WordPress vor Manipulation schützen

Wordpress absichern

Diese Woche habe ich ja bereits über die verschiedenen Möglichkeiten geschrieben, die einem geboten werden, wenn man sich mit dem Thema WordPress & Sicherheit auseinandersetzen möchte. Wie auch zum Schluss meines Artikels zu lesen ist, waren das noch nicht alle Maßnahmen, die man treffen kann bzw. sollte, um WordPress und den dazugehörenden Admin-Bereich abzusichern. Daher werde ich in diesem Artikel auf weitere Maßnahmen und Techniken eingehen, die man treffen kann, um WordPress sicherer zu gestalten.

Ist die Internetseite einmal gehackt und die mühselig angesammelten Daten verloren, ist der Frust groß. Man muss die Datenbank neu aufsetzen, vielleicht auch ältere Backups einspielen, die nicht sehr aktuell sind oder muss schlicht und ergreifend bei Null anfangen. Szenarien, die ich niemanden wünsche, die aber leider auftreten können.

Sichereres Webhosting nutzen:

Es gibt zahlreiche Hosting-Anbieter, die für kleines Geld bereits massig Speicherplatz zur Verfügung stellen. Und dann gibt es natürlich auch Anbieter, die kostenlos WordPress und andere Content Management Systeme hosten und sich durch eingeblendete Werbung finanzieren. Ich möchte hier keine Werbung für die eine oder andere Sorte Hoster machen, aber trotzdem einen Anbieter erwähnen, mit dem ich seit Jahren recht gute Erfahrungen gemacht habe. Ja, All-Inkl.com ist zwar kein Billig-Anbieter, aber teuer ist er ebenfalls nicht. E-Mails an den Support werden innerhalb weniger Minuten oder in maximal 2-3 Stunden zufriedenstellend beantwortet. Lösungsansätze bei Problemen mit den gemieteten Produkten, werden innerhalb kürzester Zeit zusammen ausgearbeitet. Wer also noch keinen vernünftigen Webspace-Anbieter hat oder über einen Wechsel nachdenkt, sollte sich ruhig mal die Angebote von All-inkl.com anschauen. Nebenbei möchte ich ach erwähnen, dass Du durch Buchungen über den Partnerlink, uns auch ein wenig finanziell unter die Arme greifst Das ist aber nicht der Grund, warum ich All-Inkl.com empfehle. ;)

Admin-Benutzernamen in URL verbergen:

Im letzten Beitrag zum Thema: „WordPress sicherer gestalten“ bin ich ja bereits auf die Wahl des Benutzernamen, sowie die Wahl des richtigen Passwortes eingegangen. Ich möchte noch einmal erwähnen, dass man mittels entsprechender Technik relativ zügig, das entsprechende Passwort stehlen kann. Sobald der Angreifer also Passwort und Benutzernamen kennt, ist es für ihn ein Kinderspiel, sich Zugriff auf das Admin-Kontrollzentrum zu verschaffen und das System zu manipulieren. Daher sollte man den Benutzernamen, der in den Autor-Adresszeilen angezeigt wird, entsprechend verschleiern.

Wir benötigen dazu jedoch Zugriff auf die SQL-Datenbank unserer WordPress-Installation, da das nachträgliche Ändern des Benutzernamen in WordPress nicht ohne Weiteres möglich ist. Die meisten Hosting-Anbieter bieten dafür Tools wie phpMyAdmin an.

Verbinden wir uns also über phpMyAdmin mit unserer SQL-Datenbank und suchen nach der Tabelle: „wp_users“. Hier sollten wir jedoch beachten, dass der Präfix der Tabelle (wp_) von uns während der Installation von Worpdpress vorgegeben wird und somit auch abweichen kann. Ist also die Tabelle: „wp_users“ ausgewählt, klicken wir nun in der Zeile des betroffenen Benutzers auf „Bearbeiten“. Im folgenden Screenshot habe ich das betroffene Feld rot dargestellt.

Wordpress Benutzer in phpMyAdmin ändern

In unserem Fall müssen wir nun den Eintrag: „user_nicename“ ändern, um den Login-Namen aus der Autoren-Seite (z.Bsp.: http://voo-projekt.de/author/david) zu entfernen. Idealerweise sollten wir hier etwas sinnvolles nehmen und auf Sonderzeichen verzichten, damit die URL auch weiterhin einfach für Suchmaschinen zu indexieren ist.  Im folgenden Screenshot habe ich das betroffene Feld  zur  Sicherheit noch einmal rot dargestellt.

Wordpress Benutzernamen aus Autoren-Seite ändern

Ist der Name einmal geändert, müssen wir nun noch auf: „OK“ klicken, um die Änderungen zu übernehmen. Danach sollten wir noch sicherstellen, dass die alte Autoren-URL von den hiesigen Suchmaschinen nicht mehr dargestellt wird. Übringes: Wir sollten in diesem Feld tunlichst darauf achten, dass keine Leerzeichen im Namen vorkommen, da WordPress die Autorenseite mit dem Fehlercode 404 (Seite nicht gefunden) ausgibt. In diesem Fall sollte das Leerzeichen durch einen Bindestrich ersetzt werden. Wie man einzelne Seiten aus Google entfernen lässt, kannst Du im Google Support nachlesen.

wp_config.php sicherer gestalten:

In dieser Datei werden sensible Daten und Einstellungen gespeichert, die zur Verbindung und für den Umgang mit der Datenbank notwendig sind. Seit der Version 2.6 von WordPress, wird die Nutzung von Sicherheitsschlüsseln (Security Key) angeboten, die auch auf der offiziellen Seite von WordPress generiert werden können.  Diese Schlüssel werden dann von Wordpres anstelle der Sessions genutzt und erschweren potentiellen Angreifern den Einbruch in das WordPress System.

SSL-Verschlüsselung im Admin-Zentrum:

Wenn der Webhosting-Abieter den Einsatz von SSL – Verschlüsselung unterstützt, sollten wir den Administrator-Bereich entsprechend verschlüsseln. Hierfür genügt es, wenn wir folgenden Code an folgender Stelle einfügen. Suche nach:

/* That's all, stop editing! Happy blogging. */

und füge darüber folgenden Code ein:

define('FORCE_SSL_LOGIN', true);

Speichern wir nun also die Datei und laden Sie erneut mit dem FTP-Programm hoch. Gegebenenfalls muss SSL erst beim jeweiligen Webhoster aktiviert werden. Normalerweise bietet der Support da entsprechend Hilfestellung.

Auslagern bzw. verschieben der Datei: wp_config.php:


Standardmäßig befindet sich die Datei: „wp_config.php“ im gleichen Verzeichnis der WordPress-Installation. Doch seit WordPress 2.6 kann man durch einfaches Verschieben der Datei, die Datei vor potentiellen Angreifern „verstecken“. Befindet sich die Datei beispielsweise auf: ./root/html/domain.tld/wordpress/wp_config.php, kann die Datei in das übergeordnete Verzeichnis verschoben werden.  Das würde dann in unserem Beispiel so aussehen:./root/html/domain.tld/wp_config.php.

Ist die Datei einmal verschoben, bietet es sich an, die Datei noch zu schützen. Dies kann man mit einer .htaccess-Datei machen., in der folgende Zeilen eingefügt werden müssen:

<files wp-config.php>
Order deny,allow
deny from all
</files>
Falls die Datei wp_config.php nicht verschoben wurde, muss die existierende .htaccess-Datei entsprechend angepasst werden.  Je nach FTP-Programm kann es sein, dass HTACCESS-Dateien nicht angezeigt werden. Diese versteckten Dateien kann man sich aber in der Regel in jedem guten FTP-Programm anzeigen lassen.
Schreib- und Leserechte der Verzeichnisse und Dateien:
Falsch gesetzte CHMOD-Rechte können ebenfalls ein Sicherheitsrisiko darstellen. Daher ist es empfehlenswert die von WordPress empfohlenen Rechte zu nutzen. Es kann natürlich sein, dass nachträglich installierte Plugins und Themes andere Rechte benötigen, als von WordPress vorgeschlagen. Aber generell gilt es folgende Rechte zu setzen:
  • Verzeichnisse: CHMOD 755
  • Dateien: CHMOD 644

Wer mehr über die verschiedenen Rechte und ihre Folgen erfahren möchte, sollte sich einmal die englischsprachige Seite von askapache.com anschauen.

 Directory Listing vermeiden:

Als „directory listing“ bezeichnet man das Auflisten der Dateien und Verzeichnisse in einzelnen Verzeichnissen der WordPress-Installation. Ruft man beispielsweise die Domain auf und gibt hinter der Domain den Namen eines Verzeichnisses an, kann es passieren, dass der Webhoster den Server so eingestellt hat, dass die Inhalte sichtbar sind.Ruft man beispielsweise die Domain wie folgt auf: www.domain.tld/wp-includes, kann es passieren dass der Inhalt dieses Verzeichnisses für jeden ersichtlich ist.

Meiner Meinung nach ist jeder gute Server so eingestellt, dass dieses Auflisten seitens Serverkonfiguration deaktiviert ist.  Falls das nicht der Fall ist, kann man in die Haupt- und Unterverzeichnisse eine leere HTML-Datei legen, die beim Auflisten automatisch angezeigt wird und das Auflisten der Dateien und Verzeichnisse somit unmöglich macht. Man muss jedoch darauf achten, dass die HTML-Datei den Namen index.html oder index.htm trägt.

Das war es erst einmal von meiner Seite. Falls Du mit der Umsetzung dieser Anleitung zum Thema Worpdress-Sicherheit nicht zurecht kommst oder auch Verbesserungsvorschläge hast, kannst Du Dich gerne bei uns melden. Nutze dazu einfach die Kommentar-Funktion. ;)

GD Star Rating
loading...
WordPress vor Manipulation schützen, 5.0 out of 5 based on 4 ratings
0 Antworten

Hinterlassen Sie einen Kommentar

Wollen Sie an der Diskussion teilnehmen?
Feel free to contribute!

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *