Wie man WordPress sicherer macht

Ich weiß nicht, aber irgendwie habe ich den Verdacht, dass mich irgendjemand nicht mag (So ist das Leben 😉 ). Schon wieder wurde eines meiner Projekte gehackt, welches mit WordPress läuft. Kann aber auch sein, dass es einfach Gang und Gebe wird, wahllos WordPress-Blogs zu hacken. Deshalb habe ich mal wieder einen Work-Around gemacht um die Sicherheit meiner Blogs zu erhöhen. Bei fast 100 Projekten ist das ganz schön nervig, aber was solls… Aber ansonsten liebe ich WordPress und lege es jedem wärmstens ans Herz. 😉

Hier also meine Tipps, weitere gibt es noch hier (klasse!), hier(danke!) und hier.

  • Beim Installieren sollte man den Präfix der Tabellen wp_ ändern auf „projekt_xy“.
  • Nach der Installation einloggen und den Admin löschen, nachdem man einen neuen Administrator angelegt hat. Dieser heisst dann nicht mehr „admin“, sondern „hanshugomaier“ (z.B.). Das Passwort heisst natürlich nicht wie der eigene Hund 😉
  • Nach der Installation die install.php und upgrade.php löschen
  • Das Login-Verzeichnis /wp-admin/ wird per .htaccess nochmals geschützt.
  • Schaue dir das verwendete Theme genau an – der php-Quellcode zeigt einiges, was wohin verschickt wird.
  • Das Plugin „Antivirus“ checkt das Theme auf Lücken. Der Online Scanner von Blogsecurity zeigt noch mehr Sicherheitslücken.
  • Installiere stets die aktuelle WP-Version, zumindest das letzte Sicherheitsupdate. Das letzte war 2.8.6. bevor die neue Version 2.9. veröffentlicht wurde. Das geht über die automatische Update Funktion schneller als per FTP. Ebenso gibt es einige Plugins, die das erledigen.
  • Per robots.txt schließt man alle internen Verzeichnisse aus, also z.b. Disallow: /wp- . Außerdem gehört auch nirgends ein „Login“-Link in den Footer oder in die Sidebar
  • Im Header pappt WP immer die aktuelle Version – benützt man eine ältere, wissen die A****ähm Häcker, wo sie ansetzen müssen. Also raus mit dieser Zeile aus dem Header.
  • Eine leere Index-php kommt in alle wichtigen internen Verzeichnisse. Zeitaufwändig, aber sinnvoll.

Das reicht zunächst für eine weitere Stunde Arbeit. Hacker haben es somit schwerer ein Loch im System zu finden.

Über Nils "Gnomad"

Hallo, mein Name ist Nils Römeling. Von Januar 2009 bis 2011 war ich auf Weltreise - 34 Länder! Mit dabei: Laptop, Kamera und eine Menge Webseiten. Heute arbeite ich als Vollzeitaffiliate in Augsburg.
Dieser Beitrag wurde unter Wordpress veröffentlicht. Setze ein Lesezeichen auf den Permalink.

5 Responses to Wie man WordPress sicherer macht

  1. Elite Forum sagt:

    Sehr gute Tipps, das werde ich wohl anlinken müssen ;-).

  2. Autoschieber sagt:

    Du wirst irgend ein Plugin oder Footprint haben was hacker anzieht. Lohnt sich bei Projekten wo lange nix geändert wurde nicht eine Umstellung auf HTML?

  3. Autoschieber sagt:

    Der Link zum scanner blogsecurity zeigt 404. Wenn du nächstes mal eine Leitung zur verfügung hast lass mal einen 404 link checker über die seiten laufen http://usability-now.com/tools/link-checker/ die Erfahrungen dazu könntest du ja gleich in einen Post mit Backlink verarbeiten 😉
    Das Plugin Mail on Comment könnte auch auf dein Projekt 😉

  4. 2008weltreisen sagt:

    Hi Axel,
    danke für den Hinweis. Der Blogsecurity Dienst wird wohl gerade geupdatet, das ist auf deren Webseite zu finden. Danke für den anderen Tipp, da habe ich ein Offline Tool 😉

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.