Entwicklung

WordPress schützen: Tipps zur Sicherheit

vor 4 Jahren - 2 Minuten Lesezeit Hörzeit

WordPress ist das beliebteste Blog- und Content-Management-System überhaupt, und das nicht nur bei Nutzern, sondern auch bei Angreifern. Um es Angreifern schwerer zu machen, gibt es eine Reihe an Tipps und Tricks, die ganz einfach selbst umzusetzen sind.

Grundlagen

Tabellen-Präfix ändern

Die Sicherheit fängt schon bei der Installation an. Im ersten Schritt des Installationsprozesses wird unter anderem das Tabellen-Präfix abgefragt, dieses ist Standardmäßig auf wp_ eingestellt und sollte umbenannt werden. Dreht es sich um eine bestehende WordPress-Installation, kann dies über ein Plugin geregelt werden — dazu später mehr.

Benutzername des Administrators ändern

Im nächsten Schritt muss der Benutzername von admin in einen beliebigen umbenannt werden – da admin der voreingestellte Benutzername ist, werden Angreifer natürlich als ersten diesen bei Loginversuchen angeben. Dass man ein sicheres Passwort wählen sollte, ist hoffentlich klar.

Immer aktuell bleiben

Man sollte grundsätzlich immer die aktuellste WordPress-Version nutzen und Plugins auf dem aktuellen Stand halten.

E-Mail Adressen

In Corporate-Blogs ist es oft nicht schwer zu erraten, welche E-Mail Adressen die einzelnen Benutzer in WordPress nutzen. Hier kann man z.B. durch die Verwendung von Aliassen ebenfalls eine kleine Hürde einbauen. Als Google Mail Nutzer könnte man z.B. einfach kaiser+wordpressblog@domain.de verwenden.

Plugins

Grundsätzlich gilt: So wenig Plugins wie möglich installieren. Das erhöht nicht nur die Sicherheit sondern ist auch besser für die Performance. Also eigentlich Paradox, dass man mithilfe von Plugins die oft für Angriffe genutzt werden, die eigene WordPress-Installation schützen soll. Es gibt aber ein paar sehr gute und hilfreiche, die sehr zu empfehlen sind:

iThemes Security
Die All-in-one Lösung. iThemes Security bietet über 30 sicherheitsrelevante Einstellungen und kann mit ein paar wenigen Klicks konfiguriert werden. Darunter Einstellungen wie Admin-URL verändern, automatische Backups und vieles mehr.
Theme Authenticity Checker (TAC)
Themes überpüfen. Gerade kostenlose Themes werden gerne für Spam oder Hintertürchen missbraucht. TAC überprüft alle installierten Themes auf »bösen« Code und statischen Links die man in seinem System vielleicht nicht haben möchte.
Clef / Google Authenticator
Zwei-Faktor-Authentifizierung. Dienste wie Dropbox oder Google setzen schon länger auf eine Zwei-Faktor-Authentifizierung. Im Fall von WordPress gibt es zwei sehr gute Plugins, die dies auch für das eigene System ermöglichen: Clef und den Google Authenticator. Nach der Installation muss man sich nur noch die jeweilige App auf seinem Smartphone installieren, beim nächsten Login wird dann zusätzlich zu Benutzername und Passwort auch ein Code abgefragt. Im Fall von Clef sieht das ganze so aus:

Das war’s auch schon. Wenn ihr weitere Tipps zur Absicherung von WordPress-Installation habt, freue ich mich auf Kommentare und Feedback.

Auch interessant: WordPress-Plugins, die man installieren sollte

Alexander Kaiser Alexander Kaiser Alexander schreibt über Design, UX und UI, Conversion Optimierung und worauf er sonst noch Lust hat.
Auch spannend:

Die wichtigsten Web-, App- und Digital-Trends
für deine Kaffeepause.

Manuell zusammengefasst und kommentiert, jeden Morgen um 10 Uhr.

Mit der Anmeldung akzeptieren Sie die Datenschutzbestimmungen und abonnieren den Newsletter von Digital gefesselt. Die Abmeldung vom Newsletter ist jederzeit möglich.

Wie oft?