· WordPress · 4 min Lesezeit
Mehr als 5 Sicherheitstipps für Wordpress
Wordpress ist das wohl weit verbreiteste Blog-System und kann für darüber hinaus gehende Zwecke eingesetzt werden. Leider werden aber auch Wordpress-Seiten nicht von Hackern verschont. Hier finden Sie 5 Sicherheitstipps für Wordpress.
Tipp 1: Setze Plugins und Themes mit Bedacht ein!
Jedes Plugin könnte eine weitere Sicherheitslücke öffnen. Besonders Programmieranfänger machen sich über die Sicherheit Ihrer PHP-Programme nur unzureichend Gedanken. Mein Tipp: Nie unnötige Plugins benutzen, und nur Plugins aus dem offiziellen Plugin-Verzeichnis mit Bewertungen ab 3 Sternen nutzen! Man braucht nicht für alles ein Plugin! Das selbe gilt bei Themes: Nutze am besten aktuelle, aktiv-weiterentwickelte Themes von seriösen Theme-Entwicklern. Das offizielle Theme-Verzeichnis ist eine gute Anlaufstelle, ich kann euch auch die Themes von ELMASTUDIO ans Herz legen.
Tipp 2: Wordpress-Version unkenntlich machen
Wenn Bugs oder Exploits einer bestimmten Wordpress-Version bekannt werden, versuchen Hacker, genau diese Versionen zu finden und ebendiese Exploits anzuwenden. Dabei hilft Ihnen das Meta Generator Tag von Wordpress, das standartmäßig auf jeder Wordpress-Seite erscheint: Ein Blick in den Quelltext des Fachmagazins drweb.de verrät uns zum Beispiel: [caption id="" align=“aligncenter” width=“514”] Das Meta-Generator-Tag zeigt uns, dass bei drweb.de Wordpress 3.4.2 läuft.[/caption] Das Meta-Tag zeigt, dass diese Website mit Wordpress läuft und die Version 3.4.2 benutzt. Wenn jetzt die nächste Wordpress-Version erscheint und etwaige Bugs der Version 3.4.2 bekannt werden, könnten sich das Hacker zunutze machen. Dabei kann das verräterische Meta-Tag mit einer Zeile Code in der functions.php des aktiven Themes entfernt werden: <?php remove_action('wp_head', 'wp_generator'); ?>
Einfach ans Ende der functions.php durch den Design-Editor kopieren und abspeichern - Das Meta-Tag ist weg. Vielen Dank an Jan!
3. Sicherer Admin-Username
Bei der Einrichtung von Wordpress schlägt Wordpress unter anderem den Admin-Username admin vor. Das ist bei vielen Wordpress-Seiten der Fall! Wählt einen anderen Namen als Admin - beispielsweise könntet Ihr eine Kombination aus eurem Spitznamen, eurem Geburtstag und dem Namen eures ersten Haustiers wählen. Bedenkt: Wenn Ihr admin wählt, müssen Hacker nur noch euer Passwort knacken, nicht aber den Usernamen!
4. Sicheres Admin-Passwort
Ja, der Admin-Bereich ist das Herzstück von Wordpress. Wer sich hier unbefugt Zutritt verschafft, kann ernome Schäden verursachen, die vielleicht auf den ersten Blick nicht einmal zu erkennen sind. Deshalb: Wählt ein sicheres Admin-Passwort! Folgt am besten folgendem Schema: In eurem Passwort sollten Großbuchstaben, Kleinbuchstaben und Zahlen vorhanden sein. Falls das nicht der Fall ist - ändern!
5. Schützt euer Kontaktformular!
Ein ungeschütztes Kontaktformular öffnet Bots Tür und Tor. Ein gezielter Angriff durch Bots kann eure gesamte Website lahmlegen, ohne dass ihr etwas dagegen tun könnt. So schützt Ihr euch vor Bots: Baut ein Captcha ein! Die meisten großen Kontaktformular-Plugins bieten die Einstellung, Captchas zu integrieren. Bitte tut dies! Das hält einen Großteil von automatisierten Zugriffen auf eure Seite auf. Bitte achtet aber darauf, dass das Captcha keine zusätzliche Barriere errichtet, also dass es für Menschen mit einer Sehschwäche oder anderen Einschränkungen lösbar ist. Hierfür eignet sich aufgrund der Audio-Ausgabe und der hohen Sicherheit das Recaptcha von Google.
6. Aktives Wordpress-Theme verbergen!
Wusstet ihr, dass der Quelltext eurer Seite euer verwendetes Wordpress-Theme verrät? Nein? Dann zeige ich euch noch einen Ausschnitt des Quelltextes von drweb.de: [caption id="" align=“aligncenter” width=“757”] Hier lässt sich einfach ablesen, dass diese Seite das Theme magazine basic verwendet.[/caption]
Ja und? Was ist denn daran schlimm?
Das kann ich euch sagen: Wenn Sicherheitslücken oder Exploits seines Wordpress-Themes bekannt werden, kann man unter anderem gezielt nach diesen anfälligen Themes suchen.
So könnt ihr euch schützen!
Es bedarf nur zwei kleine Änderungen, um euer wirkliches Wordpress-Theme zu verschleiern. Hierbei müsst ihr einfach den Theme-Editor öffnen und in das Stylesheet (style.css) ganz oben eine Text Domain
festlegen. Standartmäßig wäre das hier einfach twentytwelve - das bezeichnet den Namen des Ordners, in dem euer Theme auf eurem Webspace zu finden ist. Hier könnt ihr eintragen, was ihr wollt, zum Beispiel einen einzelnen Buchstaben: Text Domain anpassen! Nun speichert ihr die style.css ab und verbindet euch via FTP mit eurem Webspace. Nun navigiert ihr in euren Wordpress-Ordner und wechselt zu /wp-content/themes/ dort findet ihr euer Theme Twenty Twelve in dem Ordner twentytwelve. Jetzt müsst ihr diesen einfach umbenennen, in meinem Fall wäre das einfach ein a. Jetzt müsst ihr euer Theme im Dashboard erneut aktivieren, und fertig! Und so sieht euer Quelltext jetzt aus! Euer neuer, angepasster Quelltext ;) Hier noch einmal die Kurzfassung: Text Domain [neuername] in die style.css Theme in [neuername] umbennen Das wars schon! Denkt bitte daran, dass bei der Text Domain keine Leerzeichen benutzt werden sollten.
Weitere Tipps:
Benutzt die aktuellste Version von Wordpress!
(Tipp von Alexander Schestag) Mit jeder neuen Version von Wordpress werden Sicherheitslücken geschlossen und neue Features hinzugefügt. Aber allein aus Sicherheitsgründen empfiehlt es sich, immer die neuste Version zu benutzen. Schaut deshalb immer nach Aktualisierungen in eurem Dashboard!
Haltet auch eure Plugins und Themes aktuell!
Aus den selben Gründen, die für die Aktualität des gesamten Wordpress-Systems sprechen: Die Theme- und Plugin-Entwickler korrigieren Fehler und entfernen Sicherheitslücken - Jedes Plugin stellt an sich ja schon eine potentielle Sicherheitslücke dar.