Es gibt ja etliche Tipps und Tricks zur WordPress Sicherheit. Leider sind einige Anleitungen auch schon "veraltet" oder recht überfüllt. Also schreiben wir hier mal nieder, was wir momentan für das wichtigste halten um die Sicherheit in WordPress zu erhöhen.
1. Vor der Installation in der wp-config.php den Tabellen Präfix ändern, so dass die Tabellen in der Datenbank schon von Anfang an diesen Präfix bekommen, z.B.
Code:
$table_prefix = 'xy12z3_';
2. Außerdem ganz wichtig, die 4 Security-Keys und die 4 Salt-Keys in der wp-config.php eintragen. Einen Generator gibt es hier z.B. https://api.wordpress.org/secret-key/1.1/salt/
3. Dann den Admin User unbedingt umbenennen und ein "starkes" Passwort vergeben. Ab WordPress 3 kannst du das schon bei der Installation. Wir empfehlen allerdings immer im nachhinein den User zu ändern, so dass dieser nicht mehr die User-ID #1 in der Datenbank hat. Also sofort nach der Installation einen neuen Usernamen mit Admin-Rechten und "starkem" Passwort anlegen und den alten Admin mit ID1 löschen.
Falls du die ID erst im nachhinein ändern willst, kannst du das z.B. gut über phpMyAdmin machen:
UPDATE wp_users SET ID = replace(ID, '1', '2345');
UPDATE wp_usermeta SET user_id = replace(user_id, '1', '2345');
UPDATE wp_posts SET post_author = replace(post_author, '1', '2345');
UPDATE wp_links SET link_owner = replace(link_owner, '1', '2345');
4. Jetzt noch die wp-config.php über die .htaccess "schützen" und die .htaccess selber auch. Also den Code in die .htaccess:
# Dateien mit . am Anfang sperren
<FilesMatch "^\." >
deny from all
</FilesMatch>
# protect wp-config.php
<files wp-config.php>
Order deny,allow
deny from all
</files>
5. Um die Anzahl der Fehlversuche beim Login zu beschränken, ist dieses Plugin gut: http://wordpress.org/extend/plugins/limit-login-attempts/
Sergej Müller beschreibt außerdem sehr ausführlich, wie man den WP-Login noch mal extra über die .htaccess absichern kann: Initiative: Mehr Sicherheit für WordPress durch den "Admin"-Schutz
Es gibt noch weitere Plugins für die Sicherheit, folgendes sollte man sich auch mal anschauen: http://wordpress.org/extend/plugins/secure-wordpress/ Dieses verschleiert z.B. die WP-Version, deaktivert die Hinweis- und Fehlermeldung beim Login von WordPress und legt index.html Dateien in verschiedene Ordner um das auslesen zu verhindern.
Aber Achtung: Zu viele Plugins bringen auch wieder viele Schwachstellen und können außerdem das Blog verlangsamen.
So und nun noch abschließende und wichtige Tipps. Halte WordPress, die Plugins und Themes immer aktuell. Also immer Updates! Und noch eins, mache regelmäßig Backups vom wp-content Ordner und - noch viel wichtiger - von der Datenbank.
Wozu das soll gut sein?
Es ist doch unnötig wp-config.php zu speren, es verursach doch keine ausgabe?
Wenn mal PHP auf dem Server ausfallen sollte, dann wäre die wp-config.php im Klartext zu lesen. Fatal!