17Mrz2011
Autor
Raptor
Kategorie
Bloggen
Keywords
, , ,

WordPress absichern

Wordpress SicherheitEines sollte klar sein, dieser Artikel ist mit Sicherheit keine allumfassende Lösung um einen WordPress Blog 100% abzusichern um gegen Hacker zu schützen. Dennoch soll der Artikel einige wichtige Infos aufzeigen, welche einen Blogbetreiber vielleicht etwas ruhiger schlafen lassen könnten. Die Sicherheit von WordPress ist für einen Blogbetreiber das A und O, vor allem wenn man schon einmal Opfer einer Attacke wurde.

Habt bitte Verständnis wenn wir nicht auf absolut alle Aspekte eingehen können wie z.B. das manuelle Verändern der Datenbanken, da dies den Rahmen des Themas wahrscheinlich sprengen und mehr Verunsicherung als sonst etwas stiften würde. Wir werden zu diesen speziellen Themen jedoch gesonderte Artikel erstellen… also keine Sorge ;) Falls Ihr selbst noch weitere brauchbare Tips zur Verfügung habt, schreibt uns doch einfach und teilt uns mit, was man unbedingt noch mit aufzählen sollte.

WordPress Datei/Ordner-Rechte, Datenbank, Plugins

Eine erste und sehr wichtige Sache ist vor allem bzw. eher für neue WordPress Installationen gedacht. Es gibt natürlich auch Mittel und Wege den hier beschriebenen Sicherheits-Rat bei einem bereits installierten Blog durchzuführen aber alles der Reihe nach :)

- Datei Rechte

Nachdem Ihr Eure WordPress Installation hochgeladen habt, solltet Ihr immer nach den Rechten der einzelnen Dateien sehen. Die “normalen” Rechte der allgemeinen Dateien sollten immer auf chmod 644 und bei Ordnern auf chmod 755 gesetzt sein. Seid hier besonders vorsichtig denn so mancher bringt es anscheinend tatsächlich fertig, diverse Files (aus welchen Gründen auch immer) mit falschen Rechten auszustatten. So trifft man bei mancher WordPress Installation schon mal auf wp-config.php Dateien, welche mit chmod 777 für die gesamte Welt ausführbar und beschreibbar waren. Achtet darauf dass Ihr solche Katastrophen bei Euch unbedingt vermeidet.

- Dateischutz

Wenn man möchte, so könnte man wichtige Dateien wie z.B. die wp-config, zusätzlich über die .htaccess schützen. Die wp-config.php ist deshalb so riskant weil sie die Logindaten zur Datenbank enthält. Um wichtige Dateien über eine .htaccess zu schützen, benutzt Ihr folgenden Code:

# SECURE WP-CONFIG.PHP
<Files wp\-config\.php>
Order Deny,Allow
Deny from all
</Files>

- Datenbank Sicherheit

Einer der besten Wege seine Datenbank um einen einfachen aber wesentlichen Teil abzusichern, besteht darin den “table prefix” zu verändern. Standardmässig wird von WordPress der Prefix “wp_” verwendet, wovon auch zunächst jeder Angreifer ausgeht. Benutzt hierfür irgendwas, was nicht sofort auf etwas völlig logisches oder gar auf etwas schliessen lässt, was man erraten könnte. Ein gut ausgewählter Prefix ist hier so viel wert wie ein gut ausgewähltes Passwort.

Für die Geschichte mit der Prefix-Änderung gibt es zwei Wege. Der einfachste Weg ist es natürlich, direkt bei der Installation einen neuen alternativen Prefix in der wp-config.php anzugeben. WordPress erledigt während der Installation dann automatisch den Rest. Das sieht dann ungefähr so aus:

$table_prefix  = 'irgendwas_'; // custom table prefix

Die schlechte Nachricht ist: Habt Ihr WordPress bereits installiert, so müsst Ihr notgedrungen entweder manuell Hand anlegen oder ein dafür geeignetes Plugin verwenden. Zu diesem Thema werden wir aber einen gesonderten Artikel erstellen.

- WordPress Security Plugins

An dieser Stelle sollte man vielleicht auch einige bekannte Security Plugins für WordPress nennen. Nicht alle davon sind auf dem aktuellen Stand aber funktionieren dennoch. Die Nutzung uns Installation erfolgt auf eigene Gefahr!

WP File Monitor:
Dieses Plugin stellt fest ob irgendwelche Veränderungen an Euren Dateien vorgenommen wurden. Der Blog-Administrator bekommt im Falle einer Änderung einer Datei, sofort eine Benachrichtigung über das Dashboard oder wahlweise per Email zugestellt. Sollte als eine Datei verändert, hinzugefügt oder gelöscht werden, wird WP file Monito eine entsprechende Alarm-Meldung anzeigen.

  • - Überwacht das System nach veränderten, gelöschten, hinzugefügten, veränderten Dateien.
  • - Alarm kann per Email zugestellt werden.
  • - Verschiedene Email Formate für Alarm-Benachrichtigungen möglich.
  • - Dateien können auf timestamp oder filehash überwacht werden.
  • - Verzeichnisse können nach Wunsch von der Prüfung ausgeschlossen werden

WP Security Scan:
Dieses Plugin scant Eure WordPress Installation nach vulnerabilities und empfiehlt eine entsprechende Korrektur bzw. Lösung. Der Scan-Report informiert Euch über alle möglichen Problem wie Datei-rechte, System Variablen und vieles mehr.

  • - Passwortschutz
  • - Datei-Rechte werden überprüft
  • - Datenbank-Sicherheit
  • - Versteckt die WordPress Versionshinweise
  • - WordPress Admin-Schutz
  • - Entfernt den WordPress WP Generator Tag Code

Das Plugin zeigt noch weitere Serverhinweise und Informationen und ist sehr einfach zu bedienen.

Secure WordPress:
Dieses Plugin nimmt wohl auf all die winzigen Details Acht, für welche manch anderer zig einzelne Plugins installiert.

  • - Entfernt die Error-Informationen auf der Login-Page.
  • - Fügt index.php (falls nicht vorhanden) ins Plugin Verzeichnis hinzu.
  • - Entfernt Hinweise auf die WordPress Version
  • - Entfernt Sicherheitslöcher die zum aufdecken von Verzeichnissen helfen.
  • - Sog. Bad Queries werden geblockt uvm.

Diese und noch viele weitere Funktionen sind mit nur wenigen Klicks verfügbar und sehr einfach zu handhaben.

- Wichtig!!!

Trotz Plugins und allen anderen Vorkehrungen sollte man immer grundsätzliche Sicherheitsmerkmale im Auge behalten:

  1. - Haltet Eure WordPress Installation, Plugins. Themes und Scripts immer up2date.
  2. - Benutzt starke Passwörter und wechselt diese ab und zu.
  3. - Wenn Ihr keine unbedingte Benutzer-Registrierungen benötigt, dann schaltet diese Funktion ab.
  4. - Checkt die Rechte Eurer bestehenden User.
  5. - Löscht alte und unbenutzte Dateien, Plugins oder Themes.
  6. - Achtet immer auf die Rechte von Ordnern wie upload, upgrade oder backup.
  7. - Macht regelmässig je nach Blog, ein Backup.
  8. - Haltet Eure Datenbank sauber und vor allem auch optimiert.

Ich hoffe das sind einige grundsätzliche Anregungen die dem einen oder anderen weiterhelfen.

  • Facebook
  • Twitter
  • E-Mail
  • Google Bookmarks
  • Google Buzz
  • Yahoo! Bookmarks
  • LinkedIn
  • Digg
  • Windows Live
  • MySpace
  • Delicious
  • Bebo
  • FriendFeed
  • Google Reader
  • Yahoo Buzz
  • Identi.ca
  • Mixx
  • Netvibes
  • Newsvine
  • Posterous
  • Reddit
  • Slashdot
  • Squidoo
  • StumbleUpon
  • Technorati
  • Tumblr
Autor
Raptor

Kommentare

2 Kommentare zu "WordPress absichern"

  • Aubrey sagt:

    Looks like you are an expert in this field, Great articles and keep up the good work, my friend recommended me it.

  • Olli sagt:

    Besten Dank! Benutze zwar nur noch sehr selten WordPress, aber speziell über die Geschichte mit dem Tabellenpräfix habe ich mir vorher nie Gedanken gemacht. Gruß und vielen Dank!

Kommentar hinzufügen