dodisco.de - Webhosting Preisvergleich



Webhosting Grundlagen (4) – WordPress sicher betreiben

In: Rund um die Homepage | Autor: Stefan

Webhosting Grundlagen Teil 4: Wordpress hat sich mittlerweile zur beliebtesten Blog-Software entwickelt. Mit der Popularität steigt aber auch das Risiko bei Sicherheitslücken. Bei einer unsicheren Installation ist nicht nur das eigene Blog sondern schlimmstenfalls der ganze Account oder sogar Server des Webhosting Providers betroffen.Wir geben Ihnen Tipps, wie Sie mit wenig Aufwand Ihre Wordpress-Installation dauerhaft sicherer machen können.

WordPress ist mittlerweile die beliebteste Blog-Plattform und wird auch auf zahlreichen Seiten als Content-Management-System eingesetzt. Viele Nutzer kümmern sich aber kaum um die Sicherheit der Software. Aufgrund der hohen Popularität von WordPress ist dies aber unabdingbar. Außerdem ist es mit geringem Zeiteinsatz möglich, die Sicherheit von WordPress deutlich zu erhöhen.

  1. WordPress aktuell halten
    Genau wie jede andere Software auch, muss WordPress ständig aktuell gehalten werden. Mit neuen Versionen werden häufig Sicherheitsprobleme behoben. Immer die aktuellste Version installiert zu haben ist der wichtigste Punkt dieser Liste.
    Einige Webhosting Provider wie z.B. 1&1 sorgen bei ihren 1-Click-Installationen sogar selbst für die Software-Updates.
  2. Datenbank-Präfix ändern
    Standardmäßig benutzt WordPress das Datenbank-Präfix wp_. Wer hier eine individuelle Kombination aus Buchstaben und Zahlen gefolgt von einem Unterstrich (z.B. k4Tr8iPo_) verwendet, macht es Angreifern schwerer, Lücken im Zugriff auf die Datenbank auszunutzen.
  3. Admin-Benutzername
    In früheren WordPress-Versionen war der Benutzername des Admins immer „admin“. Mittlerweile kann bei der Installation ein eigener Benutzername ausgewählt werden. Dies sollte auch auf jeden Fall getan werden.
    Allerdings reicht dies immer noch nicht aus. Auch bei neuen WordPress-Installationen bekommt der erste Nutzer (logischerweise) die ID 1 zugewiesen. Daher sollte besser auch nicht der zweite Account als Admin-Account genutzt werden.
    Wer sicher gehen will, sollte also einige Nutzer erstellen, und dann einen neuen Admin-Account erstellen. Dieser sollte natürlich nicht „admin“ heißen.
  4. Ein sicheres Passwort wählen
    Ein sicheres Passwort ist das A und O. Ein sicheres Passwort sollte aus 8 oder mehr Buchstaben, Zahlen und ggf. auch Sonderzeichen bestehen.
    Zwei Vorgehensweise haben sich hier bewährt, um sich die Passwörter auch merken zu können:
    Variante 1: man verwendet ein oder zwei möglichst ungewöhnliche Worte und ersetzt einige Buchstaben durch Zahlen: Avok27d8Se1fe
    Variante 2: man verwendet die Anfangsbuchstaben eines Satzes, den man nur selbst kennt. Beispiel: „Ich mag 8 grüne oder 12 rote Seifenkisten“ ergibt das Passwort Im8go12r. Je ungewöhnlicher der gewählte Satz, desto sicherer ist das Passwort und desto besser kann man sich den Satz merken.
  5. Den Benutzernamen nicht öffentlich anzeigen lassen
    Leider zeigt WordPress den Benutzernamen öffentlich z.B. als Autor an. Sinnvoller ist hier den realen Namen oder ein frei gewähltes Pseudonym anzuzeigen
  6. Admin- und Autoren-Account trennen
    Der Admin-Account ist für Aufgaben da, die unbedingt administrative Rechte erfordern. Alles andere (Beiträge schreiben, Kommentare freischalten, usw.) sollte mit einem Autoren-Account mit begrenzten Rechten erledigt werden.
  7. Wenn möglich den Login über SSL realisieren
    Sicher ist der Login nur über SSL, ansonsten können die Anmeldeinformationen u.U. mitgelesen werden. Viele Webhosting Provider bieten einen SSL-Proxy an, den man für den Login nutzen kann. Dieser ist meist unter Adressen wie https://ssl-proxy.xx/meinedomain.xx/ oder https://ssl-account.xx/meinedomain.xx/ erreichbar. Ob der eigene Webhosting Provider und Tarif dies ermöglicht, erfährt man in den FAQ oder beim Support.
    Ist mod_rewrite aktiviert, kann man mit folgender .htaccess-Datei eine Weiterleitung erzeugen:
    # Weiterleitung zum SSL-Login
    RewriteEngine on
    RewriteRule admin$ https://ssl-proxy-adresse-laut-faq/wp-login.php
  8. Config-Datei und Admin-Bereich per .htaccess sichern
    Die Datei config.php benötigt nur WordPress. Benutzer benötigen keinen Zugriff auf die Datei (und können ihre Inhalte bei ungestörtem Betrieb auch nicht sehen). Wer sich zusätzlich absichern will, kann per .htaccess den Zugriff auf die Datei verweigern:
    Hierzu fügt man in die im Regelfall bereits bestehende .htaccess-Datei folgende Zeilen ein:
    # Zugriffsschutz wpconfig.php
    Order deny,allow
    deny from all
    Zusätzlich sollte auch der Admin-Bereich per .htaccess abgesichert werden. Die meisten Webhosting Provider bieten Generatoren an, mit denen man das Verzeichnis wp-admin absichern kann. Eine andere Vorgehensweise ist den Zugriff auf die wp-login.php direkt zu beschränken. Man kann entweder allen Nutzern einen eigenen .htaccess Benutzernamen und ein Passwort zuweisen, oder verwendet nur einen .htaccess-Benutzer und Passwort (bei Mehrbenutzerblogs muss dieser dann nach Ausscheiden eines Autors dann aber geändert werden).

Befolgt man die obigen Punkte, ist die eigene WordPress-Installation sehr viel sicherer geworden. Zu erwähnen wäre noch das Thema Plugins: möglichst nur Plugins mit aktuellen Versionen einsetzen, die von anderen getestet wurden, um vor bösen Überraschungen oder Sicherheitslücken besser geschützt zu sein. Alle Plugins, die nicht (mehr) benötigt werden, sollten deaktiviert und deinstalliert werden.

Sind noch Fragen zum Thema WordPress-Sicherheit offen geblieben? Hinterlassen Sie einen Kommentar und wir bemühen uns, Ihre Frage zu beantworten.


 rss RSS 2.0

3 Kommentare zu “Webhosting Grundlagen (4) – WordPress sicher betreiben”

  • myblogtrainer Sunday, 31.October 2010 um 17:28Uhr

    Sehr übersichtlich und viele präventive Maßnahmen. Was aber, wenn es einen schon oder trotzdem erwischt hat.
    Dann heißt es schnell reagieren und schnell die Übersicht bekommen. Das entsprechende Plugin dafür habe ich hier beschrieben. Mit diesem Plugin bekommt man sofort die Dateien angezeigt, die befallen sind und kann die infizierten Dateien direkt bearbeiten bevor sich der Virus ausbreitet. Darüber hinaus hat das Plugin noch ein paar andere gute Funktionen.
    Hier ist der Link zum deutschen Artikel:
    http://www.myblogtrainer.de/tac-sicherheits-plugin-fuer-wordpress/

  • jj Sunday, 14.November 2010 um 12:40Uhr

    Mich würde interessieren, ob es eine Möglichkeit gibt WordPress so zu betreiben, dass die Benutzerfreundlichkeit erhalten bleibt, aber die Berechtigungen nicht vollständig “weich” und “offen” sind (777). Ohne chmod 777 ist es für die Nutzer nur wenig nutzbar, da der Fileupload erschwert wird (z. B. nur via FTP). Gibt es hierzu sinnvolle Lösungen?

  • Stefan Sunday, 14.November 2010 um 14:36Uhr

    Die Frage, ob CHMOD 777 wirklich eine Gefahr darstellt, ist ziemlich alt (mehr zu den Dateirechten auf Unix-Systemen übrigens in einem unserer Webhosting Grundlagen Artikel).
    Mein Wissensstand dazu ist: theoretisch besteht eine Gefahr, wenn Ordner mit CHMOD 777 Schreibrechte gegeben werden, schließlich erhält jeder Benutzer (auf dem Server!) Schreibrechte.
    Ganz praktisch gesehen ist das Risiko bei einem korrekt aufgesetzten System aber vernachlässigbar (also z.B. bei einem Webhosting Provider, der sein Handwerk versteht, da dort im Regelfall jeder Kunde nur auf “seine” Ordner zugreifen kann). Schafft es ein Hacker tatsächlich, sich Zugang zum System zu verschaffen, dann sind fehlende Schreibrechte meist auch kein Hindernis mehr (oder es bestünden sowieso andere Möglichkeiten).

    Wichtig ist nur, sich vorher beim eigenen Provider zu informieren, welche Rechte gesetzt werden müssen, um Schreibrechte zu bekommen. Je nach Konfiguration reicht teilweise auch bereits 755 oder 775 aus.

    Letztlich ist meine Einschätzung aber, dass ein Risiko beim Betrieb von WordPress im Regelfall nicht in Schreibrechten liegt, sondern in sonst unsicherer Konfiguration, Sicherheitslücken im Code oder Plugins, usw.

Kommentieren