20 Tipps: WordPress sicherer machen

WordPress wird immer populärer und somit auch immer interessanter für Cyberkriminelle: WordPress kann wie jedes andere Content-Management-System von Malware befallen und für dunkle Machenschaften genutzt werden. Immer wieder hört man von verseuchten Websites – in den meisten Fällen hätte das aber vermieden werden können!

In diesem Artikel finden Sie die wichtigsten Tipps für normale Nutzer und zusätzliche Tipps für Fortgeschrittene.

Computer virenfrei halten

Es gibt Malware, die FTP- und andere Zugangsdaten ausspähen und Installationen verseuchen kann. Nutzen Sie einen guten Scanner.

sicheres Passwort nutzen

Bitte nicht „passwort“ oder „123456“ für die Installation verwenden! Je komplizierter, desto besser.

WordPress aktualisieren

Immer wieder werden Sicherheitslücken gefunden und gestopft. Halten Sie Ihre WordPress-Version aktuell.

vertrauenswürdige Plugins nutzen

Installieren Sie nur vertrauenswürdige Plugins. Wer alle möglichen Plugins installiert und ausprobiert, geht ein hohes Risiko ein.

Plugins aktualisieren

Auch Plugins können Sicherheitslücken beinhalten. Halten Sie Ihre Plugins aktuell.

ungenutzte Plugins löschen

Sie haben massenweise deaktivierte Plugins in Ihrer Installation? Wichtig: nicht nur deaktivieren, sondern löschen.

vertrauenswürdiges Theme nutzen

Laden Sie Themes nicht irgendwo herunter. Nicht selten wird Malware von Cyberkriminellen direkt im Theme integriert.

Theme aktualisieren

Für Themes gibt es im Gegensatz zu WordPress und Plugins keine automatische Update-Funktion. Halten Sie Ihr Theme trotzdem aktuell. Informieren Sie sich, ob es Updates gibt. In den Changelogs sehen Sie, welche Dateien geändert wurden und ggf. auszutauschen sind.

ungenutzte Themes löschen

Auch nicht aktivierte Themes können problematisch sein.

Das sind die elementarsten Punkte. Mehr muss nicht, aber kann.

für Fortgeschrittene:

User-Name ändern

Der häufigste User-Name ist „Admin“. So braucht man nur noch das Passwort zu knacken. Legen Sie im Dashboard einen neuen User unter „Benutzer“ an und löschen Sie „Admin“. WordPress erlaubt beim Löschen eines Users die Übernahme aller Daten auf einen anderen User.

User-ID ändern

Die Standard-IDs 1 und 2 werden am ehesten von Hackern genutzt. Ändern Sie die user_id in den Datenbank-Tabellen „_users“ und „_usermeta“. Dies ist auch mit dem Plugin Search and Replace möglich.

WordPress-Logins reduzieren

Löschen Sie unbenötigte User im Dashboard – auch die sind ein Sicherheitsrisiko.

Login auf wp-admin einschränken

Mit dem Plugin Login Lockdown lassen sich einfach Login-Versuche einschränken. So wird es unmöglich, die Login-Seite mit unzähligen Passwörtern zuzubomben.

wp-config.php schützen

In der wp-config.php sind u.a. Datenbank-Zugangsdaten gespeichert, diese Datei sollte man besonders schützen. Das ist über die .htaccess im Root-Verzeichnis möglich.

Plugin-Verzeichnis schützen

Kopieren Sie eine leere index.html in das Plugin-Verzeichnis /wp-content/plugins/, um das Verzeichnis zu schützen.

Tabellen-Präfix ändern

Der in der wp-config.php hinterlegte Standard-Tabellen-Präfix von WordPress ist „wp_“, Hacker wissen das natürlich. Dieser Präfix kann mit dem Plugin WP Prefix Table Changer einfach geändert werden.

WordPress-Version verschleiern

Wenn Sie die WordPress-Version verschleiern möchten, löschen Sie in der header.php des Themes den Tag meta name=“generator“. Dies verschleiert aber nicht alles und kann auch Probleme bereiten. Nützlich ist das Plugin Replace WP-Version.

FTP-Rechte kontrollieren

Achten Sie darauf, dass die Rechte nie höher sind als nötig.

0 Antworten

Hinterlassen Sie einen Kommentar

Wollen Sie an der Diskussion teilnehmen?
Feel free to contribute!

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.