WordPress Sicherheit – Top10: Admin-Einstellungen, Datenbankpräfix, Versions-Aktualität, SSL und .htaccess. All diese Sicherheits-Vorkehrungen werden umso wichtiger, je mehr Traffic man hat.
10 Tipps für Ihre WordPress Sicherheit
Denn je mehr Traffic man hat, desto mehr muss man Hacker abwehren. Das hört sich schlimm an, wird aber ungefährlich, wenn man die folgenden Einstellungen trifft und immer wieder aktualisiert.
WordPress Sicherheit #1: Admin-Benutzername
Schon bei der Installation sollte man hier den Benutzernamen von Admin in einen anderen verändern. Aus Sicht eines Hackers bestehen hier drei Angriffpunkte: ID, Benutzername und Passwort. Also sollte man auch gleichzeitig ein sicheres Passwort wählen und nach der Anmeldung der ersten Benutzer einen neuen Admin erstellen, damit dieser nicht die ID 1 hat. Ein absolutes DON’T ist als Benutzernamen Admin zu vergeben.
WordPress Sicherheit #2 – Datenbank-Präfix ändern
Ein weiterer Schritt, der bereits bei der Erstinstallation erfolgt, ist die Änderung des Datenbank-Präfixes. Das geschieht spätestens bei Anlage der WordPress-Config-Datei: wp-config.php. Nachdem man dort alle Sicherheitsangaben gemacht hat, findet man etwas weiter unten die Möglichkeit den Präfix abzuändern. Das hat nicht nur sicherheitstechnische Vorteile sondern führt auch dazu, dass man in derselben Datenbank mehrere WordPress-Installationen mit verschiedenem Präfix installieren kann.
WordPress Sicherheit #3 – Passwörter
Einmal abgesehen davon, dass man die Passwörter regelmäßig ändern sollte, muss man sichere Passwörter wählen. Das bedeutet, dass man keine Wörter aus Wörterbüchern, keine Namen und keine reinen Zahlenkombinationen. Man sollte mindestens 8 Zeichen wählen, die aus Buchstaben, Zahlen und Sonderzeichen bestehen. Diese kann man sich randomisiert über einen Offline-Passwort-Generator erstellen lassen.
WordPress Sicherheit #4 – Admin und Autor unterscheiden
Beim Schreiben von Artikeln sollte man nie unter seinem Admin-Namen schreiben. Man legt also einen weiteren Autor mit möglichst wenig Rechten an, den man dann beim Schreiben des Artikels im Backend auswählen kann. Das macht unter anderem deshalb, weil WordPress mit Mouseover-Effekt den Benutzernamen anzeigt, auch wenn man ihn wie oben beschrieben verändert hat.
WordPress Sicherheit #5 – SSL
Man sollte ein Login über SSL einführen, da ein Hacker sonst Anmeldeinformationen sehen könnte. Wenn man später einen Shop betreiben möchte, braucht sowieso SSL. Also kann man sich auch von Anfang an darum kümmern und von SSL-Sicherheitsvorteilen profitieren. Professionelle Provider bieten SSL in ihren Tarifen an. Man aktiviert mod_rewrite und erzeugt dann mit der .htaccess-Datei eine Weiterleitung zum SSL-Login:
# Weiterleitung zum SSL-Login
RewriteEngine on
RewriteRule admin$ https://ssl-proxy-adresse/wp-login.php
WordPress Sicherheit #6 – Config-Datei und Admin-Bereich sichern
Bestimmte Dateien werden nur von WordPress benutzt. Andere sollten keinen Zugriff auf diese Daten haben. Besonders sicher sollte die Datei wp-config.php sein, denn darin liegen alle Zugangsdaten. Über die .htaccess-Datei wird die wp-config.php gesichert, indem man das folgende dort hineinschreibt:
# Zugriffsschutz wp-config.php
Order deny,allow
deny from all
WordPress Sicherheit #7 – Regelmäßige Aktualisierungen
Ab dem Moment, wo eine neue WordPress-Version herauskommt, versuchen Hacker Sicherheitslücken zu finden. Je mehr Zeit man ihnen gibt, desto gefährlicher wird es. Daher sollte man seine WordPress-Installation immer auf dem neuesten Stand haben.
WordPress Sicherheit #8 – Plugins
Bevor man ein Plugin installiert, sollte man im Plugin-Forum von WordPress schauen, ob es Sicherheitsbedenken gibt. Nach der Installation sollte man darauf achten, dass man das Plugin immer wieder aktualisiert. Prinzipiell ist man sicherer, wenn man weniger Plugins betreibt. Außerdem wird die Website dadurch schneller.
WordPress Sicherheit #9 – Spam Registrierungen
Man sollte durch Captcha Spam-Registrierungen vermeiden, bzw. wenn sie dann doch vorkommen regelmäßig löschen. Die Gefahr besteht hier darin, dass man irgendwann bei der Veränderung von Rechten der Mitglieder, ungewollt Rechte an Spammer vergibt, indem man en bloque Rechte verändert.
WordPress Sicherheit #10 – Was ist dein Top-Tipp?
Welche Erfahrungen hast Du gemacht? Hast Du noch weitere Sicherheitsvorkehrungen, die Du triffst und die in der WordPress Sicherheit Top10 auftauchen sollen?
Der Beitrag WordPress Sicherheit – 10 wichtige Tipps! erschien zuerst auf Wolf of SEO.
from Wolf of SEO https://wolf-of-seo.de/blog/10-wordpress-sicherheit-tipps/
Keine Kommentare:
Kommentar veröffentlichen