Sicherheit von WordPress erhöhen

WordPress sicherer machen

Generell gilt WordPress bereits im Auslieferungszustand als sehr sicher. Vor einigen Tagen berichteten Tanja und Sylvi allerdings darüber, dass 2 Blogs vom sogenannten Gema-Virus befallen wurden. Das war für mich der Anlass, mir nochmals Gedanken über die Sicherheit meines Blogs zu machen und mich nach Plugins umzusehen, die WordPress sicherer machen.

Neben den generellen Vorsichtsmaßnahmen wie

  • sicheres Passwort wählen
  • WordPress und Plugins immer auf dem neuesten Stand halten
  • regelmäßig Backups der Dateien und der Datenbank machen

kann ich euch noch 4 Plugins empfehlen, mit denen ihr die Sicherheit von WordPress weiter erhöht.

AntiVirus checkt den Quellcode

Das Plugin AntiVirus von Sergej Müller durchsucht einmal täglich alle Dateien, die in eurem Theme-Verzeichnis liegen. Wenn das Plugin bei diesem Check feststellt, dass es Veränderungen gegenüber dem Vortag gibt, verschickt es eine E-Mail an den Admin. Solltet ihr eine solche E-Mail erhalten, braucht ihr allerdings nicht gleich in Panik auszubrechen. Es kann ja schließlich sein, dass ihr selbst etwas am Code geändert oder einfach nur ein anderes Theme aktiviert habt. Falls das allerdings nicht der Fall ist, solltet ihr überprüfen, welche Änderungen an der gemeldeten Datei vorgenommen wurden. Bei einem eingefügten Link von einer euch unbekannten Domain oder einer Einbindung einer fremden JavaScript-Datei sind die Chancen hoch, dass euer Blog infiziert ist.

WordPress sicherer machen

Secure WordPress und Website Defender erschweren den Zugriff

Die meiner Meinung nach wichtigsten Sicherheits-Plugins sind Secure WordPress und WebsiteDefender WordPress Security. Sie bieten zahlreiche Sicherheits-Funktionen, von denen ich euch die wichtigsten hier vorstelle.

WordPress-Version verbergen

Im umfangreichen Einstellungs-Menü von Secure WordPress könnt ihr mit einem Klick auf „WordPress-Version“ die Anzeige sämtlicher Versionshinweise im Source-Code abschalten. Ältere WordPress-Versionen haben oftmals Sicherheitslücken. Wenn ein Angreifer die von euch eingesetzte WordPress-Version kennt, weiß er auch, welche Sicherheitslücke er ausnutzen kann.

Tabellen-Prefix ändern

Standardmäßig haben alle WordPress-Tabellen das Prefix wp_, z. B. wp_users. Wenn ein Angreifer die genauen Tabellennamen kennt, erleichtert ihm das die Arbeit natürlich. Deswegen solltet ihr ein anderes Prefix als wp_ einstellen. Falls ihr das bei der WordPress-Installation noch nicht gemacht habt, könnt ihr das Tabellen-Prefix auch noch nachträglich ändern:

  • 1. Im WSD security-Menü (wird von WebsiteDefender angelegt) den Menüpunkt „Database“ anwählen.
  • 2. „Backup now“ anwählen um ein Backup der Datenbank zu erstellen!
  • 3. Bei der Datei wp-config.php, die ihr im WordPress-Hauptverzeichnis findet, kurzfristig die Dateirechte auf 777 setzen. Sobald ihr das Prefix geändert habt, ändert bitte die Dateirechte wieder auf 644.
  • 4. Im Dialogfeld das neue Tabellen-Prefix eintragen. Es ist zwar nicht Pflicht, aber es macht eure Tabellen übersichtlicher, wenn dieses mit einem Unterstrich endet, z. B. wpabc_.
  • 5. Mit einem Klick auf „Start Renaming“ führt ihr die Änderung durch.
  • 6. An Punkt 3 denken (Dateirechte von wp-config.php wieder auf 644 ändern).

Administratornamen ändern

Bei der Installation schlägt WordPress als Administratornamen „admin“ vor. Wenn ihr diese Vorgabe übernommen und bisher nicht geändert habt, kennt ein potentieller Angreifer schon mal die Hälfte eurer Zugangsdaten. Deshalb solltet ihr den Administratornamen ändern. Das funktioniert so:

  • 1. Backup der Datenbank machen.
  • 2. Wählt die Tabelle wp_users an (eventuell ist der Prefix anders, siehe voriger Punkt).
  • 3. Ändert in der Spalte „user_login“ den Eintrag „admin“ auf einen beliebigen Namen.

Dateirechte überprüfen

Mit dem Menupünkt „Scanner“ werden die Dateirechte der wichtigsten Dateien gescannt und aufgelistet. Falls bei einer Datei höhere Rechte eingestellt sind als benötigt werden, solltet ihr diese schnellstmöglich auf den empfohlenen Wert (Needed Chmod) herabsetzen.

Mit Limit Login Attempts den Zugang erschweren

Das Plugin Limit Login Attempts bietet mehrere Optionen um den Zugang zu eurem WordPress-Blog zu erschweren.

Generell habt ihr beim Login unendlich viele Anmeldeversuche. Mit der Option „erlaubte Anmeldeversuche“ könnt ihr ein Limit einstellen. Falls dieses überschritten ist, wird der Login für eine gewisse Zeit (einstellbar) gesperrt. Außerdem ist es noch möglich, nach einer bestimmten Anzahl von Sperrungen die Sperrzeit zu verlängern (z. B. auf 24 Stunden). Zusätzlich könnt ihr euch noch über Sperrungen per E-Mail benachrichtigen lassen.

Limit Login Attempts erschwert einen Hackversuch auch dadurch, dass es bei einer Falscheingabe nicht anzeigt, ob der Benutzername oder das Passwort falsch war.

100%-ige Sicherheit gibt es nicht

Eine 100 %-ige Sicherheit gibt es allerdings nicht. Das sieht man z. B. daran, dass auch Weltfirmen wie Sony erfolgreich gehackt wurden und sich sogar Kreditkartendaten stehlen ließen. Aber wenn ihr die generellen Vorsichtsmaßnahmen anwendet und die empfohlenen Plugins einsetzt, habt ihr euren Blog schon sehr gut abgesichert. Und das ohne die Benutzerfreundlichkeit wesentlich einzuschränken. Denn die Erfahrung zeigt: Je mehr Aufwand eine Sicherheitsmaßnahme erfordert, desto weniger wird sie angewendet.

Weitere Sicherheitstipps

Noch mehr Tipps, wie ihr WordPress sicherer machen könnt, findet ihr in diesem Artikel:

WordPress Sicherheit – 8 ultimative Snippets für die htaccess

Wie macht ihr WordPress sicherer?

Wie sichert ihr euren Blog ab? Habt ihr Tricks auf Lager, die ich nicht genannt habe? Welche Plugins setzt ihr noch ein, um WordPress abzusichern? Bitte schreibt doch in den Kommentaren etwas dazu.

Veröffentlicht von

Cujo

Die Webmaster-Zentrale wurde im Januar 2010 von mir gegründet. Dabei haben mich 3 Internetauftritte maßgeblich beeinflusst. Zum einen die Website des t3n-Magazins, www.t3n.de, auf der immer sehr interessante Artikel zum Thema Webseitenerstellung gepostet wurden. Genau solche Artikel wollte ich auch schreiben. Dann bin ich schon seit mehreren Jahren im Homepage-Forum, www.homepage-forum.de, aktiv. Im Laufe der Zeit stellte ich fest, dass dort immer die gleichen Fragen gestellt wurden. Jedesmal darauf die gleichen Antworten zu geben, war erstens langweilig, zweitens zeitraubend und drittens hat es sich nicht gelohnt, die Fragen ausführlich zu beantworten. In der Webmaster-Zentrale greife ich jetzt oft Fragen auf, die im Homepage-Forum gestellt wurden und habe die Möglichkeit die angesprochenen Themen viel detaillierter zu behandeln. Bei wiederkehrenden Fragen poste ich dann einen Link zu einem Artikel in der Webmaster-Zentrale. Dadurch erhalten die User ausführlichere Antworten als normalerweise in einem Forum üblich. Die Idee, Informationen bereitzustellen und diese im Forum zu verlinken, habe ich von Daniel, www.homepage-faqs.de, übernommen. Daniel bezeichnet sich selbst als Forenhelfer und ist sehr aktiv im Homepage-Forum. Er hat schon zahllosen Usern mit seinen Informationen geholfen und ihnen die Grundlagen der Webseitenerstellung erklärt. Diese 3 Webauftritte hatten einen so großen Einfluss auf mich, dass ich sicher behaupten kann, dass es ohne sie die Webmaster-Zentrale nicht geben würde.

18 Gedanken zu „WordPress sicherer machen“

  1. Hi Erik,
    ich habe mich vor kurzem auch damit beschäftigt und auch einen Post dazu geschrieben.
    Am besten sollte man all diese Listen zusammenwerfen, damit eine umfangreiche Sicherheitsliste für Blogneulinge entsteht.

    Beste Grüße

  2. Auf jeden Fall ist es so sicher bei Dir, dass man kaum noch etwas lesen kann.. jetzt, wo Du schwarze Schrift auf schwarzem Hintergrund machst.

    Ich kann Dir gerne mal einen Screenshoot schicken.
    FF 11.0 W7

  3. @legalstuff Das hat nichts mit den Sicherheitsmaßnahmen zu tun, sondern mit meinem Serverumzug, den ich vorgestern Abend gestartet habe. Da habe ich wohl eine Pfadangabe nicht richtig konfiguriert und deshalb werden jetzt die meisten Grafiken und der Hintergrund nicht mehr angezeigt. Ich komme aber erst heute Abend dazu, mich darum zu kümmern. Solange habe ich mal das WordPress-Standardtheme aktiviert. Sieht eigentlich auch ganz gut aus 🙂

  4. Danke für die ganzen Hinweise und das Du die Gedanken und Infos mit uns teilst.
    Ich bin mir sicher, dass die ganzen Seiten wie Joomla und WordPress viel viel anfälliger sind, als herkömmliche Adobe Dreamweaver html Seiten.
    Daher sollte man auch regelmäßig die Bloginhalte sichern, egal wie sicher man sich fühlt.
    das ist wirklich eine tolle Seite. Viele Infos rund ums Thema. Man kann sich echt alles anschauen und hier Stunden verbringen

  5. Interessante Zusammenstellung, werde mir den Beitrag aber wahrscheinlich nochmal durchlesen, wenn du das Theme wieder aktiviert hast.
    War ziemlich überrascht und habe mich schon gefragt, ob ich vielleicht auf der falschen Seite gelandet bin 😉

  6. Hatte auch mal einen Worpress Blog, der leider total zu gespamt wurde. Aber mit einem guten Captcha ist die halbe Arbeit schon getan 🙂

  7. Hallo Cujo,
    danke für’s Erwähnen meines Beitrages. 🙂 AntiVirus setze ich auch schon seit langem ein.
    Was ich mich allerdings seit einiger Zeit frage (weil dieser Tipp immer mal wieder nachzulesen ist), ob es wirklich so wichtig ist, die WordPress-Version zu verschleiern. Ich selber führe so schnell wie möglich ein Update durch, wenn eine neue Version erscheint.
    Macht es Sinn, seinen Blog mit Uralt-Versionen zu betreiben? Ich frage mich da – warum? Ich kann mich nicht erinnern, jemals nach einem Update Probleme mit einem Plugin gehabt zu haben.
    Das wäre für mich der einzige Grund, nicht sofort zu updaten, aber auch nur, wenn es sich dabei um ein unverzichtbares Plugin handelt.
    Vielleicht auch noch aus Zeitgründen, wenn ich zig Blogs betreibe … aber sonst?
    Heute kam noch ein Kommentar bei mir rein, in dem auch noch ein wichtiger Faktor angesprochen wurde: die Verzeichnisrechte.
    Welche Einstellungen würdest Du da empfehlen?
    Lieben Gruß
    Sylvi

  8. Habe immer gelesen dass man bei dem Administratornamen einen neuen User (mit neuem Namen und Passwort) generieren soll und den ersten Administratornamen und Passwort dann wischen soll. Bin aber kein Experte und weiss darum auch nicht mit Sicherheit ob Dies wirklich nötig oder wirklich von Vorteil ist.

  9. Schöne Zusammenfassung, aber ich persönlich finde ja bem Einsatz von so vielen zusätzlichen Plugins erhöht sich wiederum das Risiko, dass eines dieser Plugins seinerseits eine potenzielle Schwachstelle/Sicherheitslücke darstellt?! Letztendlich bevorzuge ich es, ohne irgendwelche Secruity-Plugins auszukommen und selbst Hand anzulegen, aber wie du schon schreibst 100%-ige Sicherheit gibt es sowieso nicht 🙂

    Was man noch ergänzen könnte ist, dass auch beim Hochladen von Dateien, dieses nicht unverschlüsselt über FTP, sondern vorzugsweise über SFTP oder SSH zu tun.

  10. Was?

    warum muss ich mich den jetzt wohl auch noch um sowas kümmern? Da ich mit meinem WordPress Blog demnächst auf eine eigene Domain umziehen will, werde ich mich wohl oder übel mal damit auseinandersetzen müssen.

  11. @Jens Dass du bei einer reinen HTML-Seite weniger Sicherheitsvorkehrungen treffen musst ist ja klar. Wenn du keine Datenbank hast, brauchst du dir auch keine Gedanken zu machen, wie du sie schützt 😉

    @Sylvi Bei den Verzeichnisrechten solltest du dich an den Vorgaben des Scanners von Website Defender orientieren. Wenn du niedrigere Werte als dort angegeben hast (also weniger Rechte vergibst), ist das nicht schlimm. Es kann dann aber sein, dass gewisse WordPress-Dienste nicht mehr funktionieren, z. B. keine Pingbacks mehr verschickt werden oder ähnliches. Einen höheren Wert solltest du aber auf den von Website Defender empfohlenen Wert zurücksetzen.

    @Fred Auch das bringt einen kleinen Sicherheitsgewinn. Normalerweise hat der Admin die id 1. Wenn du jetzt einen neuen Benutzer anlegst und diesem Adminrechte vergibst, hat dieser die Id 2 bzw. eine höhere Nummer. Die meisten Angreifer greifen aber den User mit der id 1 an, weil dieser bei WordPress standardmäßig der Admin ist.

    @Stephan Mit SFTP habe ich mich noch nicht näher beschäftigt, aber ich denke, du hast recht, dass die Verschlüsselung der Daten beim Hochladen einen weiteren Sicherheitsvorteil bietet.

    @Julia Wenn du deinen Blog selbst hostest, solltest du dir auch um die Sicherheit deines Blogs Gedanken machen. Die hier vorgestellten Tipps sind allesamt sehr einfach umzusetzen und erfordern keinen großen Aufwand.

  12. Wir hatten erst im März ein verändertes Theme auf dem Server. Muss irgendwo eine Lücke gewesen sein. Die Änderungen hatte man im Theme schnell gesehen und auch im Quellcode ersichtlich, die Seite lud irgendwelche Scripte und das dauerte ewig. Einige Programme haben auch Alarm geschlagen beim besuchen der Seite.

    Mittlerweile haben wir zahlreiche Zugriffsrechte u.a. für Root und viele Verzeichnisse so gesetzt, dass nur per Direktzugriff über die Shell geändert werden können und per FTP gesperrt sind. Außerdem noch das AntiVirus von Sergej Müller installiert und Passwörter der Admins sind 20+ Zeichen lang, inkl. Sonderzeichen und Zahlen.

    Regelmäßige Backups werden ebenso gemacht, da haben wir auch gleich die faulen Files rausgelöscht, welche es im März gab.

    Und Updates fahren wir auch immer gleich wenn es welche gibt, es sei denn sie wurden so verändert, dass sie uns das Design zerschießen. So z.B. bei der Content Slideshow.

  13. Sehr guter Artikel und vielen Dank, dass Du drauf aufmerksam machst! Ich persönlich habe bisher noch nie wirklich drüber nachgedacht, dass die eigenen wordpress Seiten gehackt werden könnten. Vor allem das limit login attempts plugin scheint mir hier wichtig zu sein…

  14. Danke für den Artikel! Die Limit Login Attempts werd ich gleich mal installieren – aber zu den anderen Plugins: macht der geänderte Tabellen-Prefix keine Probleme bei anderen Plugins? Ich könnte mir vorstellen, dass da einige nicht klarkommen, wenn man das Plugin nachträglich installiert. Ansonsten würde ich das auch gerne mal ausprobieren.

  15. @Sebastian Kurz bevor ich diesen Artikel geschrieben habe, habe ich bei mir auch das Prefix geändert. Bisher gab es auch keine Probleme damit.

    Das Prefix wird ja in der wp-config.php eingetragen. Plugins, die sauber programmiert sind, dürften daher keine Probleme mit der Änderung haben. 100 % ausschließen kann man Probleme natürlich nicht, aber wenn du vor der Änderung ein Backup machst, kann ja nix passieren.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.