Sicherheit von Wordpress erhöhen
Da ein Großteil aller Webseiten im Internet mit WordPress betrieben werden, stehen diese leider auch bei Hackern im Fokus. Hier bekommen Sie einige Hinweise, wie Sie die Sicherheit Ihrer WordPress Installation erhöhen können.
- Erstellen Sie regelmäßige Backups von Ihrer WordPress Installation und speichern diese lokal. Seien Sie sich bewusst, dass Sie unabhängig von den Maßnahmen keine einhundert prozentige Sicherheit erreichen können. Es ist enorm hilfreich, wenn Sie nach einem Hackerangriff oder auch nach einer Beschädigung durch ein Update oder einen eigenen Fehler, einfach einen früheren funktionierenden Stand Ihres WordPress einspielen können.
Zur Erstellung von Backups werden im WordPress zahlreiche Plugins angeboten. Alternativ kann auch unabhängig vom WordPress, eine Sicherung des Speicherplatzes und der Datenbank durchgeführt werden. (Anleitung: WordPress sichern)
- Führen Sie immer möglichst zeitnah alle Updates von Ihrem WordPress, aber auch von Ihren Themes und Plugins durch. Da WordPress so im Fokus steht, werden im WordPress, aber vor allem auch in Plugins und Themes immer wieder Sicherheitslücken gefunden, über die man ein WordPress angreifen kann. Diese werden aber auch recht schnell wieder über Updates geschlossen. Ein WordPress, das nicht auf dem neusten Stand ist, oder veraltete Plugins / Themes verwendet, ist also potenziell angreifbar.
- Verwenden Sie so wenige Plugins, wie notwendig. Da ein Angriffspunkt Sicherheitslücken in Plugins und Themes sein können, sollten Sie nur die Plugins und Themes installiert haben, die Sie auch wirklich brauchen. Deinstallieren Sie Plugins und Themes, die Sie nicht mehr verwenden. Auch für die Performance Ihrer Webseite kann sich dieser Tipp positiv auswirken.
- Verwenden Sie für den Administrator einen individuellen Benutzernamen und ein Passwort, das nicht zu einfach und kurz ist. Viele WordPress Installationen werden mit der "Brute-Force" Methode geknackt. Dabei wird der WordPress Benutzername und das Passwort einfach durchprobiert. Da es sich um automatisierte Prozesse handelt, können in kurzer Zeit viele verschiedene Passwörter durchprobiert werden. Dass im WordPress der Benutzername "admin" sehr häufig für den Administrator benutzt wird, ist auch potenziellen Angreifern bekannt.
- Sichern Sie die wp-login.php mit einer zusätzlichen Passwortabfrage ab. Um das Durchprobieren von Logins deutlich zu erschweren, können Sie den Aufruf der wp-login.php mit einem zusätzlichen Login schützen. Dabei wird die wp-login.php erst ausgeführt, wenn man die erste zusätzliche Passwortabfrage überwunden hat. Da es im Hintergrund immer wieder Zugriffe auf die wp-login.php von Dritten gibt, kann sich auch die Performance der Webseite verbessern, wenn diese Datei nicht mehr so oft ausgeführt wird.
Mit dem folgenden Eintrag in der etc/httpd.conf richten Sie eine zusätzliche Passwortabfrage ein. Zur Einrichtung der Login Daten mit der Passwortdatei finden Sie in dem Artikel (Verzeichnis mit Benutzernamen & Passwort schützen) weitere Informationen.
LoadModule authn_file_module modules/mod_authn_file.so
LoadModule authz_user_module modules/mod_authz_user.so
<Files wp-login.php>
AuthType Basic
AuthName "Passwort Bereich"
AuthUserFile /home/www/etc/passwortdatei.txt
Require host hosting.telekom.de
Require valid-user
</Files>
- Sperren Sie die XMLRPC-Schnittstelle von WordPress. Über die XMLRPC-Schnittstelle von WordPress können sehr effizient viele Logindaten von WordPress durchprobiert werden. Da die Schnittstelle von den meisten WordPress Nutzern nicht gebraucht wird, ist es sinnvoll den Zugriff auf die xmlrpc.php zu sperren. Auch dies kann sich positiv auf die Performance der Seite auswirken, wenn die Datei nicht mehr von Dritten ausgeführt werden kann.
Mit dem folgenden Eintrag in der etc/httpd.conf sperren Sie den Zugriff auf die Datei xmlrpc.php
<Files xmlrpc.php>
Require all denied
</Files>