Kurz zusammengefasst
Diese Sicherheitsoptionen solltet ihr bei WordPress nutzen:
- Nicht Admin als Benutzernamen wählen
- Unterschiedliche E-Mail-Adressen für den Admin-Benutzer
- Sichere Passwörter
- Automatische Updates
- Login-Versuche limitieren und Admin-Namen ändern
- Das Tabellenpräfix der Datenbank ändern
- Admin-Bereich mit Verzeichnisschutz schützen
- Kommentare deaktivieren oder mindestens ein Anti-Spam-Plugin verwenden
- Regelmäßige Backups erstellen
Alle Maßnahmen, die in vernünftigem, wirtschaftlichem Umfang von normalen Webseitenbetreibern getroffen werden können, stellen niemals eine 100%-ige Sicherheit dar.
Ist ein Profi am Werk, ist es unglaublich schwer, ein System wasserdicht abzusichern. Sicherheitslücken verstecken sich nicht nur in Webseiten, sondern können auch vom Webhoster unfreiwillig geliefert werden.
Die hier gelisteten Maßnahmen machen es aber den allerhäufigsten Angreifern schwer: Script-Kiddies und automatisch agierende Botsysteme, die systematisch Sicherheitslücken suchen um Schadsoftware oder SPAM-Mails zu verteilen.
Sichere Passwörter
Text folgt
Stetige und rasche Updates
Mit der großen Verbreitung von WordPress steigt auch die Attraktivität für Hacker, nach Sicherheitslücken zu suchen. Denn haben sie eine entdeckt, können sie diese bei unzähligen WordPress-Seiten einsetzen.
Da bekanntgewordene Sicherheitslücken oft durch Aktualisierungen geschlossen werden, solltet ihr eure Plugins und WordPress selbst immer aktuell halten. Dabei kann das Plugin Updater unterstützen
2. Brute-Force-Angriffe vermeiden
Bot-Systeme erzeugen automatisiert jede erdenkliche User-Name- und Passwort-Kombination durch Ausprobieren und Nutzung sogenannter Hacker-Password-Tabellen. Dem könnt ihr entgegenwirken, indem ihr zum einen die Login-Versuche mit einem Plugin beschränkt, wie z.B. Limit Login Attempts, und zum anderen die URL der Login-Seite ändert.
Bitte wähle nicht Admin als Usernamen für den Administrator. Außerdem sollten Beiträge nicht vom Admin publiziert werden!
Noch mehr Sicherheit erreicht ihr, wenn ihr den Admin-Bereich über einen Verzeichnisschutz über die .htaccess-Datei mit einem zweiten Passwort schützt und Login-Fehlermeldung abschaltet.
Zudem könnt ihr eure Seite mit https-Adressen versehen und so das Ausspionieren eurer Login-Daten per WLAN unterbinden
Zuletzt schalte noch die Benutzerregistrierung in den WP-Einstellungen ab.
3. SQL-Injections vemeiden
SQL-Injections sind eine weitere Methode, über die Hacker Zugriff auf eure WordPress-Seite erlangen können. Mit einem individuellen Tabellen-Präfix erschwert ihr diese Angriffsmethode.
Gerne werden auch Codes in die WordPress-Datenbank geschleust. Das passiert über ungesicherte Formulare oder alte und unsichere Plugins. Ein .htaccess Block verhindert einige der SQL Injections Angriffsmethoden
Umfangreiche Security-Plugins wie iThemes Security oder WordFence Secutity bieten noch zahlreiche weitere Stellschauben, um eure WordPress-Seite etwas sicherer zu machen.
Bsp: https://wordpress.org/plugins/all-in-one-wp-security-and-firewall/
4. Spam in Komentaren vermeiden
Die Kommentarfunktion in WordPress ist eine gute Funktion, um mit Blog-Lesern in Kontakt zu treten, bietet aber gleichzeitig eine Angriffsfläche für Hacker.
Wenn ihr eure WordPress-Seite nicht zur Interaktion mit eurer Zielgruppe und euren Lesern verwendet, sondern lediglich informiert, dann könnt ihr die Kommentare deaktivieren.
Andernfalls helfen Plugins wie Antispam-Bee zumindest gegen Spam.
5.1 Theme und Plugins
Je nach Blog-Thema benötigt ihr unterschiedliche Funktionen, die ihr per Plugin installiert. Beliebt und weit verbreitet sind Plugins für Karten, Veranstaltungskalender oder Tabellen. Wichtig ist, dass ihr eure Plugins aktuell haltet und nicht verwendete Plugins löscht, statt sie nur zu deaktivieren.
Bei der Plugin-Wahl solltet ihr wie bei Themes auch auf vertrauenswürdige Quellen wie wordpress.org, gute Bewertungen und regelmäßige Aktualisierungen achten.
Nachdem ihr euer Theme und eure Plugins aus vertrauenswürdiger Quelle geladen habt, könnt ihr das Theme auf versteckten Code überprüfen – auch zu empfehlen nach einem Hackerangriff -> siehe nächste Folie
5.2 Themes und Plugins überprüfen mit
Theme Authenticity Checker (TAC) TAC scannt eure Theme Dateien und untersucht sie schnell und kostenlos nach potentiellen böswilligen und missliebigen Codes und Links. . Wenn ihr mit TAC einen schädlichen Code gefunden habt, solltet ihr den Autor des Themes kontaktieren, um nochmals sicher zu gehen, dass der Code wirklich nicht in das Theme gehört. TAC zeigt euch außerdem an, welche Dateien eventuell boshaft sind und überarbeitet werden müssen.
Exploit ScannerDer Exploit Scanner scannt eure über WordPress installierten Dateien und Database auf Anzeichen, ob möglicherweise ein Hacker darauf zugegriffen hat. Das heißt, auf eurer Website werden sämtliche Dateien, Posts und Kommentare nach Auffälligkeiten geprüft. Außerdem werden auch aktive Plugins nach ungewöhnlichen Dateinamen untersucht. Dabei wird vom Exploit Scanner aber nichts gelöscht, das müsst ihr dann selbst in die Hand nehmen. Für weitere Informationen besucht die Website der Entwickler.
Sucuri: Free Website Malware and Security ScannerOb eure Website wirklich einem Hackerangriff zum Opfer gefallen ist, könnt ihr mit Sucuri überprüfen. In den Sucuri SiteCheck Scanner gebt ihr die betroffene URL ein und Sucuri wird die Seite nach bekannter Malware, Website Errors und veralteter Software überprüfen und euch die Ergebnisse ausgeben. Mit der Premium Version habt ihr auch die Möglichkeit, die Malware gleich entfernen zu lassen.
6. Backups
Da es keine hundertprozentige Sicherheit gibt und Fehler in eurer WordPress-Seite auch durch Plugin-inkompatibilitäten auftreten können, solltet ihr regelmäßig ein Backup eurer Seite erstellen, am besten automatisiert durch eine Zeitsteuerung.
Eurer Webhoster erzeugt übrigens auch täglich Backups meist in der Nacht und hält meist Backups der letzten 3-7 Tage vor. Die Wiederherstellung ist aber zumeist kostenpflichtig.
7. Für die Profis
Quelle: http://www.netz-gaenger.de/blog/wordpress-tutorials/wordpress-security-masnahmen-erweitern/
Verzeichnisrechte und Dateirechte (zB.htaccess) massiv einschränken
via FTP, zB Entfernung von Schreibrechten
PHP Ausführung in Upload Ordner verhindern
via .htaccess
Loginbereich in WordPress verstecken
Ein Plugin, welches dafür gut geeignet ist, ist Stealth Login Page.
WordPress Login per SSL absichern
SSL Zertifikats und Code in der wp-config.php.
Beschränke Zugriffe durch die Suchmaschinen
via robots.txt
WordPress Version verstecken
via functions.php
Server-Signatur deaktivieren
via .htaccess
Überwachen von WordPress z.B. Änderungsdatum von Dateien auf Webserver überprüfen und bereitgestellte
Server-Logs des Providers über die Zugriffe auf die Webseite untersuchen
Absoluten Pfad verstecken
Ausgabe von Fehlern unterbinden, die den absoluten Server-Pfad
Ihrer WordPress-Installation mitgeben
via .htaccess
Zugriffe auf XML-RPC abstellen Die XML-RPC-Schnittstelle ist dafür da, 3rd Party Programme
oder Geräte mit WordPress zusammenarbeiten zu lassen.
via .htaccess