Wie erreichst du noch mehr Sicherheit für WordPress Installation? Ich gebe dir 8 Tipps, wie du deine WordPress Installation noch sicherer macht.
Wichtig ist zu Wissen, es gibt keine 100 % Sicherheit. Wir wollen es aber auch nicht zu leicht machen.
8 Tipps für eine höhere WordPress Sicherheit!
1. Benutze ein starkes Passwort!
Ein leidiges aber sehr effektives Thema ist das Passwort. Es ist und bleibt einer der wichtigsten Punkte. Hier geht es zum Beitrag für ein sicheres Passwort.
KURZTIPP!: Ein starkes Passwort sollte 8-16 Zeichen lang sein. Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen enthalten. Das Passwort sollte keinen Sinn ergeben und keinen Zusammenhang zu dir haben.
2. Updates
Halte deine WordPress–Installation, Themes und alle Plugins immer auf den neusten Stand. Mit den meisten Updates werden Sicherheitslücken geschlossen. Diese offenen Sicherheitslücken kennt der Angreifer für gewöhnlich auch. Mache also diese Türen zu.
3. So wenig Themes und Plugins wie nötig!
Halte die Liste deiner benötigten Plugins so gering wie nötig. Falls du eine Plugin nicht mehr benötigst, deinstalliere es. Im normalen Fall benötigst du ein einziges Theme für deine Website, schmeiße den Rest raus.
4. Generiere einen neuen Sicherheitsschlüssel für WordPress!
Der Sicherheitsschlüssel erschwert den Zugriff auf deine WordPress Installation und trägt maßgeblich zu einem sicheren System bei, um Angriffe und das Abgreifen von Informationen zu erschweren.
In der Regel werden Sicherheitsschlüssel während der Installation erstellt. Du kannst diesen auch neu erstellen lassen und manuell einfügen. Folge diesen 6 Schritten:
- Öffne deinen FTP-Client
- Navigiere in das Stammverzeichnis deiner WordPress Installation
- Lade dir die wp-config.php und öffne sie
- Generiere neue Sicherheitsschlüssel: Sicherheitsschlüssel Generieren
- Ersetze die 8-zeiligen Sicherheitsschlüssel in der wp-config.php mit den neuen eben generierten
- Speichere die wp-config.php ab und ersetze die alte Datei über FTP mit deiner neuen Datei
5. Schütze deinen Login Bereich!
wp-admin durch .htaccess mit Passwort schützen
Die Administratoren-Login-Seite muss eigentlich nicht frei verfügbar sein. Daher empfiehlt es sich, den Ordner wp-admin mit folgendem Snippet in einer .htaccess Datei zu schützen.
- Zuvor erstellst du eine .htpasswd Datei, in der die Zugangsdaten verschlüsselt abgelegt sind. Erstelle ein .htpasswd z.B. hier: Htpasswd Generator. Füge den dort erstellten Code in deine Datei .htpasswd ein.
- Nachfolgenden Code schreibst du ihn die .htaccess Datei. So muss die .htpasswd Datei aussehen (einfach mit ins root legen)
So könnte dein Eintrag in der .htpasswd aussehen
MeinBenutzername: $apr1$EsEZBC8a$2mY1lsyM1WjdoctUMmWU30So muss der Eintrag in der .htaccess Datei aussehen
AuthName "Admin-Bereich"
AuthType Basic
AuthUserFile https://www.deine-domain.com/pfad/zu/ihrer/.htpasswd
require valid-user
<FilesMatch "(\.htaccess|\.htpasswd|wp-config\.php|liesmich\.html|readme\.html)">
order deny,allow
deny from all
Tipp!: Manche Plugins greifen auf die admin-ajax.php im wp-admin Ordner zu. Dann wird durch den folgenden Code die Darstellung ggfs. negativ beeinflusst. In diesem Fall muss man noch in der .htaccess des Ordners wp-admin den folgenden Code speichern:
Order allow,deny
Allow from all
Satisfy any 6. Verstecke die Versionsnummer von WordPress
Hackern ist es natürlich sehr lieb, wenn sie schnell checken können, welche Version deine WordPress-Installation hat. Somit können sie leichter Sicherheitslücken erkennen. Mit dem folgenden pre in der functions.php wird diese Information versteckt.
function no_generator() { return ''; }
add_filter( 'the_generator', 'no_generator' );Man sollte übrigens auch die Readme.html und Liesmich.html im Installationspfad löschen.
TIPP!: Die beiden letzteren können nach einem Update wieder auftauchen.
7. Die Fehlermeldungen beim Login entkräften!
Mit dem folgenden pre kann man verhindern, dass bei Login-Versuch eine Fehlermeldung wie z.B. „Das Passwort ist falsch“ erscheint. Dann weiß der Angreifer nämlich schon, dass zumindest der Benutzername gestimmt hat.
Folgendes muss in die functions.php
function explain_less_login_issues(){ return 'ERROR: Entered credentials are incorrect.';}
add_filter( 'login_errors', 'explain_less_login_issues' );8. Directory Listing deaktivieren
Standardmäßig solltest du das Directory Listing ausschalten. Es ermöglicht die automatische Ausgabe eines Inhaltsverzeichnisses von Dateien und Ordnern auf eurem Webspace. Da WordPress weit verbreitet ist kennen viele die Dateistruktur und verschaffen sich durch Aufrufe wie www.domain.de/wp-content/plugins einen Einblick in die verwendeten Plugins.
Dieser Code muss in die .htacess
# Prevent Directory Listings Options -Indexes
Weitere Sicherheits-Tipps bei der WordPress Instalaltion gibt es in dem Beitrag, Tipps für deine Worpress Installation
Hallo Lothar,
gut das dir die Tipps gefallen.
Der Server ist in Sachen Speed und Sicherheit einer der wichtigsten Faktoren, wird leider oft vernachlässigt.
Hallo Danny,
vielen Dank für die Tipps zur WordPress Sicherheit.
Ich hatte auch lange Zeit immer wieder Probleme das mein Worpress gehackt wurde. Erst als der Hoster auch endlich eingesehen hatte das bei ihm nicht alles richtig läuft und seine Systeme dazu aktualisiert hat, kam Ruhe rein.
Natürlich hat er das nie zugegeben das es an seinem System lag.
Der Wichtigste Deiner Punkte ist meines Erachtens „Halte deine Installation und alle Plugins immer auf den neusten Stand. Mit jedem Update werden Sicherheitslücken geschlossen. Lasse die Türen nicht offen.“
Heute bieten die meisten Hoster so Scriptinstaller Systeme an, über die man ohne weitere Plugins, automatische Plugin – , Themen – und Sytemsupdates eingespielt bekommt.
Das finde ich sehr hilfreich denn es spart Zeit und somit Geld.
Viele Grüße
Lothar