WordPress absichern

Aufgrund der großen Verbreitung ist WordPress auch ein beliebtes Angriffsziel für weniger gern gesehene Besucher. Jeder mit einer eigenen WP-Installation sollte sich auch ein paar Gedanken darüber machen, wie man WordPress absichern kann und damit die Sicherheit erhöht.

1. Anderes Tabellen-Präfix
Bei der Installation kann ein eigenes Präfix für die Tabellenstruktur gewählt werden. Dieses Präfix ist Bestandteil aller Tabellennamen in der Datenbank. Ändern Sie das Präfix auf einen eigenen Wert, denn damit werden SQL-Injektionen erschwert.

2. Updates
Sowohl das eigentliche WordPress als auch alle installierten Plugins sollten regelmäßig aktualisiert werden. Veraltete Installationen sind ein Sicherheitsrisiko! Da Plugins auch Sicherheitslücken enthalten können, sollte die Anzahl der Plugings so gering wie möglich gehalten werden.
Mit dem Plugin WP Updates Notifier kann man sich über Updates von seiner WP-Installation automatisch informieren lassen. Fraglich ist natürlich ob man das Plugin als Admin wirklich benötigt…

3. Benutzerverwaltung
Zum Schreiben von Beiträgen sind keine Adminrechte erforderlich. Es macht also keinen Sinn seinen Adminnamen als Autorenname bei den Beiträgen anzuzeigen.
Legen sie einen eigenen Benutzer mit der Rolle „Autor“ zum Schreiben der Beiträge an.
Legen Sie einen weiteren neuen Benutzer mit einem frei ausgedachten Namen an, welcher die Rolle „Admin“ bekommt.
Der bei der Installation angelegte Admin-Benutzer mit ID#1 sollte nach der Installation in der Benutzerverwaltung gelöscht werden.
Verwenden Sie als Passwörter „starke“ Passwörter, also entsprechend viele Zeichen, mit Einbezug von Ziffern und Sonderzeichen und vor allem keine Einträge aus einem Wörterbuch.

4. Loginversuche limitieren
Wordpress lässt derzeit beliebig viele fehlerhafte Loginversuche zu und zeigt unverständlicherweise dabei sogar an ob der Benutzername bekannt ist oder nicht. Besser ist es bei einem fehlerhaften Loginversuch mit einem Benutzernamen und Kennwort keine Hilfestellungen zu geben was von beiden falsch war.
Zur Limitierung der Loginversuche gibt es Plugings wie z.B. Limit Login Attemps und Login LockDown.
Je IP-Adresse sind nur eine geringe Anzahl von Loginversuche möglich, bevor für die verwendete IP-Adresse das Login eine Zeitlang gesperrt wird.

Vorsicht: Im Zeitalter von Botnetzen bringt das Plugin jedoch nicht die Sicherheit die es suggeriert, da Angriffe meist mit Botnetzen von vielen verschiedenen IP-Nummern aus erfolgen.

5. Adminbereich „doppelt“ absichern
Vor die eigentliche Login-Seite kann man einen zusätzlichen Türsteher stellen. Diese Aufgabe kann der Webserver via .htaccess übernehmen.
Beim „normalen“ Login prüft die Datenbank ob die Kombination aus Name und Passwort richtig ist. Werden zeitgleich viele Loginversuche durchgeführt, so geht dies zu Lasten der Datenbank-Performance. Nur wer dem Türsteher bereits erfolgreich passiert hat, bekommt die „normale“ Loginseite vom WordPress-Admin-Bereich zu sehen.

6. Sichern, Backups machen
Nicht vergessen werden sollte die regelmäßige Sicherung des ganzen Blogs. Das macht zwar die Installation nicht sicherer aber es ist das Auffangnetz falls die Sicherheit der Installation zu gering war.
Für die Sicherung einer WordPress-Installation gibt es natürlich auch Tools wie z.B. BackWpUp, alternativ kann die Installation auch ohne zusätzliche Plugings auf einen lokalen PC übertragen werden. Weiteres dazu in meiner Kurzbeschreibung WordPress auf einen lokalen PC übertragen.

|
| Nachtrag vom April 14:

7. Loginseite umbenennen
Die Webseite „wp-login.php“ für das Login in das Backend von WordPress kann umbenannt werden. Das Umbenennen lässt sich gut mit anderen Maßnahmen kombinieren.
Weitere Infos und Download bei Rename WP Plugin.