David Damjanovic

20 Tipps: WordPress sicherer machen

/in /von

WordPress wird immer populärer und somit auch immer interessanter für Cyberkriminelle: WordPress kann wie jedes andere Content Management System von Malware befallen und für dunkle Machenschaften genutzt werden. Immer wieder hört man von verseuchten Websites – in den meisten Fällen hätte das aber vermieden werden können!

In diesem Artikel finden Sie die wichtigsten Tipps für normale Nutzer und zusätzliche Tipps für Fortgeschrittene.

Computer virenfrei halten

Es gibt Malware, die FTP- und andere Zugangsdaten ausspähen und Installationen verseuchen kann. Nutzen Sie einen guten Scanner.

sicheres Passwort nutzen

Bitte nicht „passwort“ oder „123456“ für die Installation verwenden! Je komplizierter, desto besser.

WordPress aktualisieren

Immer wieder werden Sicherheitslücken gefunden und gestopft. Halten Sie Ihre WordPress-Version aktuell.

vertrauenswürdige Plugins nutzen

Installieren Sie nur vertrauenswürdige Plugins. Wer alle möglichen Plugins installiert und ausprobiert, geht ein hohes Risiko ein.

Plugins aktualisieren

Auch Plugins können Sicherheitslücken beinhalten. Halten Sie Ihre Plugins aktuell.

ungenutzte Plugins löschen

Sie haben massenweise deaktivierte Plugins in Ihrer Installation? Wichtig: nicht nur deaktivieren, sondern löschen.

vertrauenswürdiges Theme nutzen

Laden Sie Themes nicht irgendwo herunter. Nicht selten wird Malware von Cyberkriminellen direkt im Theme integriert.

Theme aktualisieren

Für Themes gibt es im Gegensatz zu WordPress und Plugins keine automatische Update-Funktion. Halten Sie Ihr Theme trotzdem aktuell. Informieren Sie sich, ob es Updates gibt. In den Changelogs sehen Sie, welche Dateien geändert wurden und ggf. auszutauschen sind.

ungenutzte Themes löschen

Auch nicht aktivierte Themes können problematisch sein.

Das sind die elementarsten Punkte. Mehr muss nicht, aber kann.

für Fortgeschrittene:

User-Name ändern

Der häufigste User-Name ist „Admin“. So braucht man nur noch das Passwort zu knacken. Legen Sie im Dashboard einen neuen User unter „Benutzer“ an und löschen Sie „Admin“. WordPress erlaubt beim Löschen eines Users die Übernahme aller Daten auf einen anderen User.

User-ID ändern

Die Standard-IDs 1 und 2 werden am ehesten von Hackern genutzt. Ändern Sie die user_id in den Datenbank-Tabellen „_users“ und „_usermeta“. Dies ist auch mit dem Plugin Search and Replace möglich.

WordPress-Logins reduzieren

Löschen Sie unbenötigte User im Dashboard – auch die sind ein Sicherheitsrisiko.

Login auf wp-admin einschränken

Mit dem Plugin Login Lockdown lassen sich einfach Login-Versuche einschränken. So wird es unmöglich, die Login-Seite mit unzähligen Passwörtern zuzubomben.

wp-config.php schützen

In der wp-config.php sind u.a. Datenbank-Zugangsdaten gespeichert, diese Datei sollte man besonders schützen. Das ist über die .htaccess im Root-Verzeichnis möglich.

Plugin-Verzeichnis schützen

Kopieren Sie eine leere index.html in das Plugin-Verzeichnis /wp-content/plugins/, um das Verzeichnis zu schützen.

WordPress-Version verschleiern

Wenn Sie die WordPress-Version verschleiern möchten, löschen Sie in der header.php des Themes den Tag meta name=“generator“. Dies verschleiert aber nicht alles und kann auch Probleme bereiten. Nützlich ist das Plugin Replace WP-Version.

FTP-Rechte kontrollieren

Achten Sie darauf, dass die Rechte nie höher sind als nötig.

Das könnte Sie auch interessieren
Plugin-Tipps: diese Plugins sind für jede WordPress-Installation empfehlenswert
aktuell: Hack-Welle, unter anderem Weiterleitungen auf unseriöse Seiten
Sicherheit: Updates empfohlen
Sicherheit: Aktualisierungen, Ausmisten und Schutz empfohlen, aktuell Häufung von Attacken
Sicherheit bei WordPress: automatische Updates (auch für Plugins und Themes)
Fragen & Antworten zu WordPress-Updates und Sicherheit
0 Kommentare

Ihr Kommentar

An Diskussion beteiligen?
Hinterlassen Sie uns Ihren Kommentar!

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert