In diesem Tutorial möchten wir einige wichtige und interessante Tipps geben, wie man eine WordPress-Website sicher aufbaut und potentiellen Hackern möglichst viele Steine in den Weg legt. 10 Tipps zur Sicherheits-Maximierung, die auch bei unseren Kunden-Websites Anwendung finden.

1. Starke Kennwörter nutzen

Direkt zu Beginn der Installation wird man aufgefordert, die Datenbank-Zugangsdaten einzugeben. Auch hier gilt, dass es keine zu starken Passwörter gibt. Das gilt im Übrigen auch für jegliche Benutzerkonten, die anschließend erstellt werden. Erlaubt man später eine Registrierung seitens der Benutzer sind Plugins ratsam, die nur starke Kennwörter (z.B. DF5kysdZS66) erlauben.

2. Tabellenprefix ändern

WordPress erlaubt in den aktuelleren Versionen den Tabellenprefix der MySQL Datenbank-Tabellen anzupassen. Davon ist dringend Gebrauch zu machen. Der Standardprefix „wp_“ ist natürlich Hackern bekannt. Durch eine Anpassung des Prefixs z.B. in „wp45fkze_“ macht man es potentiellen Eindringlingen schwerer. Zudem muss dieser Prefix nur einmal angegeben werden. Merken braucht man sich den Prefix eh nicht.

3. Upload-Ordner auslagern

WordPress erlaubt es den Upload-Ordner der integrierten Mediathek auszulagern. So kann man einen beliebigen Ort wählen und im WordPress-Backend unter „Einstellungen > Mediathek > Uploads in folgendem Ordner speichern“ den Pfad anpassen. Da es sich beim Upload-Ordner um einen relativ ungeschützten Ordner handelt (chmod 777 – von Jedermann Lesbar und Beschreibbar) ist dieser besonders in Watte zu packen.

4. WordPress-Instanz in einen Unterordner verschieben

Die so genannten Core-Dateien des Systems können natürlich in den Hauptordner gelegt werden, doch macht man es auch hier potentiellen Angreifern sehr einfach, da man die Standard-Struktur beibehält. WordPress erlaubt das Auslagern in einen Unterordner z.B. „wp_cms4538“. Dorthin verschiebt man die WordPress Dateien integral, lässt jedoch die „index.php“ im Hauptordner. Diese Datei ist entsprechend anzupassen:

/** Loads the WordPress Environment and Template */
require(‚wp_cms4538/wp-blog-header.php‘);

Nicht vergessen im Backend der WordPress-Installation unter Einstellungen > Allgemein die Pfade zur Website bzw. zum Blog anzupassen.

5. Keinen User „Admin“ nutzen

Erstellt man einen ersten Benutzer, sollte man diesen kryptischer benennen als „admin“ oder „Administrator“. Diese Bezeichnungen werden sehr oft genutzt für diese Art von Benutzerkonten und sind entsprechend schnell zu erraten. Wer noch eine Stufe weiter gehen möchte, sollte auch die User-ID in der Datenbank entsprechend anpassen, da dem Erst-Administrator entsprechend „1“ als User-ID zugewiesen wird, was einem Hacker unabhängig von der Wahl der Bezeichnung ebenfalls in die Karten spielt.

6. Kunden-Login nicht als Administrator anlegen

Sollte es noch andere Benutzer geben, die generiert / erstellt werden müssen, sollte man nur in extremen Ausnahmefällen den Status des Administrators zuweisen. Hier gilt: Zuviele Köche verderben den Brei und zu allem Überfluss leidet die Sicherheit ebenfalls.

Ratsamer ist es, Kunden den Status des „Editors“ zuzuweisen. Die Rechte sind für den alltäglichen Gebrauch mehr als ausreichend und die Risiken stark eingeschränkt. Gilt es die Rechteverwaltung innerhalb von WordPress entsprechend zu verfeinern, lassen sich Plugins wie „Members“ nutzen, um eigene Rollen mit angepassten Benutzerrechten zu erstellen.

7. HTACCESS nutzen zur Erhöhung der Sicherheit

Eine Htaccess-Datei ist ein sehr mächtiges Instrument. Via „.htaccess“ lassen sich zahlreiche Sicherheitseinstellungen vornehmen, die den Zugriff auf zahlreiche wichtige Konfigurationsdateien und Backend-Bereiche beschränken.

Wir empfehlen das Plugin WP HTAControl. Mittels dieses Plugins, lassen sich zahlreiche Sicherheitseinstellungen mit wenigen Klicks aktivieren:

• Absicherung der „wp-config.php“ Datei vor Zugriff von Außerhalb
• Absicherung der „comments.php“ Datei vor Zugriff von Außerhalb
• Begrenzung des Upload-Limits (z.B. auf 500kb)
• Deaktivierung der „Indexes“ WHERE id = sprich der automatischen Auflistung eines Ordnerinhaltes beim direkten Aufruf
• Deaktivierung der Server-Signaturen bei Fehlermeldungen (um Angreifern keine wichtigen Serverinformationen zu geben)
• Eigene Einträge in die htaccess-Datei
• Zahlreiche Einstellungen, die einen direkten Einfluss auf die „ausgespuckte“ URL haben.
• … und vieles mehr

7. WordPress Backend „WP-Admin“ via IP sperren

Nutzt man beispielsweise innerhalb eines Unternehmens eine so genannte „fixe/feste IP-Adresse“ lässt sich der Zugriff auf genau diese Adresse beschränken. Greift man außerhalb dieser IP-Adresse auf das Backend von WordPress zurück, erhält man eine Fehlermeldung („Forbidden“). So lässt sich der Administrationsbereich extrem effektiv schützen, allerdings setzt dies voraus, dass man immer über die gleiche IP auf die Website zugreift. Private ADSL-Anbieter (Zugriff von zu Hause) setzen allerdings auf „dynamische IP-Adressen“ die sich schnell ändern können. Gewährt man in diesem Fall nur einer gewissen IP Zugriff, sind spätestens nach 24 Stunden die Schotten dicht.

Diese Restriktion über die IP Adresse ist beispielsweise bei Unternehmen interessant, die ihre Website auf den eigenen hausinternen Servern hosten und entsprechend nur von dort aus zur alltäglichen Pflege Zugriff haben müssen.

um diese IP Sperre zu errichten, reicht es eine „.htaccess“-Datei in den wp-admin/ Ordner zu legen mit folgendem Inhalt (wobei die entsprechende IP-Adresse selbstverständlich anzupassen ist):

AuthUserFile /dev/null
AuthGroupFile /dev/null
AuthName „WordPress Admin Access Control“
AuthType Basic
<LIMIT GET>
order deny,allow
deny from all
# whitelist IP address
allow from 89.123.57.12
</LIMIT>

8. Sperre nach X fehlgeschlagenen Logins und Unterdrückung von Fehlermeldungen

Im Normalbetrieb geht die Login-Maske des WordPress-Adminbereichs sehr großzügig mit den ausgespuckten Informationen um. Zudem kann man „unendliche“ Versuche unternehmen, das Kennwort bzw. den Benutzernamen zu knacken. In diesem Fall spricht man im Fachjargon auch von „Brute-Force-Attacken“.

In diesem Fall empfehlen wir einmal ein Plugin („Limit Login Attempts“ – Sperre nach einer angegeben Anzahl von fehlgeschlagenen Logins) sowie eine Anpassung in der „functions.php“ des genutzten Themes. Einfach folgende Code-Zeile in die „functions.php“ einfügen:

add_filter(‚login_errors‘,create_function(‚$a‘, „return null;“));

Anschließend werden alle Fehlermeldungen unterdrückt. Ohne diese Anweisung würde WordPress Angreifern umgehend verraten, ob der „geratene“ Benutzername tatsächlich existiert und ob lediglich das Kennwort falsch ist.

9. WP-Security Scan by WebsiteDefender Plugin installieren

In Verbindung mit einem kostenlosen Account bei www.websitedefender.com entwickelt sich das Plugin „WP-Security-Scan“ zu einem unverzichtbaren Wachhund für jede WordPress-Website. Das Tool weist nicht nur auf relevante Sicherheitseinstellungen hin, welche getätigt werden sollten, sondern scannt aktiv das System nach potentiellen Eindringlingen. Vorausgesetzt man hat einen kostenlosen Zugang auf www.websitedefender.com erstellt und diesen mit dem Plugin verknüpft.

10. WordPress Aktualisierungen einspielen

WordPress ist eine sehr populäre Plattform und erfreut sich immer wachsender Beliebtheit. Die Folge sind regelmäßige Attacken auf bekannte Sicherheitslücken. Glücklicherweise ist die Community rund um WordPress bemüht, entsprechende Lücken schnellstmöglich zu schließen. Daher sollten WordPress-Updates möglichst schnell eingespielt werden. Vorausgesetzt man besitzt erstens ein vollständiges Backup und stellt zweitens sicher, dass alle installierten Plugins mit der neuen WordPress-Version korrekt zusammen arbeiten bzw. kompatibel sind. Alternativ empfiehlt sich eine Spiegelung der gesamten WordPress-Seite. So kann man das Update bedenkenlos einspielen und testen, ohne die Live-Umgebung zu gefährden.