WordPress absichern und schützen
Die Blog-Anwendung WordPress erfreut sich nach wie vor großer Popularität. Dank den vielen und guten Plugins kann der Funktionsumfang beinahe beliebig ausgebaut werden, weshalb WordPress heutzutage auch oft als CMS oder Shopsystem verwendet wird. Insgesamt läuft WordPress auf gut ein Viertel aller Webseiten weltweit, weshalb die Anwendung ein sehr beliebtes Angriffsziel darstellt.
Nachfolgend eine umfangreiche Sammlung vieler sinnvoller Tipps und Plugins, um WordPress sicherer zu machen.
Basisschutz
Diese einfachen Tipps sollten von allen umgesetzt werden, die WordPress einsetzen.
- regelmäßig Updates installieren
- vor allem von WordPress selbst
- aber auch Plugins und Themes sollten aktualisiert werden, wenn neue Versionen bereit stehen
- nicht verwendete Plugins und Themes löschen
- Administrator-Account
- wenn möglich nur ein Administrator-Account
- Administrator-Account sollte nicht den standardmäßig vergebenen Usernamen “admin” besitzen
- keine Artikel mit dem Administrator-Account verfassen, sondern über separate Accounts mit Redakteurs-Rechten
- verschiedene Passwörter für WordPress Admin, Datenbank und FTP benutzen
- “sichere” Passwörter verwenden
- Groß- und Kleinschreibung, Zahlen sowie Sonderzeichen verwenden
- lange Passwörter, je mehr Stellen desto besser (12 Stellen oder mehr sind gut)
- regelmäßige und automatische Datensicherung
- Datenbank und Dateien sichern
- beides kann zum Beispiel einfach mit dem Plugin BackWPup erledigt werden
- Sicherungen nicht auf dem Server aufbewahren
Erweiterter Schutz
Die Tipps hier sind deutlich aufwendiger zu realisieren und sollten nur von erfahrenen Anwendern befolgt werden, die wissen was sie tun. Für Anfänger sind die Tipps unter “Basisschutz” ausreichend.
- Zugriffsschutz für das Backend (Admin-Bereich) mit Hilfe von .htaccess
- TLS-Verschlüsselung für das Backend oder direkt für die gesamte Webseite einsetzen
- XML-RPC-Schnittstelle deaktivieren / Zugriffsschutz einrichten
- ist seit WordPress 3.5 standardmäßig aktiviert
- Nachteil: Trackbacks von anderen Blogs können nicht mehr empfangen werden
- XML-RPC-Schnittstelle über die “functions.php” vollständig deaktivieren
/* Disable XML-RPC */ add_filter( 'xmlrpc_enabled', '__return_false' );
- alternativ Zugriff auf Dateo “xmlrpc.php” einschränken
# bis einschließlich Apache 2.3 # auth protection xmlrpc.php <Files xmlrpc.php> AuthType Basic AuthName "Restricted Admin-Area" AuthUserFile /pfad/zur/.htpasswd Require valid-user </Files> # ab Apache 2.4 # auth protection xmlrpc.php <Files xmlrpc.php> AuthType Basic AuthName "Restricted Admin-Area" AuthUserFile /pfad/zur/.htpasswd Require valid-user </Files>
- Admin Zugang auf bestimmte IP-Adressen beschränken
# bis einschließlich Apache 2.3 # protect wp-login.php <Files wp-login.php> Order deny,allow Deny from all Allow from [DYNAMIC.DNS.NAME] </Files> # ab Apache 2.4 # protect wp-login.php <Files wp-login.php> Require host example.org </Files>
- zuverlässigen Hoster verwenden
- aktuelle Versionen von PHP und Webserver (Apache, nginx, …)
- saubere Webserver-Konfiguration
Plugins
- Antispam Bee (Schutz gegen Spam)
- AntiVirus (Schutz gegen Schadcode, der über Sicherheitslücken in WordPress, Plugins oder Themes eingeschleust wurde
- Snitch (protokolliert ausgehende Verbindungen von WordPress-Plugins)
Sie sehen gerade einen Platzhalterinhalt von X. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.
Mehr Informationen
“Sichere Passwörter”: xkcd.
Ein Passwort, das du dir nicht merken kannst, ist nicht sicher.
Typo:
“WordPress abischern und schützen” -> WordPress absichern und schützen
Danke, ist gefixt.
Ich empfehle auch noch https://de.wordpress.org/plugins/limit-login-attempts/
Das habe ich bewusst nicht aufgeführt, weil das bei verteilten Botnetzen, die mit zig verschiedenen IPs ankommen, keinen Sinn macht.