Bereits über 66 Millionen Mal soll WordPress weltweit verwendet werden. Das ist schon eine ziemlich große Hausnummer. Kein Wunder also, dass das Content-Management-System auch in illegalen Kreisen äußerst beliebt ist. Oft passiert es daher, dass WordPress gekapert wird und der Administrator anfangs davon gar nicht mitbekommt – bis Google oder eine andere Suchmaschine plötzlich von der Webseite warnt, weil sie Viren verbreitet.

Wir geben euch hier 10 nützlichen Tipps, wie ihr eure WordPress-Installation besser schützen könnt.

Nutzt auf gar keinen Fall „admin“ als Benutzer

Bis zur 3.0-Version von WordPress, wurde der Admin-Useraccount automatisch generiert. Inzwischen kann man zwar den Nutzernamen frei wählen, viele nehmen aber dennoch den Vorschlag, der voreingestellt ist. Das ist fatal: Wenn ihr „admin“ als Nutzer habt und zusätzlich ein unsicheres Passwort, ist es für Angreifer mehr als leicht eure Installation zu übernehmen, weil sie ja einen Teil der Anmeldung (den Namen) schon kennen.

Außerdem solltet ihr die Autorenseite des Admins verschleiern. Was bringt es denn, zwar den Admin-Namen zu ändern, ihn aber im Klartext in der URL eurer Autorenseite anzuzeigen? Die lautet nämlich standardmäßig auch http://eureseite.de/author/username.

Um den Namen in der URL zu ändern, benötigt ihr Zugriff auf eure WordPress-Datenbank. In der Tabelle wp_users gibt es den Eintrag user_nicename. Diesen Namen nutzt WordPress um den Link für die Autorenseite zu generieren. Ihr könnt ihn dort in einen anderen Namen umändern (benutzt bitte keine Sonderzeichen sondern nur Buchstaben, Zahlen, Unterstriche und Minuszeichen).

Wenn ihr das gemacht habt, kann man von außen nicht mehr den Namen des Administrator-Accounts ablesen.

Verwendet sichere Passwörter

123456 und passwort sind keine sicheren Passwörter, liebe Leute!

Ladet aktuelle Software

Updates, Updates, Updates! WordPress und die verwendeten Plugins müssen ständig weiterentwickelt werden. Und zwar nicht nur um die Bedienung und das Aussehen zu verbessern, sondern um Sicherheitslücken zu stopfen. Denn das Böse schläft nie. Deshalb aktualisiert so schnell wie möglich eurer WordPress und die installierten Plugins. Achtet auch darauf, dass ihr keine Software bei euch draufhaut, die seit zwei Jahren nicht aktualisiert wurde. Denn auch da können sich gefährliche Einfalltore befinden.

Kontrolliert Themes und Plugins

Weniger ist manchmal mehr. Nutzt bitte nur die Plugins, die ihr auch tatsächlich benötigt. Aktivierte Komponenten, die nicht gebraucht werden verlangsamen nicht nur eure System, sie machen auch das Aktualisieren unnötig kompliziert. Als Richtlinie solltet ihr euch merken, so wenige fremde Plugins wie möglich zu installieren.

Auch ist es wichtig, etwas Hirnschmalz zu investieren, ob die Quelle, von der ihr das Plugin oder Theme habt, vertrauenswürdig ist.

Wenn ihr euch unsicher seid, könnt ihr Plugins mit Antivirus testen und Themes mit Theme-Check.

Schützt das Backend

Wer sich als Angreifer bis ins Backend durchschlagen konnte, hat die volle Kontrolle über eure WordPress-Installation. Deshalb geben wir euch hier mehrere Vorschläge, euch ordentlich abzusichern.

Schützt zunächst euer Backend per .htaccess (Verzeichnisschutz). Zwar wäre es am logischsten, den gesamten Ordner wp-admin zu schützen; dies hat bei manchen Kunden aber nicht richtig funktioniert. Woran das liegt? Keine Ahnung. Deshalb schützt am Besten die wp-login.php, damit hatten wir noch keine Probleme:

[code lang=“bash“]# protect wp-login.php<br />AuthName „Admin-Bereich“<br />AuthType Basic<br />AuthUserFile /pfad-zur/.htpasswd<br />require valid-user[/code]

Jedes mal, wenn ihr nun http://www.eureseite.de/wp-admin aufruft, müsst ihr zusätzlich noch die Nutzerdaten der .htpasswd eintragen. Die könnt ihr euch hier generieren lassen.

Doppelt hält bekanntlich besser, weshalb ich euch dringend noch zu einer Zwei-Wege-Authentifizierung rate. Das Prinzip ist ganz einfach: Zu einem erfolgrteichen Login benötigt ihr nicht nur ein Passwort, sondern noch eine zusätzliche Passphrase, die euch per App oder SMS zugesendet werden kann. Wie die TAN beim Online-Banking. Wir nutzen hierzu den Google-Authenticator von Henrik Schack.

Macht Backups

Zwar bieten viele Provider (wie auch wir) eine automatische Sicherung der Daten an, es kann aber nicht schaden, seine Dateien selbst zu sichern. Eine typische Installation besteht aus den Dateien auf dem FTP und der Datenbank. Ein automatisiertes Plugin, das wir empfehlen können, ist BackWPup Free. Hier könnt ihr eure Sicherungskopien direkt in der Dropbox speichern lassen und genau einstellen, wann und was dort hingeschrieben wird.

Spiegelt eure Installation lokal

Wir legen euch zusätzlich ans Herz, ab und an mal eure Installation lokal zu spiegeln – oder in einer Entwicklungs-Umgebung auf dem Server. Denn dort könnt ihr rumspielen, ohne dass es gleich jeder im Live-System sehen kann. Ihr könnt Plugins testen, überprüfen, ob nach Updates oder zusätzlichen Plugins noch alles so funktioniert, wie ihr es euch wünscht. Und das tolle: Euch steht nicht gleich der kalte Schweiß auf der Stirn, wenn etwas nicht so funktioniert. Kurz und knapp: Baut niemals in der Live-Umgebung!

Nutzt Sicherheits-Plugins

Security-Plugins für WordPress gibt es wie Sand am mehr. Wir können an dieser Stelle deshalb keine abschließenden Empfehlungen geben, sondern euch an unseren Erfahrung teilhaben lassen.

Wordfence Security

DIE eierlegende Wollmichsau: Das Plugin schützt eure Seite mit einer Firewall und kümmert sich um viele Security-Einstellungen. Wir nutzen es. Wir mögen es.

Better WP Security

Das Plugin checkt eure bisherigen Security-Bemühungen und bietet mit der One-Click-Protection einen einfachen Weg, eure Webseite zu schützen. Nicht so groß wie Wordfence, dafür einfacher zu bedienen.

Exploit Scanner

Der Exploit Scanner schaut sich Dateien auf dem Server und auch Teile der Datenbank. Außerdem überprüft es die Liste aller aktiven Plugins.