Wordpress Sicherheit

5 + 3 Tipps wie du deine WordPress Installation noch sicherer machst!

Kommentare 2
Tipps und Tricks, Wordpress

Wie erreiche ich noch mehr Sicherheit für WordPress?

5 + 3 Tipps wie ihr eure WordPress Installation noch sicherer macht.

Dazu benötigst du zumindest einen FTP-Zugang zu deiner Installation.

5 Tipps für mehr Sicherheit!

1. Generiere einen neuen Sicherheitsschlüssel für WordPress!

Der Sicherheitsschlüssel erschwert den Zugriff auf deine WordPress Installation und trägt maßgeblich zu einem sicheren System bei, um Angriffe und das Abgreifen von Informationen zu erschweren.

In der Regel werden Sicherheitsschlüssel während der Installation erstellt. Du kannst diesen auch neu erstellen lassen und manuell einfügen. Folge diesen 6 Schritten:

  1. Öffne deinen FTP-Client
  2. Navigiere in das Stammverzeichnis  deiner WordPress Installation
  3. Lade dir die wp-config.php und öffne sie
  4. Generiere neue Sicherheitsschlüssel: Sicherheitsschlüssel Generieren
  5. Ersetze die 8 zeiligen Sicherheitsschlüssel in der wp-config.php mit den neuen eben generierten
  6. Speichere die wp-config.php ab und ersetze über FTP deine alte mit der neuen

2. Schütze deinen Login Bereich!

wp-admin durch .htaccess mit Passwort schützen

Die Administratoren-Login-Seite muss eigentlich nicht frei verfügbar sein. Daher empfiehlt es sich, den Ordner wp-admin mit folgendem Snippet in einer .htaccess Datei zu schützen.

  1. Zuvor erstellst du eine .htpasswd Datei, in der die Zugangsdaten verschlüsselt abgelegt sind. Erstelle ein .htpasswd z.B. hier: Htpasswd Generator.  Füge den dort erstellten Code in deine Datei .htpasswd ein.
  2. Nachfolgenden Code schreibst du ihn die .htaccess Datei. So muss die .htpasswd Datei aussehen (einfach mit ins root legen)

So könnte dein Eintrag in der .htpasswd aussehen

MeinBenutzername: $apr1$EsEZBC8a$2mY1lsyM1WjdoctUMmWU30

So muss der Eintrag in der .htaccess Datei aussehen

<Files wp-login.php>
 AuthName "Admin-Bereich"
 AuthType Basic
 AuthUserFile https://www.deine-domain.com/pfad/zu/ihrer/.htpasswd  
 require valid-user
</Files>

<FilesMatch "(\.htaccess|\.htpasswd|wp-config\.php|liesmich\.html|readme\.html)">
 order deny,allow
 deny from all
</FilesMatch>

Tipp!: Manche Plugins greifen auf die admin-ajax.php im wp-admin Ordner zu. Dann wird durch den folgenden Code die Darstellung ggfs. negativ beeinflusst. In diesem Fall muss man noch in der .htaccess des Ordners wp-admin den folgenden Code speichern:

<Files admin-ajax.php>
    Order allow,deny
    Allow from all
    Satisfy any 
</Files>

3. Verstecke die Versionsnummer von WordPress

Hackern ist es natürlich sehr lieb, wenn sie schnell checken können, welche Version deine WordPress-Installation hat. Somit können sie leichter Sicherheitslücken erkennen. Mit dem folgenden pre in der functions.php wird diese Information versteckt.

function no_generator() { return ''; }
add_filter( 'the_generator', 'no_generator' );

Man sollte übrigens auch die Readme.html und Liesmich.html im Installationspfad löschen.

TIPP!: Die beiden letzteren können nach einem Update wieder auftauchen.

4. Die Fehlermeldungen beim Login entkräften!

Mit dem folgenden pre kann man verhindern, dass bei Login-Versuch eine Fehlermeldung wie z.B. „Das Passwort ist falsch“ erscheint.Dann weiß der Angreifer nämlich schon, dass zumindest der Benutzername gestimmt hat.

Folgendes muss in die functions.php

function explain_less_login_issues(){ return 'ERROR: Entered credentials are incorrect.';}
add_filter( 'login_errors', 'explain_less_login_issues' );

5. Directory Listing deaktivieren

Standardmäßig solltest du das Directory Listing ausschalten. Es ermöglicht die automatische Ausgabe eines Inhaltsverzeichnisses von Dateien und Ordnern auf eurem Webspace. Da WordPress weit verbreitet ist kennen viele die Dateistruktur und verschaffen sich durch Aufrufe wie www.domain.de/wp-content/plugins einen Einblick in die verwendeten Plugins.

Dieser Code muss in die .htacess

# Prevent Directory Listings
Options -Indexes

Ohne diese folgenden 3 Tipps brauchst du die ersten 5 gar nicht anfangen!

1. Benutze ein starkes Passwort!

Immer und immer wieder wird das Thema durchgekaut. Es ist aber so wichtig: BENUTZE EIN STARKES PASSWORT!

TIPP!: Ein starkes Passwort sollte 8-16 Zeichen lang sein. Gross- und Kleinbuchstaben, Zahlen und Sonderzeichen enthalten. Das Passwort sollte kein Sinn ergeben.

2. Updates

Halte deine Installation und alle Plugins immer auf den neusten Stand. Mit jedem Update werden Sicherheitslücken geschlossen. Lasse die Türen nicht offen.

3. So wenig Themes und Plugins wie nötig!

Halte die Liste deiner benötigten Plugins so gering wie nötig. Falls du eines nicht mehr benötigst, deinstalliere es. Im normalen Fall benötigst du ein Theme für deine Website, schmeiße den Rest raus.

Bleibt Kreativ

Dannys

Veröffentlicht von

Ich bin Dannys. Ich erstelle und betreue Websites auf Wordpress Basis. Arbeite in den Bereichen SEO und Social Media.

2 Kommentare

  1. Hallo Danny,
    vielen Dank für die Tipps zur WordPress Sicherheit.
    Ich hatte auch lange Zeit immer wieder Probleme das mein Worpress gehackt wurde. Erst als der Hoster auch endlich eingesehen hatte das bei ihm nicht alles richtig läuft und seine Systeme dazu aktualisiert hat, kam Ruhe rein.
    Natürlich hat er das nie zugegeben das es an seinem System lag.
    Der Wichtigste Deiner Punkte ist meines Erachtens „Halte deine Installation und alle Plugins immer auf den neusten Stand. Mit jedem Update werden Sicherheitslücken geschlossen. Lasse die Türen nicht offen.“

    Heute bieten die meisten Hoster so Scriptinstaller Systeme an, über die man ohne weitere Plugins, automatische Plugin – , Themen – und Sytemsupdates eingespielt bekommt.
    Das finde ich sehr hilfreich denn es spart Zeit und somit Geld.

    Viele Grüße
    Lothar

  2. Hallo Lothar,
    gut das dir die Tipps gefallen.
    Der Server ist in Sachen Speed und Sicherheit einer der wichtigsten Faktoren, wird leider oft vernachlässigt.

Schreibe einen Kommentar