xmlrpc.php
      <Files xmlrpc.php>
      AuthType Basic
      AuthName "Restricted Admin-Area"
      AuthUserFile /pfad/zur/.htpasswd
      Require valid-user
      </Files>
      
      # ab Apache 2.4
      # auth protection xmlrpc.php
      <Files xmlrpc.php>
      AuthType Basic
      AuthName "Restricted Admin-Area"
      AuthUserFile /pfad/zur/.htpasswd
      Require valid-user
      </Files>
  • Admin Zugang auf bestimmte IP-Adressen beschränken
    # bis einschließlich Apache 2.3
    # protect wp-login.php
    <Files wp-login.php>
    Order deny,allow
    Deny from all
    Allow from [DYNAMIC.DNS.NAME]
    </Files>
    
    # ab Apache 2.4
    # protect wp-login.php
    <Files wp-login.php>
    Require host example.org
    </Files>
  • zuverlässigen Hoster verwenden
    • aktuelle Versionen von PHP und Webserver (Apache, nginx, …)
    • saubere Webserver-Konfiguration

Plugins

  • Antispam Bee (Schutz gegen Spam)
  • AntiVirus (Schutz gegen Schadcode, der über Sicherheitslücken in WordPress, Plugins oder Themes eingeschleust wurde
  • Snitch (protokolliert ausgehende Verbindungen von WordPress-Plugins)

Tobi

Hallo, mein Name ist Tobias und ich habe diesen Blog im April 2009 ins Leben gerufen. Seitdem blogge ich hier über Software, Internet, Windows und andere Themen, die mich interessieren. SSDblog ist mein zweiter Blog, indem es rund um das Thema SSDs geht. Ich würde mich freuen, wenn ihr meinen Feed abonniert oder mir auf Twitter und Facebook folgt.

5 Antworten

  1. tux. sagt:

    “Sichere Passwörter”: xkcd.

    Ein Passwort, das du dir nicht merken kannst, ist nicht sicher.

  2. Wahrk sagt:

    Typo:
    “WordPress abischern und schützen” -> WordPress absichern und schützen

    • Tobi sagt:

      Das habe ich bewusst nicht aufgeführt, weil das bei verteilten Botnetzen, die mit zig verschiedenen IPs ankommen, keinen Sinn macht.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert