Hauptmenü
Partner

InternetX
SSL Secured By Let's Encrypt
Start FAQ Wie kann ich mein WordPress vor Angriffen schützen?

Wie kann ich mein WordPress vor Angriffen schützen?

PDF | Drucken | E-Mail
Benutzerbewertung: / 18
SchwachPerfekt 

Leider kommt es immer wieder vor, dass beliebte CMS wie Wordpress von Hackern erfolgreich angegriffen und gehackt werden. Somit stellt sich die Frage, wie man die Installation sinnvoll gegen solche Angriffe schützen kann. Der folgende Artikel wurde auf Grundlage folgender Originalquelle zusammengestellt: http://www.afoma.de/artikel/sicher-ist-wordpress-blog-hacker-angriffe-wp-blogs

Leider kann es keinen 100%igen Schutz für einen WordPress-Blog geben, da es zu viele Möglichkeiten des Angriffs gibt. Daher können alle Schutzmaßnahmen nur darauf abzielen die Installation so zu schützen, dass ein Angriff sehr zeitintensiv ist, in der Hoffnung, dass sich der Angreifer ein einfacheres Ziel sucht.

Was sollten Sie nun konkret tun, um Ihr Wordpress sicherer zu machen.

1. Standard-Benutzer admin umbenennen und nach der Installation löschen

Schon bei der Installation von WordPress sollten Sie den Standard-Benutzernamen admin umbenennen. Nach erfolgreicher Installation sollten Sie diesen Benutzer zudem löschen, siehe nächster Punkt.

2. Änderung der Benutzer-ID (UserID) des Administrations-Benutzers

Die UserID des ersten Benutzers, der vom System angelegt wird, erhält die UserID 1 und ist zunächst der Benutzer mit Administrationsrechten. Daher ist dies ein logischer Angriffspunkt für Hacker. Löschen Sie daher diesen ersten Benutzer, legen Sie einige weitere neue Benutzer an - auch wenn Sie diese nicht benötigen - und legen Sie den Benutzer mit Administrator-Rechten erst als vierten oder fünften an.

3. Ändern Sie bei der Installation den Tabellen-Präfix

Ändern Sie bei der Installation den Tabellen-Präfix. Auch wenn der Nutzen umstritten ist dürfte jede Abweichung von den Standard-Einstellungen die Sicherheit erhöhen.

4. Verwenden Sie kryptische Benutzernamen und starke Passwörter

Benutzern Sie immer kryptsiche Benutzernamen, dabei darf durchaus einer Systematik gefolgt werden. Besser als ein Benutzername MMustermann oder HMeier sind Benutzernamen M#Mustermann, H#Meier oder Mustermann#M#0815 u.s.w. Nutzen Sie immer starke Passwörter. Ein starkes Passwort sollte immer aus Buchstaben (Groß- und Kleinschreibung), Zahlen und Sonderzeichen bestehen und wenigstens 8 Zeichen lang sein, besser länger. Verwenden Sie keine Passwörter, die in einem Wörterbuch zu finden sind. ein gutes Passwort wäre GerkR+112zzHLes?ssWqqQX.

5. Schützen Sie die Anmelde-Seite von WordPress.

Anmelde-Seite zum internen WordPress-Bereich sollte unbedingt geschützt werden. Die wohl wirksamste Methode ist die Einrichtung eines Verzeichnissschutzes auf das Verzeichnis wp-admin.

6. Anzahl der Anmeldeversuche beschränken

Installieren Sie Plugins zur Beschränkung der Anzahl der Anmeldeversuche. Gute kostenlose Plugins wären z.B:  Login LockDown und Limit Login Attempts. Diese loggen alle gestarteten Login-Versuche und sind in der Lage, bei einer bestimmten Anzahl von Fehlversuchen für eine definierte Sperrzeit den entsprechenden Benutzer vom Login auszuschließen.

7. WordPress aktuell halten - regelmässige Updates

Dies ist eine der einfachsten und wirkungsvollsten Schutzmaßnahmen. Halten Sie WordPress selbst und auch alle PlugIns bzw. Themes immer auf dem aktuellsten Stand. Updates schließen erkannte Sicherheitslücken was immer zu einer Erhöhung der Sicherheit führt.

8. Ballast entfernen

Installieren Sie grundsätzlich nur die PlugIns und Themes, die sie tatsächlich benötigen. Entfernen Sie nicht genutzten Ballast. Alle nicht verwendeten PlugIns und Themes sollten gelöscht werden.

9. Die wichtigsten Dateien schützen

Wichtige Dateien wie zB wp-config.php oder .htaccess sollten vor Zugriff von außen geschützt werden. Sergej Müller hat in seinem Beitrag http://playground.ebiene.de/adminbereich-in-wordpress-schuetzen Möglichkeiten aufgezeigt. Prüfen Sie auch die Rechte für Dateien und Ordner. Z.B. zeigt das PlugIn BulletProof Security an, für welche Dateien und Ordner zu weitreichende Rechte aktiviert sind.

10. Backup der WordPress-Daten und Datenbank

Für den Fall des Falles kann sich eine richtige Backup-Strategie als finaler Rettungsanker für Ihre Installation erweisen, damit Sie im Notfall Ihren WordPress-Blog wieder herstellen können. Die WordPress-Datenbank sollten Sie täglich, die WordPress-Daten mindestens wöchentlich sichern.

  
 

Design by IT-Service Kretzschmar. © 2010. Alle Rechte vorbehalten.

Diese Webseite verwendet ein
Session-Cookie.

Dabei handelt es sich um ein technisch notwendiges Cookie. Dieses wird ausschließlich gesetzt, wenn Sie sich als Benutzer mit Ihren Zugangsdaten auf unserer Seite einloggen oder als neuer Benutzer registrieren. Durch das Einloggen oder die Registrierung auf der Webseite stimmen Sie der Verwendung dieses Cookies zu.

Durch Anklicken des Buttons "Ich habe verstanden" wird ebenfalls ein Cookie gesetzt, um zu erkennen, dass Ihnen dieser Cookie-Hinweis nicht mehr angezeigt werden muß.

Weitere Informationen zu Cookies erhalten Sie in unserer Datenschutzerklärung.