WordPress Sicherheit erhöhen, Check und Plugins
Das beliebteste CMS ist WordPress. Viele Webseiten sind damit aufgebaut. So ist es auch einleuchtend, dass zahlreiche Angreifer versuchen, möglichst viele Webseiten mit diesem Content Management System zu kapern, vor allem, wenn die WordPress Sicherheit sehr niedrig ist.
Diese versuchen die Kontrolle über das System mittels Ausnutzung von Sicherheitslücken oder durch Versuchen von Benutzernamen und Passwörtern im Login-Fenster zu übernehmen.
Gelangt der Angreifer erst einmal in das Backend oder Zugriff auf FTP oder Datenbank, dann ist das Desaster groß. Denn so kann der Angreifer nicht nur die Kontrolle über die Webseite übernehmen, sondern auch Schadcode in deine Seite sowie Hosting einschleusen.
Damit erscheint deine Website ggf. als unsicher und wird von Google und anderen Suchmaschinen als solches gekennzeichnet. Auch wenn die Benutzer davon Wind bekommen, werden diese die Webseite in Zukunft meiden.
Deshalb ist es nicht verkehrt, sich mit dem Thema “WordPress Sicherheit” auseinanderzusetzen, vor allem dann, wenn du WordPress als dein CMS verwendest.
Die Umsetzung verschiedener und einfacher Maßnahmen um die WordPress Sicherheit zu erhöhen ist nicht so schwer, wie es sich eventuell anhören mag.
Dieser Artikel soll dir dabei helfen, die richtigen Maßnahmen herauszufinden und diese möglichst einfach für deine Website umzusetzen, damit deine Seite sicher wird.
Erhöhte WordPress Sicherheit – Benutzername und Passwort
Wenn du WordPress installierst, wird in der Regel der Benutzername “admin” verwendet. Dieser ist nicht wirklich einfallsreich und schon gar nicht sicher. Die Angreifer verwenden diesen bei Ihren Angriffen in ihren Skripten, davon kann man ausgehen.
Daher sollte dieser Benutzer entweder gelöscht oder umbenannt werden. Wenn du den Benutzer “admin” löscht, solltest du darauf achten, dass du zuerst einen neuen Benutzer erstellst und diesem alle Rechte überträgst, damit du dich nicht selbst aussperrst.
Du kannst den Benutzernamen ändern, indem du dich einloggst und unter “Benutzer” auf der linken Seite, den Benutzernamen änderst.
Achte aber nicht nur bei dem WordPress Login auf einen ordentlichen und nicht sofort zu erratenden Benutzernamen. Auch bei den folgenden Bereichen solltest du nicht den Standardbenutzer verwenden:
- FTP
- Datenbank
- Webhoster Login
Außerdem ist ein starkes Passwort ebenfalls wichtig. Denn je aufwendiger dein Passwort ist, desto schwerer hat es der Angreifer. Dein Passwort sollte die folgenden Merkmale aufweisen:
- Groß- und Kleinschreibung
- Zahlen
- Sonderzeichen
- nicht deinen Vor- und/oder Nachnamen enthalten
- nicht dein Geburtsdatum enthalten
Je aufwendiger dein Passwort also ist, desto schwieriger ist es für die Angreifer dies zu knacken, da die Berechnung zu lange dauern würde. Security Plugins können an dieser Stelle ebenfalls helfen, um deine Webseite sicher zu machen.
Datenbankprefix ändern für eine höhere WordPress Sicherheit
Ebenfalls bereits bei der Installation von WordPress kannst du etwas zur erhöhten Sicherheit beitragen, indem du das Datenbankpräfix änderst. Als Standard wird “wp_” verwendet, du kannst es allerdings in z. B. “tg5243_” ändern. So laufen die Skripte der Angreifer ins Leere, wenn diese nach dem Standardpräfix suchen.
Sollte die Installation bereits bestehen, so ist es nicht ganz so einfach, das Präfix zu ändern. Wenn du es ändern möchtest, musst du jedes “wp_” in “tg5243_” ändern sowie die Änderung in der Datei “wp-config.php” bekannt geben und ggf. in weiteren Dateien.
Bevor du mit der Änderung bei einer bestehenden Installation starten möchtest, solltest du auf jeden Fall ein Backup deiner Datenbank machen. Eines der besten Maßnahmen, jedoch am besten zu Beginn der Installation durchführen.
Ordnerberechtigungen und Ordnernamen
Ein weiterer Sicherheitsbaustein ist die Überprüfung von Berechtigungen auf Ordnerebene. In der Regel benötigen die Ordner lediglich eine chmod Berechtigung von “755” und nicht mehr, außer du verwendest ein weiteres Tool, welches eine “777” Berechtigung explizit benötigt.
Eine “755” Berechtigung bedeutet bildlich folgendes:
Das bedeutet also, dass der Besitzer des Ordners volle Rechte darauf hat. Andere Benutzer und Gruppen können nur lesend oder ausführend darauf zugreifen. Die Zusammensetzung der Rechte ist wie folgt:
- Lesen = 4
- Schreiben = 2
- Ausführen = 1
Da nicht nur die Berechtigungen, sondern auch die Ordnernamen zur erweiterten Sicherheit beitragen können, sollte man diese ändern, sofern möglich. Wenn du ein Tool wie z. B. MySQL Dumper verwendest, dann sollte der Ordner nicht “mysqldumper” lauten, sondern z. B. “datenbanksicherung-tool”.
Auch bei den Standard WordPress Ordnernamen kann etwas getan werden. So kann der Admin-Ordner von WordPress (Standard: “wp-admin”) umbenannt werden.
Auch der “wp-content” Ordner sollte wenn möglich umbenannt werden. Auch hier gilt, die Skripte der Angreifer scannen nach den Standardwerten, da dies viel einfacher, schneller und erfolgsversprechender ist. Sind die Ordner umbenannt, so laufen die Skripte der Angreifer ins Leere.
Um den “wp-content” Ordner umzubenennen, aknnst du wie folgt vorgehen:
- “wp-config.php” Datei herunterladen und mit passenden Editor öffnen
- in die “wp-config.php” Datei folgende Zeilen hinzufügen
- define(‘WP_CONTENT_DIR’, ‘/absoluter/pfad/zum/webspace/neuername-wp-content’);
- define(‘WP_CONTENT_URL’, ‘https://www.domain.tld/neuername-wp-content’);
Somit ist der “wp-content” Ordner umbenannt.
Die Umbenennung bei neuen und frischen Installationen ist kein Problem, bei bestehenden Systemen kann dies sehr wohl ein Problem sein, bzw. ist deutlich aufwendiger. Schließlich sind auch Bilder, Plugins und Themes in dem “wp-content” Ordner enthalten.
So wäre eine manuelle Umbenennung bei Bildern notwendig. Du müsstest nach “wp-content” suchen und durch “neuername-wp-content” ersetzen. Du kannst aber auch ein Plugin dafür verwenden (z. B. Better Search Replace), um dir Zeit zu sparen.
Dafür ist es allerdings notwendig, den absoluten Pfad zu kennen. Diesen kannst du herausfinden, indem du den nachfolgenden Code in eine leere Textdatei einfügst und diese als z. B. als “pfadfinder.php” abspeicherst:
<?php
$p = getcwd();
echo $p;
?>
Um den absoluten Pfad anzuzeigen, musst du auf domain.tld./pfadfinder.php navigieren. Hier wird dir der absolute Pfad angezeigt.
WordPress Sicherheit erhöhen – Rechte auf Dateien
Bei den Rechten auf Dateien verhält es sich ähnlich wie bei den Ordnerberichtigungen. Denn auch hier wird in der Regel kein “777” und somit Vollzugriff benötigt. In den meisten Fällen reichen auch hier “755” Rechte aus, wenn nicht sogar “644”.
Bei der “644” Berechtigung kann nur der Administrator, bzw. Besitzer der Datei darauf zugreifen. Kritische Dateien sind demnach also z. B.
- wp-config.php
- .htaccess
- .htpasswd
- config.php
Diese solltest du mit den chmod “644” Rechten versehen. Auch das kann deine Website sicher machen.
WordPress sicherer machen mittels .htaccess und .htpasswd
Die .htaccess Datei enthält wichtige Befehle inklusive Parameter, um den Webserver entsprechend anzuweisen. Hier können Befehle bzgl. Caching und Sicherheit implementiert werden.
So kann nicht nur die WordPress PageSpeed verbessert werden, sondern auch die Sicherheit gesteigert werden. Du kannst so zum Beispiel das Ausführen von PHP-Dateien in Unterverzeichnissen verbieten.
So besteht z. B. unter “wp-content/upoads” keine Notwendigkeit, PHP-Dateien auszuführen. Also erstellst du in diesem Unterverzeichnis ein .htaccess File und fügst die folgenden Befehle hinzu:
<Files *.php>
deny from all
</Files>
Somit können nun in diesem Verzeichnis keine PHP-Dateien mehr ausgeführt werden.
Des Weiteren macht es durchaus Sinn, den Login Bereich mit Benutzername und Passwort zu versehen. Hier kannst du eine .htpasswd Datei erstellen und diese in der .htaccess Datei verknüpfen. Dazu musst du eine .htpasswd generieren lassen, hier kannst du es tun.
OK, man kann das natürlich auch mit XAMPP machen, wenn man anderen Webseiten nicht traut. Hierzu solltest du dir XAMPP herunterladen, ein CMD-Fenster öffnen und in das folgende Verzeichnis navigieren:
C:\xampp\apache\bin\htpasswd.exe
Anschließend gibst du folgende Parameter ein:
-c -b .htpasswd <user> <password>
Zur Erklärung:
-c bedeutet, dass ein neues File erstellt werden soll, mit den Namen “.htpasswd”
-b bedeutet, dass das Passwort, welches du auf der Kommandozeile eingibst, übernommen wird. Du kannst es auch weglassen und wirst ansonsten zwei Mal nach deinem gewünschten Passwort gefragt.
Wenn du die .htpasswd erstellt hast, musst du die .htaccess Datei erweitern, indem du die folgenden Einträge vornimmst:
# Schutz /wp-admin
AuthName “Admin-Bereich”
AuthType Basic
AuthUserFile /absoluter-pfad-zur/.htpasswd
require valid-user
Allerdings musst du den absoluten Pfad zur .htpasswd kennen. Diesen findest du wie folgt heraus:
- erstelle eine neue PHP-Datei, z. B. pfad.php
- in die PHP-Datei trägst du folgendes ein:
<? echo dirname(__FILE__); ?>
- lade sie in den Ordner deiner Domain auf FTP hoch
- rufe deine Domain mit der Datei auf: www.domain.tld\pfad.php
- und schon siehst du deinen absoluten Pfad
Wenn du diesen herausgefunden und die .htaccess Datei entsprechend bearbeitet hast, kannst du nun “domain.tld/wp-login.php” aufrufen und wirst aufgefordert deinen Benutzernamen und Passwort einzugeben.
Erst wenn du diese erfolgreich eingetragen hast, gelangst du zum Login Fenster zum WordPress Backend.
Eines der einfachsten Maßnahmen, die ohne ein Plugin funktioniert und doch zu einer höheren Security deiner Website beiträgt. Es muss ja nicht immer ein Plugin sein.
Denn, hat ein Plugin eine Sicherheitslücke, helfen diese Maßnahmen nicht, da die Angreifer direkt über das Plugin in deine Webseite eindringen. Sie können auch deine gesamtes Hosting und somit anderen Webseiten von dir angreifen.
WordPress absichern durch PlugIns
Das CMS WordPress bietet an sich schon zahlreiche PlugIns an, welche sich mit dem Thema “WordPress Sicherheit” auseinander setzen. Die nachfolgenden PlugIns können dir dabei helfen, deine WordPress Sicherheit zu erhöhen:
Die oben aufgeführten PlugIns sind nur eine Auswahl, es gibt noch ein paar mehr. Die PlugIns untersuchen WordPress und Theme Dateien nach Veränderungen und informieren dich, sofern eine Änderung vorgenommen wurde.
Auch die Anzahl der Logins kann eingeschränkt werden und einige weitere Funktionen. Du solltest dich mit diesen PlugIns beschäftigen und auf deiner WordPress Installation installieren, wenn du deine Website absichern möchtest.
Security Plugins sind gut, um deine Webseite abzusichern, allerdings solltest du auch wissen, dass wenn eine Sicherheitslücke im Plugin ist, diese Maßnahmen dann auch nicht greifen. Denn, der Angreifer kann dann direkt in deine Webseite oder gar auf das gesamte Hosting eindringen.
Internen WordPress Editor abschalten
Der interne WordPress Editor schafft eine Art Bequemlichkeit, vor allem dann, wenn es um die Modifikation von Theme und Plugin Dateien geht.
Dies ist im Falle eines erfolgreichen Angriffs kontraproduktiv, da der Hacker sonst Änderungen an diesen Dateien vornehmen und Schadcode implementieren kann. Du kannst diese Möglichkeit abschalten. Dazu musst du in der “wp-config.php” folgende Zeile eintragen:
- define(‘DISALLOW_FILE_EDIT’,true);
Sicherheitsschlüssel verwenden
Die Verwendung von Sicherheitsschlüssel bei WordPress sorgen ebenfalls für eine höhere Sicherheit und bilden somit einen weiteren Sicherheitsbaustein, der implementiert werden kann. Die Sicherheitsschlüssel musst du in die “wp-config.php” einfügen und die alten entfernen. Beispielhaft dargestellt:
define(‘AUTH_KEY’, ‘.vc3}Rc]pi<U=E1#ocsQ8?fr/D5k582}VS+.S|fD~:vX?`FZImU(!!FSH+b6%+=t’);
define(‘SECURE_AUTH_KEY’, ‘iW|DA#td}s,TYtq@y:uN@zXNe5d?ws_xz9FrW*Xmc+6=Q.3t5N[EtXd;zEKH27x0’);
define(‘LOGGED_IN_KEY’, ‘ iV!+9o|,gDG!H|c&Go-*:x.-{%X)Jw+p(OdRYAqn|=lBYse:8g3VXNs$OROC{N9’);
define(‘NONCE_KEY’, ‘~seO>k-;=eGvg]PRWH,:?=Ri7R]<4^<5!iN@?)4592!XH;C$GKW{8|bE :F[w)Xj’);
define(‘AUTH_SALT’, ‘NmZB_:<$AAX:/R+*PVPr{U]ycIfeiX]]EkQ3,#%op8pSn]KVTr_z .WLHb`C4&@j’);
define(‘SECURE_AUTH_SALT’, ‘U|/pj!T+0l2hcJ,{aJ9#8mGbFPVxi 5?[%3X(SRp0Usi(bKQx|8;B.n1#T(l ,]|’);
define(‘LOGGED_IN_SALT’, ‘3|d=j]g)tvC~7NQNX+9&6<|~L,^lO*T21)(fLd3tEBGb~=NO2,f{AK$UrR`Z*sU-‘);
define(‘NONCE_SALT’, ‘S]Xo@:o.WVTo@1j0M$Gz;B|??o!fg@)J;f|.>G#&9H+=@[rEp2$h]+|Yqx?|?`aq’);
Um die Sicherheitsschlüssel zu implementieren, kannst du wie folgt vorgehen:
- wp-config.php mittels FTP downloaden
- mit einem passenden Editor öffnen
- alte Sicherheitsschlüssel entfernen
- https://api.wordpress.org/secret-key/1.1/salt besuchen und neue Sicherheitsschlüssel generieren lassen
- die wp-config.php speichern und wieder über FTP uploaden (alte Datei überschreiben)
Updates – WordPress Updates und Plugin Updates
Da immer wieder neue Sicherheitslücken bekannt werden, egal ob in Thems oder Plugins oder im WordPress CMS selbst, sollte man nach Möglichkeit die neuen Updates installieren. Mit den Updates werden so wichtige Fehler und sicherheitskritsiche Lücken geschlossen.
Damit verringert sich das Risiko mit einem aktuellen System auf einen erfolgreichen Angriff durch einen Hacker, als mit einem veralteten Stand. Vor einem großen Update ist allerdings eine Sicherung der Datenbank wichtig und sollte auf jeden Fall durchgeführt werden.
Nur das Notwendigste installieren
Oft werden verschiedene PlugIns und Themes installiert um diese zu testen und ggf. zu verwenden. Wenn sich diese als ungeeignet herausstellen, dann sollten sie deaktiviert und gelöscht werden.
Dies erhöht das Risiko, da weniger Angriffsfläche geboten wird. Und je weniger Angriffsfläche, desto höher die Sicherheit. Möchtest du die PlugIns und Themes aufbewahren, so kannst du dies z. B. auf deiner lokalen Festplatte tun.
WordPress Sicherheit erhöhen – Fazit
WordPress ist sehr beliebt, es gibt viele verschiedene kostenlose und kostenpflichtige Themes und PlugIns. Das Ganze zusammen ergibt eine bestimmte Angriffsfläche.
Diese kannst du minimieren, indem du einige Sicherheitsbausteine einbaust, sodass du die Sicherheit deines Systems erhöhst.
Ganz klar, eine 100%ige Sicherheit gibt es nicht, außer du schaltest deine Webseite ab und kündigst dein Hosting-Webspace, dann kannst du auch nicht angegriffen werden.
WordPress an sich bietet einige Hilfen in Form von PlugIns an, welche die Sicherheit deines Systems steigern können, auch beim Login. Außerdem kannst du mit einigen Handgriffen und relativ einfachen Maßnahmen die Sicherheit stark erhöhen.
Der Aufwand hält sich in Grenzen, sodass es für jeden einfach machbar ist.
Nimm dich dem Thema an, denn Sicherheit wird immer wichtiger. Und Webseiten, welche SPAM verteilen oder Malware enthalten, werden von Usern und Suchmaschinen schlechter gewertet.
Dies kannst du dir ersparen.
Keine Kommentare vorhanden