10 Sicherheits-Tipps für WordPress-Seiten
Mit ein paar einfachen Handgriffen kann man eine WordPress-Seite gegen Hacker-Angriffe schützen. Am besten beginnt man damit gleich bei der Installation.
1. Den WordPress-Ordner umbenennen
Lädt man WordPress als zip-File per FTP auf den Server, findet man nach dem Entpacken ein Verzeichnis namens wordpress vor. Da dieses Verzeichnis immer so heisst, kennen auch alle Scriptkids diesen Namen. Deshalb solltet Ihr das Verzeichnis umbenennen.
2. Das Datenbank-Präfix ändern
Dasselbe gilt für das Datenbank-Präfix. Hier gibt WordPress bei der Installation das Präfix wp_ an. Auch das ist so ein Wert, der immer gleich und daher gut bekannt ist. Es kann nicht schaden, das Präfix abzuändern. Je kreativer, desto besser: meinprimapraefix_.
3. Der Admin-Name
WordPress vergibt automatisch den Namen admin für den Account desjenigen, der die Installation vornimmt. Nachdem WordPress fertig installiert ist, solltet Ihr Euch deshalb einen neuen Administrator-Account anlegen und das Standard-Konto admin löschen.So müssten Hacker nicht nur das Passwort, sondern auch den Usernamen knacken.
4. Die wp-config schützen
Mit ein paar wenigen Zeilen Code in der .htaccess-Datei kann man die wp-config.php gegen unbefugte Zugriffe schützen. Achtung: wp-config.php und .htaccess müssen dazu im selben Ordner bzw. auf derselben Ebene liegen.[code]# wp-config.php schützenorder allow,denydeny from all[/code]
5. Ungenutzte Themes vom Server löschen
Das ist eine Regel, die ich selbst immer gern vergesse: Auch Themes, die nicht aktiv sind, können ein Einfallstor für Schadsoftware sein. Also: Am besten alle Themes löschen, die man nicht mehr braucht.
6. Nur PlugIns nutzen, die regelmäßig aktualisiert werden
Manchmal findet man PlugIns, die schon ein bisschen älter sind und seit einer Weile nicht mehr gepflegt werden. Solche PlugIns zu installieren ist nicht ohne Risiko, denn sie können undichte Stellen enthalten. Selbst wenn die Lücken bekannt sind und an allen anderen Orten längst geschlossen sind, ein veraltetes PlugIn kann nach wie vor so eine Lücke enthalten.Auch bei Themes solltet Ihr darauf achten, dass sie vom Entwickler weiter gepflegt werden. So seid Ihr auf der sicheren Seite.
8. Die Datenbank regelmäßig sichern
Ich arbeite mit dem PlugIn BackWPup und sichere damit das Blog bei Dropbox. So habe ich im Falle eines Falles “saubere” Daten zur Hand, aus denen ich das Blog wieder herstellen kann.
9. Die LogIn-Maske absichern
Das PlugIn Login LockDown sichert die Installation gegen Hacker, die versuchen, sich mit Gewalt ins Backend einzuloggen. Sie – bzw. ihre Rechner – probieren so lange sämtliche Zeichenkombinationen eines Passworts aus, bis sie die richtige erwischen.Das PlugIn macht die Anmeldung dicht, sobald jemand mehrfach versucht, sich mit einem falschen Passwort anzumelden.
10. Sparsam Rechte vergeben
Der Benutzer sollte alle Rechte haben, bei Gruppen und Besuchern reicht meistens ein, zwei Stufen tiefer. Das Verzeichnis wp-content sollte beispielsweise nicht die Rechte 777 haben. Meiner Erfahrung nach reichen einfachere Rechte aus, bei mir funktioniert es mit 755 sehr gut.
Quelle: 10 Sicherheits-Tipps für WordPress-Seiten | Die Netzialisten
Sie sehen gerade einen Platzhalterinhalt von Facebook. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.
Mehr Informationen