WordPress sicherer machen – acht Tipps für den Hausgebrauch

W

Neben der bei größeren Besucherzahlen oft etwas unzureichenden Performance von WordPress (ein paar Tipps zur Optimierung übrigens hier: WordPress Datenbank optimieren) ist insbesondere die Anfälligkeit für Angriffe von Hackern ein großes Manko einer nicht richtig betreuten WordPress Installation. Prinzipiell trifft dies selbstverständlich auch auf viele andere gehostete Systeme zu. Matt Cutts hat dazu einige gute Tipps zusammengetragen, die ich hier kurz zusammenfassen und um den ein oder anderen Aspekt ergänzen möchte:

1. Schütze den Admin Bereich
Natürlich ist der Administrationsbereich bereits durch die Kombination aus Benutzername/Passwort geschützt, das reicht aber nicht wirklich. Am sichersten ist die Begrenzung der Zugriffe auf ausgewählte IP-Adressen. Hat man keine statische Adresse muss man diese vor jedem Zugriff manuell ergänzen/anpassen – für wesentlich mehr Sicherheit aber vielleicht drei Klicks die sich lohnen. Matt hat folgende .htaccess Datei verfasst, die es im Ordner /wp-admin abzulegen gilt:

AuthUserFile /dev/null
AuthGroupFile /dev/null
AuthName “Access Control”
AuthType Basic
<LIMIT GET>
order deny,allow
deny from all
# whitelist home IP address
allow from 64.233.169.99
# whitelist work IP address
allow from 69.147.114.210
allow from 199.239.136.200
# IP while in Kentucky; delete when back
allow from 128.163.2.27
</LIMIT>

2. Plugins Verzeichnis sichern
Normalerweise sollte das Anzeigen leerer Verzeichnisse auf dem Apache Server sowieso unterbunden sein. Um auf der sicheren Seite zu sein empfiehlt Matt Cutts eine leere Index.html Datei im /plugins Ordner abzulegen. So bleibt der Inhalt des Verzeichnisses und somit die Übersicht welche Plugins in welcher Versionsnummer verwendet werden vor den Augen nicht autorisierter Betrachter verborgen.

3. Aktualisiere WordPress regelmässig
Nichts ist gefährlicher als WordPress mit einer veralteten Versionsnummer zu betreiben. Sobald Sicherheitslücken publiziert werden ist mit Updates der Software zu rechnen. Diese sollten umgehend eingespielt werden. Eine alte Version mit sauber dokumentierten Lecks ist absolut unsicher und lädt Hacker geradezu ein. Am besten diesen Feed abonnieren, dann kommen die Infos über Updates ins Haus: http://wordpress.org/development/feed/

4. Verschleiere Deine Versionsnummer
Natürlich kann man mitunter nicht sofort auf jedes Update reagieren. Um aber in der Übergangszeit nicht ganz deutlich nach aussen zu tragen welche Version man verwendet sollte man diese Info aus dem Header der Seite entfernen. Lösche dazu einfach diese Zeile aus der Header.php Datei:

<meta name=”generator” content=”WordPress <?php bloginfo(’version’); ?>” /> <!-– leave this for stats please -->

5. Verwende so wenig Plugins wie möglich
Jeder kann ein Plugin für WordPress schreiben und veröffentlichen. Das ist gut, belebt dies doch die Community ungemein und macht WordPress zu diesem flexiblen und universellen Tool, das wir schätzen. Aber, genau hier liegt eine Gefahr. Solang Plugins nicht (von welcher Instanz auch immer, vgl: Brauchen wir ein Gütesiegel für WordPress Plugins?) geprüft werden, stehen hier sowohl unsicherem und unsauber programmiertem Code Tor und Tür offen. Das geht nicht nur zur Lasten der Performance, sondern womöglich auch zu Lasten der Sicherheit.

6. Minimiere die Anzahl der WordPress Benutzer
Nicht mehr aktive Autoren, Gäste und Testaccounts sollten gelöscht werden, wenn Sie nicht mehr genutzt werden. Das gilt natürlich für alle Systeme, wird aber gerade bei WordPress öfter vergessen. Besonders prekär wird dies bei Corporate Blogs wenn ausgeschiedene Mitarbeiter weiterhin vollen Zugriff auf das Blog haben und theoretisch unter falscher Flagge neue Artikel verfassen könnten – und dem Unternehmen dadurch schlimmstenfalls großen kommunikativen Schaden zufpgen könnten.

7. Backups
Sollte eigentlich selbstverständlich sein, dennoch der Hinweis: Macht Backups. Am besten täglich, mindestens aber wöchentlich. Größte Sicherheit bietet ein Backup auf ein externes System. Dabei sollten nicht nur die Dateien sondern insbesondere die Datenbank vollständig gesichert werden. Denn wird diese beschädigt oder gelöscht sind auf einen Schlag alle Inhalte weg. Idelaerweise automatisiert man diesen Prozess über Cronjobs.

8. Regelmässiges Monitoring
Abschliessend bleibt darauf hinzuweisen, dass man sein System stets im Auge behalten sollte und alle Auffälligkeiten einer gründlichen Prüfung unterziehen sollte. Dazu kann auch ein Check der eigenen Seite via Google Suche beitragen. Denn ein plötzlicher Ausschluss vom Index kann Hinweise auf einen bereits erfolgten Hack geben, so geschehen vor einiger Zeit beim Werbeblogger. Mit dem Tool WP-Scanner kann man einige Basics der eigenen Seite überprüfen und nötigenfalls schnell nachbessern.

Nutzt Ihr noch weitere Möglichkeiten zu Absicherung Eurer WordPress Installation? Habe ich etwas wesentliches vergessen?

18 Kommentare

Instagram