WordPress Sicherheit

Hinweis: Dieser Artikel ist älter als zwei Jahre (letzte Änderung: 6. Februar 2015) und evtl. nicht mehr aktuell.

Es gibt ja etliche Tipps und Tricks zur WordPress Sicherheit. Leider sind einige Anleitungen auch schon "veraltet" oder recht überfüllt. Also schreiben wir hier mal nieder, was wir momentan für das wichtigste halten um die Sicherheit in WordPress zu erhöhen.

1. Vor der Installation in der wp-config.php den Tabellen Präfix ändern, so dass die Tabellen in der Datenbank schon von Anfang an diesen Präfix bekommen, z.B.
Code:

$table_prefix  = 'xy12z3_';

2. Außerdem ganz wichtig, die 4 Security-Keys und die 4 Salt-Keys in der wp-config.php eintragen. Einen Generator gibt es hier z.B. https://api.wordpress.org/secret-key/1.1/salt/

3. Dann den Admin User unbedingt umbenennen und ein "starkes" Passwort vergeben. Ab WordPress 3 kannst du das schon bei der Installation. Wir empfehlen allerdings immer im nachhinein den User zu ändern, so dass dieser nicht mehr die User-ID #1 in der Datenbank hat. Also sofort nach der Installation einen neuen Usernamen mit Admin-Rechten und "starkem" Passwort anlegen und den alten Admin mit ID1 löschen.
Falls du die ID erst im nachhinein ändern willst, kannst du das z.B. gut über phpMyAdmin machen:

UPDATE wp_users SET ID = replace(ID, '1', '2345');
UPDATE wp_usermeta SET user_id = replace(user_id, '1', '2345');
UPDATE wp_posts SET post_author = replace(post_author, '1', '2345');
UPDATE wp_links SET link_owner = replace(link_owner, '1', '2345');

4. Jetzt noch die wp-config.php über die .htaccess "schützen" und die .htaccess selber auch. Also den Code in die .htaccess:

# Dateien mit . am Anfang sperren
<FilesMatch "^\." >
deny from all
</FilesMatch> 

# protect wp-config.php
<files wp-config.php>
Order deny,allow
deny from all
</files>

5. Um die Anzahl der Fehlversuche beim Login zu beschränken, ist dieses Plugin gut: http://wordpress.org/extend/plugins/limit-login-attempts/

Sergej Müller beschreibt außerdem sehr ausführlich, wie man den WP-Login noch mal extra über die .htaccess absichern kann: Initiative: Mehr Sicherheit für WordPress durch den "Admin"-Schutz

Es gibt noch weitere Plugins für die Sicherheit, folgendes sollte man sich auch mal anschauen: http://wordpress.org/extend/plugins/secure-wordpress/ Dieses verschleiert z.B. die WP-Version, deaktivert die Hinweis- und Fehlermeldung beim Login von WordPress und legt index.html Dateien in verschiedene Ordner um das auslesen zu verhindern.

Aber Achtung: Zu viele Plugins bringen auch wieder viele Schwachstellen und können außerdem das Blog verlangsamen.

So und nun noch abschließende und wichtige Tipps. Halte WordPress, die Plugins und Themes immer aktuell. Also immer Updates! Und noch eins, mache regelmäßig Backups vom wp-content Ordner und - noch viel wichtiger - von der Datenbank.

Empfehle uns: email facebook google plus twitter

Artikel Informationen

  • Erstellt am Freitag, 12. November 2010 um 21:58 (Letzte Änderungen 6. Februar 2015, 11:12) und abgelegt unter WordPress mit den Tags: , , ,
  • Kommentare zu diesen Eintrag im Kommentar Feed Feed.
  • Du kannst einen Kommentar hinterlassen. Pingback ist im Augenblick nicht erlaubt.

2
Hinterlasse einen Kommentar

1 Comment threads
1 Thread replies
0 Followers
 
Most reacted comment
Hottest comment thread
2 Comment authors
  Abonnieren  
neuste älteste beste Bewertung
Benachrichtige mich zu:
Kira

Wozu das soll gut sein?
Es ist doch unnötig wp-config.php zu speren, es verursach doch keine ausgabe?

maxe

Wenn mal PHP auf dem Server ausfallen sollte, dann wäre die wp-config.php im Klartext zu lesen. Fatal!