WordPress absichern.
In diesem Artikel befassen wir uns einmal mit der Sicherheit von WordPress und wie man diese mit ein paar Kniffen verbessern kann. Immer wieder muss man in zahlreichen Foren lesen, dass etliche Blogs “gehacked” und “manipuliert” wurden. Oftmals wird jedoch den “Tastaturhooligans” Tür und Tor geöffnet, da sich unzählige Blogbetreiber sich nicht ausreichend mit dem Thema Sicherheit beschäftigen wollen oder können.
Kritische Sicherheitsupdates werden einfach nicht aufgespielt, Plugins wahllos installiert und auch das sonstige administrative Sicherheitsgebahren lässt meistens zu wünschen übrig. Ist es dann einmal passiert, ist das Geschrei groß und man merkt, wie einfach es im Nachhinein gewesen wäre, ein paar Sicherheitsregeln in seinem Blog zu implementieren. Und genau mit diesen relativ einfachen aber wirkungsvollen Sicherheitsmechanismen befassen wir uns nun im Folgenden. Klar sollte aber dennoch jedem sein, dass es natürlich keinen 100%igen Schutz vor Hackerangriffen o.Ä. gibt. Man muss es diesen Angreifern aber doch keineswegs noch leichter machen un sollte ein paar regeln, welche ich euch nun erläutern werde beherzigen.
Die allererste Regel lautet jedoch, dass man seinen Blog stehts aktuell halten und sämtliche Updates, vor allem die sicherheitsrelevanten, einspielen sollte.
1. Datenbank abändern
WordPress bietet die Möglichkeit das Datenbankpräfix einer WordPressinstallation abzuändern und somit den Standardwert wp_ in einen nicht so gebräuchlichen “Wortlaut” zu verwandeln. Zu finden ist dieser Konfigurationspunkt in der wp-config.php Datei eures WordPress-Blogs. Nachdem ihr die Datenbanken über phpmyAdmin o.Ä. verändert habt, tragt ihr in der Zeile:
/$table_prefix = 'wp_';
das entsprechende Präfix ein. Erlaubt ist hierbei alles was Spaß macht und kreativ ist. Also Zahlen, Buchstaben und Unterstriche. Verzichtet aber auf Sonderzeichen, da diese sich nicht unbedingt mit der MYSQL-Datenbank vertragen.
2. Adminpasswort
Das heiligste eurer WordPressinstalltion ist euer Adminaccount. Diesen solltet ihr NIEMALS an Dritte, seien es auch Freunde, Bekannte, Verwandte etc., weitergeben. Ihr glaubt gar nicht, wie leichtgläubig einige Blogbesitzer, aber auch Webseitenbetreiber ihre Admindaten für eine Problembehebung hergeben.
Auch sollte euer Adminpasswort kreativ und nicht leicht zu knacken sein. Sprich es sollte ein “starkes” Passwort darstellen. Starke Passwörter sind mindestens 12 Zeichen lang und bestehen aus Groß- und Kleinbuchstaben, Zahlen und Zeichen. Zudem solltet ihr euer Passwort in nicht zyklischen Abständen verändern. Bedenkt aber, dass ihr euch noch an euer Passwort selbst erinnern solltet. Eine gute Möglichkeit ein Passwort stark und trotzdem einprägsam zu generieren sind Satzbrückenpasswörter.
“Meine Mama hat am 12.04.1956 das Licht der Welt erblickt” Daraus könnte man nun immer entsprechend den Anfangsbuchstaben der Wörter ein sicheres Passwort ableiten. “MMha1120456dLdWe“. Dieses Passwort wäre euch geläufig und zudem sehr sicher.
3. Dateiattribute – chmod Rechte
Falls ihr euch damit auskennt, könnt ihr per FTP-Programm einzelnen Ordnern oder Dateien unterschiedliche Schreib- und Leserechte zuweisen. Seid damit jedoch vorsichtig, denn manche Ordner, vor allem Image-, Video-Ordner etc. benötigen Schreibrechte auf eurem Webspace, da ihr sonst keine Bilder bzw. Videos per WordPress uploaden könnt. Trotzdem gilt, je weniger Rechte eine WordPressinstallation zugewiesen bekommt, desto sicherer ist diese auch. Am besten ihr versucht euch mal an einer probeinstallation mit der rechtevergabe einzelener WordPressordner oder Dateien.
4. Plugins
Installiert nicht jedes 3rd Partyplugin ohne euch darüber zu informieren. Nicht alle Coder haben nur den Opensourcegedanken im Hinterkopf und wollen evtl. sogar an eure daten. Es ist immer gut sich vorab per Google über ein Plugin oder Widget zu informieren und sich mit evtl. Sicherheitslücken auseinander zu setzen. Auch solltet ihr nicht jedem auf die Nase binden, welche Plugins in eurem Blog installiert sind. Findige Hacker filtern dann die unsicheren Plugins heraus und planen ihren Angreif gezielt über diese Schwachstelle. Also die Plugins gehen keinen etwas an.
Dies war nur ein kleiner Ausblick, wie man ohne wirklich viel Arbeit seinen Blog etwas sicherer gestalten kann. Mehr Infos findet ihr sicherlich über Google und in einschlägigien Foren. Ein paar erste Anlaufstellen habe ich euch trotzdem einmal an die Hand gegeben.
Bildmaterial: ©Antje Delater / Pixelio.de
Pingback: Schweizer WordPress Magazin | Bloggonaut.net