WordPress Adminbereich schützen

Auch WordPress hat Sicherheitslücken! Deshalb sollte man den Adminbereich schützen und einige Sachen ändern, bevor man den Blog in Betrieb nimmt. Wir haben deshalb eine Liste zusammengestellt mit wichtigen und relativ einfach umsetzbaren Anpassungen, um den Adminbereich sicherer zu gestalten.

1.Passwort und Benutzer anpassen

Am Besten legt man nach der Installation sofort einen neuen Benutzer mit einem sicheren Passwort an und löscht den vorhanden Admin-Benutzer aus der Datenbank. Der Benutzer muss natürlich Adminrechte haben, sonst kann man nicht mehr viel in seinem Blog ändern. Wie sicher das gewählte Passwort ist, wird direkt im WordPress angezeigt. Am besten nimmt man mehrere Zahlen, Buchstaben und das ein oder andere Sonderzeichen.

2.wp-confg anpassen

WordPress selber hat ein paar Sicherheitsmaßnahmen eingebaut, welche auch genutzt werden sollten. Deshalb sollten hier einzigartige Phrasen eingebaut werden:

define(‚AUTH_KEY‘, ‚put your unique phrase here‘);
define(‚SECURE_AUTH_KEY‘, ‚put your unique phrase here‘
define(‚LOGGED_IN_KEY‘, ‚put your unique phrase here‘);

Wer keine Idee hat, kann sich hier http://api.wordpress.org/secret-key/1.1/ welche erstellen.
Zusätzlich kann man hier einen Präfix für die Datenbanktabellen hinterlegen:

$table_prefix  = ‚wp_‘;

Standard ist wp_ dieser kann bei der Installation aber geändert werden und wird dann automatisch in die wp_config.php geschrieben.

3.Beschränkung der Login-Versuche

Mit dem Plugin „Limit Login Attempts“ kann man die Loginversuche beschränken. Im Admin kann man die maximalen Versuche einstellen und die Speerzeit einstellen. Die erhöht die Sicherheit und verringert gleichzeitig auch die Auslastung der Systemressourcen, wenn es jemand mal übertreibt.

4.Wordpress updaten

Es gibt fast wöchentlich neue Updates für WordPress, um Sicherheitslücken zu schließen. Sicher ist es nervig immer wieder neue Updates einzuspielen, jedoch sollte man es für die Sicherheit des Blogs machen. Aber nicht nur das System updaten, sondern auch die installierten Plugins!

5.Ordner und Dateien anpassen

Außerdem kann man den wp-admin Ordner oder die wp-config.php verschieben bzw. umbenennen. Dies sollten aber nur erfahrene Nutzer machen!

Wer diese Tipps beachtet, sollte auf der sicheren Seite sein. Natürlich schlafen auch die Hacker nicht und finden immer wieder neue Lücken, welche meist aber schnell durch Updates wieder geschlossen werden.

5 Kommentare
  1. Torsten
    Torsten sagte:

    Hallo,

    gute Tipps. Ich nutze außerdem die Möglichkeit, den WP-ADMIN-Ordner durch .htaccess zu schützen. Unbenutzte Templates und Plugins landen ebenfalls gleich im Nirvana, um die Menge der angreifbaren Dateien schon einmal zu reduzieren.

  2. xxx
    xxx sagte:

    Wie mein Vorrender schon sagte, .htaccess im Admin Ordner miteinbringen. Sollte Ihr die Möglichkeit haben den Server zu administrieren, einfach mal die php.ini optimieren, dazu findet Ihr bei google mehr als genug Ergebnisse. Die Änderung des Tabellen Präfix ist sehr ratsam, genau sowie die Vergabe eines komplexeren Datenbanknamen. Evtl. auch Änderungen des SQL Servers, sprich nur lokaler Zugriff und den externen Zugriff sperren.

  3. Morten
    Morten sagte:

    Punkt 1 ist klar, und sehr einfach umzusetzen

    Beim Punkt 2 brauch ich noch ein bisschen Erklärung, was bringt diese Phrasen, ’AUTH_KEY’ etc? heißt das man kriegt ein extra Passwort? Oder was bring es wenn man die drei Phrasen definiert?

    Auch Punkt 2, wenn ich ein sehr sichere, sprich lange und schwierige Passwort bei die 3 Sicherheitsmassnahmen einträgt, kann ich das dann beim alle meine Blogs verwenden? (Damit ich nicht zu viele Passwörter haben)

    Zu thema $table_prefix = ‘wp_’; was wäre hier empfehlungswert, ein Name, 3 -4 Buchstaben oder auch ein lange Passwort mit Sonderzeichen etc

    Danke im voraus

    Morten

  4. Morten
    Morten sagte:

    Vergiss die frage „auch Punkt 2, habe gerade das linkt was zum Kode erstellen ausprobiert, das ist ja ein Hammer Kode was da erstellt wird!

    Zusatzfrage, du schreibst man das man das Prefix WP_ bei der Installation Ändern kann? Geht das auch wenn der Blog schon seit langem online ist?

    Gruß Morten

Trackbacks & Pingbacks

  1. […] Dieser Eintrag wurde auf Twitter von buckte bazz. buckte bazz sagte: WordPress Adminbereich schützen : Webdesign – SEO – Webprogrammierung http://bit.ly/cMsY6 […]

Kommentare sind deaktiviert.