Wie man Wordpress sicherer macht
Ich weiß nicht, aber irgendwie habe ich den Verdacht, dass mich irgendjemand nicht mag (So ist das Leben 
). Schon wieder wurde eines meiner Projekte gehackt, welches mit Wordpress läuft. Kann aber auch sein, dass es einfach Gang und Gebe wird, wahllos Wordpress-Blogs zu hacken. Deshalb habe ich mal wieder einen Work-Around gemacht um die Sicherheit meiner Blogs zu erhöhen. Bei fast 100 Projekten ist das ganz schön nervig, aber was solls… Aber ansonsten liebe ich Wordpress und lege es jedem wärmstens ans Herz.
Hier also meine Tipps, weitere gibt es noch hier (klasse!), hier(danke!) und hier.
- Beim Installieren sollte man den Präfix der Tabellen wp_ ändern auf “projekt_xy”.
- Nach der Installation einloggen und den Admin löschen, nachdem man einen neuen Administrator angelegt hat. Dieser heisst dann nicht mehr “admin”, sondern “hanshugomaier” (z.B.). Das Passwort heisst natürlich nicht wie der eigene Hund
- Nach der Installation die install.php und upgrade.php löschen
- Das Login-Verzeichnis /wp-admin/ wird per .htaccess nochmals geschützt.
- Schaue dir das verwendete Theme genau an – der php-Quellcode zeigt einiges, was wohin verschickt wird.
- Das Plugin “Antivirus” checkt das Theme auf Lücken. Der Online Scanner von Blogsecurity zeigt noch mehr Sicherheitslücken.
- Installiere stets die aktuelle WP-Version, zumindest das letzte Sicherheitsupdate. Das letzte war 2.8.6. bevor die neue Version 2.9. veröffentlicht wurde. Das geht über die automatische Update Funktion schneller als per FTP. Ebenso gibt es einige Plugins, die das erledigen.
- Per robots.txt schließt man alle internen Verzeichnisse aus, also z.b. Disallow: /wp- . Außerdem gehört auch nirgends ein “Login”-Link in den Footer oder in die Sidebar
- Im Header pappt WP immer die aktuelle Version – benützt man eine ältere, wissen die A****ähm Häcker, wo sie ansetzen müssen. Also raus mit dieser Zeile aus dem Header.
- Eine leere Index-php kommt in alle wichtigen internen Verzeichnisse. Zeitaufwändig, aber sinnvoll.
Das reicht zunächst für eine weitere Stunde Arbeit. Hacker haben es somit schwerer ein Loch im System zu finden.
Januar 4th, 2010 at 19:36
Sehr gute Tipps, das werde ich wohl anlinken müssen
.
Januar 5th, 2010 at 13:01
Du wirst irgend ein Plugin oder Footprint haben was hacker anzieht. Lohnt sich bei Projekten wo lange nix geändert wurde nicht eine Umstellung auf HTML?
Januar 5th, 2010 at 13:03
Der Link zum scanner blogsecurity zeigt 404. Wenn du nächstes mal eine Leitung zur verfügung hast lass mal einen 404 link checker über die seiten laufen http://usability-now.com/tools/link-checker/ die Erfahrungen dazu könntest du ja gleich in einen Post mit Backlink verarbeiten
Das Plugin Mail on Comment könnte auch auf dein Projekt
Januar 5th, 2010 at 16:48
Hi Axel,
danke für den Hinweis. Der Blogsecurity Dienst wird wohl gerade geupdatet, das ist auf deren Webseite zu finden. Danke für den anderen Tipp, da habe ich ein Offline Tool
Januar 8th, 2010 at 16:21
[...] – Wie man Wordpress sicher macht Wordpress ist mit Sicherheit die verbreiteste Blog-Software mit einer riesigen Community. Leider [...]