WordPress Probleme (Teil 3) – Sicherheit

In letzter Zeit scheint die Sicherheit von WordPress immer mehr und mehr ein Thema zu sein. Viele sagen das WordPress unsicher und voller Sicherheitslöcher sein, ich denke aber das WordPress sehr wohl sicher ist und die Sicherheitsprobleme meistens in veralteten oder schlecht programmierten Plugins versteckt sind.

Mein Artikel würde aber keinen Sinn machen wenn man in Sachen Sicherheit WordPress nicht noch ein klein wenig optimieren könnte.

Hier meine Tipps um WordPress sicherer zu machen.

1. Generator Meta-Tag entfernen

Der Genarator Meta-Tag wird von WordPress zu Statistikzwecken eingebunden. Für die Macher von WordPress sicherlich nützlich, für den WordPress Hacker jedoch ein Hinweis auf die WordPress Version des Blogs und somit auch ein Anhaltspunkt auf evtl. Sicherheitslöcher aus dieser Version.

Ich empfehle den Generator Tag mit folgender Zeile in der functions.php Datei zu entfernen:

1

remove_action('wp_head', 'wp_generator');

Ausserdem empfehle ich noch den Meta Tag für „Really simple Discovery“ und den „Windows Live Writer“ Tag zu entfernen sofern du den Live Writer nicht benutzt.

1
2

remove_action('wp_head', 'rsd_link'); // Really Simple Discovery Eintrag entfernen
remove_action('wp_head', 'wlwmanifest_link');  // Windows Live Writer Link entfernen

2. Täglich ein Backup der Datenbank erstellen

Für das erstellen automatisierter Backups benutze und empfehle ich das Plugin WP-DB-Backup.

Nach der Installation des Plugins erscheint im Bereich „Werkzeuge“ ein Eintrag mit dem Namen „Backup“. Klick drauf und lass dir das Backup täglich oder zwei mal pro Tag per Mail zukommen.

Falls du Plugins verwendest welche zusätzliche Tabellen erstellt haben kannst du dies ganz unten ins Backup einbeziehen.

3. wp-admin Verzeichnis schützen

Simpel aber sehr effektiv. Schütze dein wp-admin Verzeichnis ganz einfach aber sicher mithilfe einer .htaccess Datei.Es mag evtl. einwenig umständlich zu sein jedesmal sich 2 mal einzuloggen, jedoch ist es sehr sicher sofern ihr nicht den Benutzer „Admin“nennt und als Passwort „Liebe“ wählt :)

Die meisten Hoster bieten in ihrem Admin-Panel ein Tool an um Ordner mit einem Passwort zu schützen. Wie das im Detail funktioniert ist von Anbieter zu Anbieter verscheiden deshalb müsst ihr das selber herausfinden.

Tipp:
Bei Hostpoint musst du auf Explorer/Web-Einstellungen klicken und beim entsprechenden Ordner in der Dropdownliste auf „Web-Einstellungen“ und zuletzt noch auf Passwortschutz.

Bei Mediatemple wir das ganze etwas prominenter in der WebControl Übersicht angezeigt. (Password Protect Folder)

htaccess Problem
Leider musste ich feststellen das wenn ich mein wp-admin Verzeichnis mit htaccess schütze der Flash-Uploader für Medien nicht mehr funktioniert und die super Fehlermeldung „HTTP Fehler“ ausgibt.
Dank Google war aber auch dieses Problem relativ schnell gelöst.

Um das Problem zu lösen musst folgende Schritt durchführen:

  1. Öffne die htaccess Datei im Root Verzeichnis deines Blogs
  2. Füge folgende Zeilen in die Datei ein: 
    1
2
3
4
5
6

    <FilesMatch "(async-upload\.php|wp-cron\.php|xmlrpc\.php)$">
    Satisfy Any
    Order allow,deny
    Allow from all
    Deny from none
</FilesMatch>

    Am besten vor der Aktion ein Backup der Datei erstellen.

  3. Speichern.. und fertig..

Tataaa..

Deine WordPress Installation ist nun noch sicherer geworden.

Bei Fragen oder Ergänzungen einfach einen Kommentar hinterlassen.

Kommentar schreiben

You can use these tags: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong> <pre lang="" line="" escaped="">

8 Kommentare

Tres intiresno, gracias

MMh.. das mit der Sicherheit ist ebenso ne Sache. Ist aber überall das gleiche. Alles was aufbauen kann, kann man auch wieder zerstören, oder in das System eindringen (ob nun in Tresore, Super Hifi Alarmanlagen, etc.. )

@Wordpress Sicherheit: Techcrunch (läuft auch per WP) wurde ja auch die Tage wieder gehackt .. von daher ..

Es ist sicher auch sinnvoll, sich nicht als “admin” einzuloggen. Habe ich letzthin irgendwo gelesen. Nur umsetzen müsste ich es noch. ;)

  • giu
  • 9. Februar 2010 @ 10:52

das htaccess problem hatte ich auch, werde die .htaccess-datei nun wieder generieren und wie beschrieben anpassen. danke für den tipp. wenn jemand für’s sichern der wp-admin seite kein htaccess verwendet, gibt’s dort auch ein kleines aber feines sicherheitsproblem: es wird immer gemeldet, was falsch eingegeben wurde – ob username oder passwort. sicherheitstechnisch ist dies ein kleines bisschen problematisch, da der angreifer immer weiss, was er falsch eingegeben hat. wenn ich mich nicht irre, gibt’s ein plugin dazu, nur finde ich es nicht :) hab’ den code nicht angeschaut, aber man kanns evtl. auch gleich direkt anpassen. auch ein guter artikel zum themas wordpress sicherheit ist http://www.techmynd.com/protect-wordpress-login-page-plugins-and-hacks/

  • Bart
  • 9. Februar 2010 @ 10:40

Ja das ist auch gut.. jedoch ist es recht mühsam alle Tabellen umzubennen wenn man das Blog schon im Einsatz hat und einige Plugins installiert hat welche neue Tabellen engelegt haben.

Aber macht bei einer neuistallation natürlich sehr viel Sinn und sollte umbedingt gemacht werden :)

Merci

Auch sehr effektiv ist es den Datenbank Prefix in der wp-config.php zu ändern. Standard ist ja immer “wp_”.