TecMi Webdesign Blog

Tipps, Tricks und Tutorials zum Thema WordPress Webseiten

Willkommen beim Netz-Fischer Blog

Unser TecMi Webdesign Blog - Block und Stift

Die besten Tipps zum Erstellen und zur Pflege ihrer Webpräsens

Sechs WordPress Sicherheits-Tipps, die jeder beachten sollte

von | Apr 9, 2017 | Wordpress

WordPress ist das beliebteste Content Management System im Internet. Fast ein Drittel aller Seiten im Netz sind WordPress Seiten. Der Nachteil dieser Popularität ist, dass WordPress Seiten ein lohnendes Ziel für Hacker Angriffe sind.

Wir zeigen ihnen wie sie mit wenigen Schritten ihre WordPress Seite sichern, so dass Skript-Kiddies und Möchtegern-Hacker keine Chance haben.

  1. Führen sie regelmäßig Backups ihrer Seite durch.
    Wenn es hart auf hart kommt und ihre Seite durch einen Angriff kompromittieren wurde können sie mit einer aktuellen Backup Version ihre Seite schnell wiederherstellen.
    Ein beliebtes und einfach zu handhabendes Plug-In für das Erstellen von Backups und deren Wiederherstellung ist UpdraftPlus.
  2. Halten sie ihre WordPress Installation auf dem neuesten Stand
    Aktualisieren sie auf die neueste WordPress Version und halten sie auch ihre Themes und ihre Plug-Ins auf dem neusten Stand. Deaktivieren und löschen sie Themes und Plug-Ins, die sich nicht benötigen.
    Damit sie sich nicht erst in der WordPress Admin Console anmelden müssen, um zu sehen, welche Aktualisierungen anstehen, gibt es Plug-Ins wie „Update Notifier“.
    Installieren sie nur sichere zuverlässige Plugins und Themes. Installieren sie nur die nötigsten Plugins und deaktiviere und löschen sie Plug-Ins und Themes, die sie nicht benötigen.
  3. Vergeben sie komplexe Passwörter, die sie regelmäßig wechseln.
    Ein komplexes Passwort hat Zahlen,  Groß- und Kleinbuchstaben, Symbole.
    Am besten geht das vergeben und managen von komplexen Passwörtern über eine Passwortmanager wie z.B. Dashlane.
  4. Ändern sie den Standard Administrator-Benutzernamen
    Angreifer versuchen sich zunächst mit dem Standard „admin“ Nutzer auf ihrem System anzumelden. Das ändern dieses Benutzernamens ist daher der wichtigste Schritt um Angriffe abzublocken. Dazu erstellen sie zunächst einen neuen Administrator Benutzer. Loggen sie mit diesem Admin Account ein und löschen dann den Original „admin“ Benutzer. Benutzernamen, die sie ebenfalls unbedingt meiden sollten sind: Der Domainname als Benutzername, oder leicht erratbare Begriffe wie „adminstrator“, „demo“, „login“, „author“ oder ähnliches.
  5. Deaktivieren sie die Registrierung für ihre Site
    In WordPress gibt es die Möglichkeit, dass Besucher sich auf ihrer Seite registrieren können. Für bestimmte Seiten ist das sehr nützlich (z.B. für einen Mitgliedsbereich), aber für andere Seiten ein Sicherheitsrisiko. Achten sie darauf, dass in den WordPress Einstellungen im Dashboard unter „Allgemein“ der Punkt „Mitgliedschaft – Jeder kann sich registrieren“ nicht aktiviert ist. Die „Standardrolle“ sollte immer „Abonnent“ sein (niemals Administrator).
  6. Deaktivieren sie den Datei-Editor im WordPress Dashboard
    Administatoren können über die Editor-Funktion im WordPress Dashboard direkt Änderungen an Plug-In und Theme Dateien vornehmen. Das ist bequeme, aber auch ein Risiko, falls es zu einem unberechtigten Zugriff kommt. Es gibt eine einfache Möglichkeit den Editor in der Admin Konsole zu deaktivieren und so den Zugriff auf die Dateien zu sperren. Tragen sie die folgende Zeile im WP config Datei ihre WordPress Installation ein:
    define( ‚DISALLOW_FILE_EDIT‘, true);
    Und zwar genau über diesem Komment /* That’s all, stop editing! Happy blogging. */

Wenn sie diese sechs Sicherheitsmaßnahmen beachten haben Script-Kiddies und Möchtegern-Hacker auf ihrer Webseite überhaupt keine Chance!

1 Kommentar

  1. Also ich hätte da noch weitere Tipps.

    1. Abschalten der Versionsangabe im Header der Homepage. Mann muss ja nicht jedem mitteilen, welche Version von WordPress man gerade am laufen hat. Dies Infos sollte man nicht frei Haus liefern 🙂

    Dazu folgendes in der functions.php des Templates hinzufügen

    /** Entfernen der WordPressversionsnr im Header */
    remove_action(‚wp_head‘, ‚wp_generator‘);

    2. Abschalten der Fehlermeldung auf der Loginseite im Adminbereich. Fehlermeldungen wie „Falscher Benutzername“ oder „Falsches Passwort“, liefern Angreifern schon mal 50% der benötigten Informationen.

    Dazu folgendes in der functions.php des Templates eintragen:

    /** Abschalten von Fehlermeldungen auf der Loginseite */
    add_filter(‚login_errors‘, create_function(‚$a‘, „return null;“));

    Antworten

Einen Kommentar abschicken

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.