WordPress Sicherheit: So kann WordPress zusätzlich geschützt werden

SeedingUp | Digital Content Marketing

Als Betreiber einer Webseite sollte man sich auch Gedanken zur Sicherheit machen. In der heutigen Zeit gibt es zunehmend immer mehr Risiken, sodass es ratsam ist vorsichtig zu sein. Lieber ein Mal zu oft Gedanken gemacht, als erst dann wenn das Kind in den Brunnen gefallen ist. Denn das zurücksetzen von Inhalten ist in der Regel mit Datenverlusten und natürlich viel Arbeit verbunden. Einige kleine Sachen lassen sich doch aber relativ fix umsetzen und kosten kein Geld. Im nachfolgenden möchte ich euch einige Tipps liefern um eure WordPress Installation sicherer zu gestalten.

Immer alle Aktualisierungen installieren

Mit den Aktualisierungen kann man die meisten Sicherheitslücken schließen. Die Programmierer von WordPress veröffentlichen regelmäßig Updates, in welchen Bugs oder Sicherheitsrisiken beseitigt werden, die bekannt geworden sind. Gleiches gilt auch für viele Plugins. Durch das Installieren dieser Updates hält man eine Vielzahl von Sicherheitslücken geschlossen. Wer die Aktualisierungen nicht durchführt muss sich nicht wundern, wenn sich dritte Personen Zutritt zur WordPress Installation verschaffen und die Webseite für eigene Machenschaften missbrauchen.

Wähle den Benutzername für den Administrator mit Bedacht

Viele werden sich denken, was der Benutzername des Administrator denn mit Sicherheit zu tun hat. Ganz einfach der Standard Benutzername von WordPress für den Administrator lautet admin und ich schätze mal 80% der Blogger werden diesen nicht ändern. Das wissen auch Hacker. Diese versuchen sich Zugang zu Blogs zu verschaffen in dem diese den Benutzernamen admin testen oder den Namen des Webseitenbetreibers. Das Passwort wird dann mittels eines Bots auf gängige einfache Passwörter oder Wordphrasen getestet. Wer also admin und 123456 als Kombination verwendet droht hier schnell als Opfer zu enden.

Am schwersten macht man es den Hackern also, wenn ein schwer zu erratender Benutzername verwendet wird, der nicht mit dem Blog oder dem Betreiber in Zusammenhang gebracht werden kann. Wer also admin nimmt, seinen Namen verwendet oder ähnliche Benutzernamen macht es dem Angreifer mehr als einfacher. Dank elektronischen Datenbanken und Programmen, welche Benutzernamen und Passwörter knacken sollen, wird das mit Sicherheit nicht lange dauern, bis der Angreifer im Backend von WordPress gelandet ist.

Eine erste kleine Maßnahme ist es den Anzeigenamen im WordPressprofil zu ändern. Dort könnte man zum Beispiel einen Spitznamen eingeben und diesen statt dem Benutzernamen anzeigen lassen. Somit kann zumindest nicht direkt der Benutzername herausgefunden werden. Leider gibt es trotzdem Möglichkeiten, aber es erschwert die Suche für den Angreifer.

Nachträglich den Benutzernamen ändern

Viele Blogger, welche WordPress nutzen, verändern den vorgegebenen Benutzernamen “admin” nicht, sondern nutzen diesen genau so. Klar der Name ist einfach zu merken, aber auch Hacker wissen das. Somit ist es wichtig einen anderen Benutzernamen zu vergeben. Aber keine Angst, wer den Namen übernommen hat, kann diesen trotzdem noch verändern. Es ist allerdings nur über Umwege möglich. Eine einfache Benutzernameänderung ist grundsätzlich unter WordPress nicht vorgesehen. In einem Artikel vom heutigen Tag, habe ich kurz beschrieben, wie eine Nachträgliche Änderung des Benutzernamens möglich ist: Den Administratoren Benutzername in WordPress nachträglich ändern.

Auslesen von Benutzernamen verhindern

Leider nützt allein das Ändern des Benutzernamens nicht viel. Denn WordPress bietet von Haus aus die Möglichkeit an, dass jeder Benutzer ein eigenes Archiv besitzt. In diesem Archiv werden alle Beiträge aufgeführt. Diese Funktion scheint zwar sehr praktisch und kann bei vielen Autoren für Übersicht sorgen. Problematisch ist daran nur, dass WordPress hier nicht nach Spitznamen oder Anzeigenamen sucht, sondern nach den Benutzernamen. Somit hätte ein Angreifer den oben genannten Benutzernamen wieder herausgefunden und muss nun nur noch das Passwort knacken.

Um dieses auslesen zu verhindern, sollten die Archive der Autoren via Htaccess gesperrt werden. Alternativ gibt es für WordPress auch das Plugin WP-Author-Slug, mit dessen Hilfe die Autorennamen in die Spitznamen umgewandelt wird. Dieses Plugin verwende ich hier im Blog auch und kann es wärmstens empfehlen.

Administratoren Login URL verändern

In der Regel lautet die regelmäßige URL zum Adminlogin “/wp-login.php” unter WordPress. Diese Tatsache ist natürlich potentiellen Angreifern ebenfalls bekannt. Wer diese URL kennt, ist also im Vorteil auf dem Weg einen Schaden anzurichten. Schützen kann man sich als Blogger dagegen, wenn an eine individuelle URL anlegt. Das Ändern kann wieder mittels einer htaccess Datei gesteuert werden. Dort wird einfach eine Umleitung eingerichtet und die alte URL für den Aufruf gesperrt. Alternativ gibt es auch ein Plugin namens iThemes Security, dass hier Abhilfe schaffen kann.

Fehlermeldungen beim Login abstellen

WordPress liefert eine Vielzahl von nützlichen Funktionen. Viele davon sind allerdings auch für Angreifer nützlich. Zum Beispiel beim Login. Wird ein richtiger Benutzername und ein falsches Passwort angegeben, gibt WordPress dies auch so aus. Der Angreifer weiß dann, dass er den Benutzernamen herausgefunden hat. Jetzt muss nur noch das richtige Passwort gefunden werden. Das Ziel sollte es sein dem Angreifer die Sache so schwer wie möglich zu machen. Darum sollten diese Fehlermeldungen abgeschaltet werden. Dafür eignet sich auch gut das iThemes Security Plugin, das ich bereits erwähnt hatte.

Alternativ kann auch die Functions.php mit folgendem Code erweitert werden:

Add_filter(‘login_errors‘, create-funktion(‘$a‘,“return null;“));

Damit werden die Login Fehlermeldungen ausgeschaltet und es wird erschwert einen Benutzer zu hacken. Der Nutzer selbst kann ja die Funktion Passwort vergessen nutzen.

SeedingUp | Digital Content Marketing

Ronny

Mein Name ist Ronny Schneider und ich betreibe seit über 5 Jahren diverse Blogs und habe dort nicht nur das Schreiben der Texte übernommen, sondern auch die SEO Optimierung sowie die Marketing-Maßnahmen durchgeführt.

Das könnte Dich auch interessieren...

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Captcha loading...

Diese Webseite speichert einige personenbezogene Daten anonymisiert. Um der europäischen Datenschutz Grundverordnung gerecht zu werden, hast Du die Möglichkeit der Speicherung zu widersprechen. In diesem Fall würde ein Cookie auf deinem Gerät gespeichert werden. Zustimmen, Ablehnen
639