WordPress- Sicherheit erhöhen

In diesem Beitrag möchte noch einmal auf das Thema Sicherheit in Bezug zu einer WordPress Installation eingehen. Um das Risiko eines Hacks zu vermeiden kann der Webmaster einige einfache Arbeiten ausführen und damit die Sicherheit deutlich erhöhen. Das dabei die Installation selbst, sämtliche Themes sowie alle Plugins immer up to date sein müssen brauche ich glaube ich nicht mehr herauszustellen. Das gehört zum Pflichtprogramm der Blogpflege.

In einem früheren Beitrag vor einigen Wochen habe ich über die Möglichkeit berichtet durch den Einsatz der Erweiterung Lockin Lockdown, die Anzahl der Anmeldeversuche für das Backend zu begrenzen. Hier können nicht automatisch beliebig viele Passwörter durchprobiert werden, sondern nach einer geringen Vorgabezahl ist erst einmal Schluss. Das Plugin ist schnell installiert und sollte in keiner Installation fehlen.
Hier geht’s zum Beitrag.

Weiterhin wichtig ist ein starkes Datenbankpasswort das in die config.php zu den anderen notwendigen Angaben geschrieben wird.

Ein weiterer wichtiger Punkt ist die Änderung des so genannten Salt Key in der config.php. Bei allen neuen Installationen ist dieser bereits eingetragen. Hier könnt ihr auf Nummer sicher gehen und den vorhandenen Code einfach löschen. Den neuen kann man unter der angegebenen Url oberhalb des Salt Key erhalten. Einfach die Url: https://api.wordpress.org/secret-key/1.1/salt/ kopieren und in Browser eingeben. Schon wird ein neu generierter Key angezeigt. Diesen dann ebenfalls kopieren und in die config.php einfügen.

Sicherheitsrelevante Maßnahme Nummer vier wäre dann noch die Änderung des Datenbanktabellen präfix von wp_ in eine beliebige andere Bezeichnung. Auch das ist in der config.php machbar und mit wenigen Handgriffen erledigt.

Damit die config.php nicht ausgelesen werden kann, ist es möglich mit einem bestimmten Befehl in der .htaccess Datei diese wirksam zu schützen. Man kann dies direkt tun, indem man eben einen bestimmten Text in die .htaccess Datei schreibt. Eine andere Möglichkeit besteht darin das Plugin Robots Meta zu installieren und es von dort direkt reinzuschreiben. Der Text dazu lautet:

# END WordPress
# SCHUTZ WP-CONFIG.PHP
<files wp-config.php>
Order deny,allow
deny from all
</files>

Dies sind die wichtigsten Punkte schnell aufgezählt um eine WordPress Installation mehr Sicherheit zu geben. Mittlerweile führe ich dies bei allen neuen Websites durch. Der Zeitaufwand ist wirklich minimal. Er steht in keinem Verhältnis zum Aufwand der entsteht wenn ein Blog oder eine Site gehackt wurde. Darüber hinaus gibt es sicherlich noch weitere Maßnahmen die entscheidend die Sicherheit verbessern. Was setzt ihr denn so ein um die Sicherheit zu gewährleisten?

Schreibe einen Kommentar