WordPress Sicherheit: 5 einfache Tipps und Plugins zum Schutz des eigenen Blogs

Ein sehr wichtiges Thema bei WordPress Installationen ist das Thema Sicherheit. Schließlich ist WordPress das weltweit am meisten eingesetzte CMS und entsprechend ein beliebtes Ziel von Attacken. Welche einfachen Schutzmaßnahmen man als Blogger ergreifen kann, zeige ich mit den folgenden Tipps:

1. Den User „admin“ löschen

Bei den meisten unerlaubten Loginversuchen wird der User „admin“ attackiert. Der Hintergrund ist naheliegend, bei der Installation von WordPress wird automatisch ein neuer User „admin“ angelegt der alle Rechte besitzt und von den meisten einfach weitergenutzt wird. Daher sollte man diesen löschen. Dann muss der Angreifer sowohl Passwort als auch Benutzername erraten, wobei man natürlich auch ein möglichst starkes Passwort verwenden sollte.

admin

Tipp: Man sollte einen zusätzlichen Administrator mit neuem Namen anlegen (z.B. adminxyr). Der neue Administrator sollte niemals in der Öffentlichkeit sichtbar sein (keine Blogbeiträge mit diesem User verfassen!). Für die redaktionelle Tätigkeit sollte man einen weiteren Benutzer anlegen der nur Autorenrechte besitzt. Um den alten „Admin“ zu löschen bzw. dessen Rechte zu entziehen, muss man sich mit dem neuen Admin einloggen.

2. Loginversuche beschränken


Das es unerlaubte Loginversuche gibt (wie im Screenshot bei Punkt 1.), werden die meisten überhaupt nicht mitkriegen. Mit dem schönen Plugin „Limit Login Attempts“ kann man die Loginversuche beschränken und erhält zudem Meldungen bei unerlaubten Versuchen. Nach z.B. 4 erfolglosen Versuchen wird der User / die IP für eine Stunde gesperrt. Versucht er es nach einer Stunde erneut viermal erfolglos, folgt gleich eine Sperre für 24 Stunden.

3. Doppelter Schutz via .htaccess

Doppelter Schutz hält besser. Zusätzlich kann man einen .htaccess Verzeichnisschutz für die Login Datei wp-login.php einrichten. D.h. um überhaupt zum Loginformular zu gelangen, muss eine erste Hürde überwunden werden.

authentifizierung

Hierfür werden 2 Dateien .htpasswd und .htaccess benötigt. Letztere wird bei den meisten schon vorhanden sein.

.htpasswd
Man muss eine .htpasswd Datei anlegen und auf dem Server abspeichern. Hierfür verwendet man am besten einen Generator wie http://www.htpasswdgenerator.de/

.htaccess
Der folgende Code muss in der .htaccess abgespeichert werden (Dateipfad zur htpasswrd anpassen):

# Auth protect wp-login.php

AuthName “Restricted Admin-Area”
AuthType Basic
AuthUserFile /DATEIPFAD-ZUR-HTPASSWD-DATEI/.htpasswd
Require valid-user

# Deny access to important files

Order deny,allow
Deny from all

4. Immer die aktuellste WordPress Version verwenden

Zum Glück ist ein Update auf die neueste Version heutzutage schnell gemacht. Also regelmäßig updaten und vorab natürlich nicht das obligatorische Backup vergessen! Nicht nur WordPress, sondern auch die Plugins sollte man regelmäßig updaten.

5. Themes Prüfen

Mit diversen Security Plugins wie AntiVirus kann das WordPress Theme nach Schadcode untersucht werden.

Hast du weitere Tipps zur WordPress Sicherheit?

Tags: , ,

No comments yet.

Leave a Reply