Nachdem es heute (mal wieder) einen Blog erwischt hatte, wollte ich eine Checklist für mich selber ausarbeiten und schauen, welche Möglichkeiten es mittlerweile gibt, wie man WordPress sicherer machen kann.
In kurzer Zeit WordPress sicherer machen
Zum Thema gibt es bereits sehr viele Artikel in verschiedenen Blogs. Die folgende Aufählung der 22 Tipps und Tricks gegen Pishingattacken und Hackangriffen, ist defintiv die faulste Variante.
1. Keine Standard Benutzernamen
Benutzernamen, die durch die WordPress Installation vorgegeben werden sind Tabu. Das sind Eintrittskarten für Hacker, da sie bereits einen Teil vom Login kennen.
2. Artikel unter einem Benutzer veröffentlichen mit Autorenrechten
Erstelle einen gesonderten Benutzer, unter dem Du Deine Artikel veröffentlichst. Dieser bekommt nur Redakteur oder Autorenrechte. Wenn der Eindringlich wieder warten Deinen Sicherheitspalast geknackt hat, bleibt nicht viel Spiel.
3. WordPress Ordner umbennen
Eine Änderung des Namen vom WordPress Ordner ist nicht nur sicherer, sondern schafft auch Ordnung auf dem Webspace.
4. Sicheres Passwort wählen
Das A und O der Sicherheit. Wenn Du genauso unkreativ bist wie ich – hilft Dir diese Website weiter.
5. Login Versuche limitieren
Mit dem Plugin Limit Login Attempts verhindern Sie wiederholte falsche Loginversuche. Du hats die Möglichkeit das Login für mehrere Stunden, nach dreifacher Falscheingabe zu sperren. Außerdem gibts eine email-Benachrichtigung, wenn Du magst.
6. Aktuelle WordPress Version
WordPress versucht neue Sicherheitslücken immer wieder auszubessern. Somit sollte man nach einem Backup immer auf die neueste Version updaten.
7. Aktuelles Theme
Dasselbe gilt auch für das Theme. Regelmäßige Kontrolle, nach neuen Updates ist pflicht.
8. Wp-config.php schützen
Sehr sensibel bei WordPress ist die wp-config.php. Mit einem Zugang auf diese Datei, lässt sich einiges damit anstellen. Mit der neuen WordPress-Version, solltest Du die wp-config.php einfach ein Verzeichnis höher schieben.
9. Kommentare absichern
Im Besten Fall ist es wahrscheinlich Kommentare zu deaktivieren. Das ist natürlich nicht jedermanns Sache und somit ist zumindest ein gescheites Antispam-Plugin Pflicht. In verschiedenen Blogs gilt die Antispam Bee als Tipp.
10. Regelmäßige Backups der FTP Daten
Sollten alle Tipps und Tricks gegen einen Profihacker dennoch nicht standhalten, ist ein Angriff nur halb so ärgerlich, wenn die Daten regelmäßig gesichert werden. Das geht mittlerweile ganz bequem und vollautomatisiert. Für alle Dropbox-Liebhaber gibt es das ultimative WordPress Backup to Dropbox Plugin, mit dem die Backups automatisch in die Dropbox gezogen werden.
11. Regelmäßige Datenbank Sicherung
Mit der Sicherung der FTP Daten ist es noch nicht getan, wenn man wirklich auf Nummer Sicher gehen möchte. Ich nutze dazu den WP-DBManager, womit sich die Dateien ebenfalls automatisch bequem in der Dropbox sammeln.
12. Secret Key ändern
Eine kleine Sicherheitsmaßnahme, die nur wenig Zeit in Anspruch nimmt. WordPress enthält in der wp-config.php einen Secret Key. Hier kannst Du einen Alternativen Key beeantragen und diesen rüberkopieren.
Die folgenden Tipps lassen sich natürlich mühsam mit der Hand befolgen. Das geht aber wesentlich einfacher mit einem kostenlosen Plugin. Mit Better Wp Security lassen sich die folgenden Aufgaben per Mausklick erledigen:
13. WordPress Version entfernen
Gibt dem Angreifer weniger Informationen.
14. Login ändern
Mit der Änderung der Login-Struktur lassen sich einfache Hackattacken verhindern und sofort abschmettern.
15. Urlaubsmodus
Wenn Du für eine längere Zeit im Urlaub bist, oder Dich nicht im WordPress-Menü einloggen wirst, aktiviere den Urlaubsmodus. In der Zeit wird das Login Vollständig deaktiviert.
16. Benutzer-ID
Die Standardeinstellung von WordPress enthält die ID1. Das lässt sich ganz einfach mit einem Mausklick ändern.
17. WordPress Tabellen Präfix
Bei der Installation hast Du die Möglichkeit ein Tabellen-Präfix anzugeben. Solltest Du das nicht getan haben, kannst Du es jetzt nachholen. Es gibt die Möglichkeit Zahlen, Zeichen und Unterstriche zu kombinieren.
Beipsiel: _suchersicher2012_
18. Wp-Content wetterfest machen
Der Ordner Wp-Content lässt sich ebenfalls verändern und bringt Deine Bilder, Videos und Medien in Sicherheit.
19. Login Meldungen
Wer sich falsch einloggt, bekommt leider hilfreiche Hinweise. Auch wenn brav der Benutzername geändert wurde, findet der Hacker, nach einer Fehleingabe sofort heraus, wie der Nutzername heißt. Das einzige was hilft ist, die Login Meldungen ganz rauszunehmen.
20. kostenloser Virenscanner
Absolute Pflicht ist auch der WebsiteDefender. In der kostenlosen Version wird leider nicht automatisch Malware entfernt, jedoch wird mindestens einmal im Monat überprüft, ob alles In Ordnung ist. Das ist Top, vor allem, wenn man mehrere Webseiten hat.
21. Doppelter Login
Auf der Login Seite hat niemand was verloren. Wieso also nicht die Login-Seite durch ein weiteres Login schützen. Wie das geht? Das erklärt Sergej Müller in diesem Tutorial.
22. Timthumb Scanner
Es gibt sehr viele kostenpflichtige Themes (unter anderem Optimizepress), die sehr anfällig bei der timthumb Datei sind. Mich hat es genau 2 mal an der Stelle erwischt. Mit dem Timthumb Vulnerability Scanner ist jetzt endlich Schluss damit.
„WordPress sicherer machen Plugin Checklist“
Am Ende dieses Artikels hier nochmal eine Zusammenfassung, der sieben Lieblingsplugins, die ich verwende, um WordPress sicherer zu machen.
- Limit Login Attempts
- Antispam Bee
- Backup to Dropbox
- DB-Manager
- Better WP-Security
- Websitedefender
- Timthumb Scanner
Danke an die nachstehenden Blogger:
Leave A Response