Wordpress abzusichern ist gar nicht schwer
WordPress ist schnell installiert und verlangt nach recht wenigen Konfigurationsdaten. Von daher machen sich viele Nutzer kaum Gedanken über die Sicherheit Ihrer Installation. Wenn die Seite dann wächst und bekannter wird, gerät die Ursprüngliche Installation schnell in Vergessenheit. Je größer allerdings eine Seite ist, um so interessanter ist diese als Angriffsziel für Hacker.
Hier an paar wichtige Regeln, mit denen auch nicht Techniker Ihre WordPress Installation wenigstens rudimentär absichern können.
- Immer die aktuelle Version von WordPress verwenden
- Nur die Plug-ins einsetzen, die unbedingt notwendig sind. Immer die Kommentare zum Plug-in auf der WordPress Seite lesen und auch hier stets die aktuelle Version nutzen
- Den “Spitznamen” des Administrators ändern. Dies geschieht im Benutzer Menü. Oder noch besser, legen Sie ein neues Konto an, machen Sie das neue Konto zum Administrator und löschen Sie das alte Admin Konto.
- Ein sicheres Passwort für den Admin auswählen (Kombination aus Großbuchstaben, Kleinbuchstaben, Zahlen und Sonderzeichen
- Ganz wichtig: die wp-config.php Datei schützen. In dieser Datei steht das Datenbank Passwort. Erfahrene Hacker können mit diesem Passwort und den Daten der wp-config sehr großen Schaden anrichten.
- Die wp-config.php schützt man mit der .htaccess Datei.
Bei vielen Hostern muss man diese Datei sowieso erstellen (insbesondere bei 1&1), damit PHP 5 funktioniert.
Starten Sie einen Texteditor (am besten Sie laden Notepad++ herunter) und kopieren Sie folgenden Text in die neue Datei:
#PHP 5 anschalten
AddType x-mapp-php5 .php
AddHandler x-mapp-php5 .php
# WordPress absichern
<files wp-config.php>
Order deny,allow
deny from all
</files>
Bitte achten Sie darauf, dass Sie auf keinen Fall ein Leerzeichen zwischen deny,allow setzen. Falls dort ein Leerzeichen steht, wird Ihre Seite nicht mehr funktionieren.
Diese Datei speichern Sie unter dem Namen .htaccess und laden Sie mit einem FTP Programm in das Hauptverzeichnis Ihrer WordPress Installation.
Jetzt sollten Sie auf jeden Fall Ihre Seite im Browser aufrufen. Wenn Sie alles richtig gemacht haben, funktioniert Ihr WordPress Blog einwandfrei und Sie werden keine Änderung feststellen.
Bitte beachten Sie, dass diese Ratschläge nur eine rudimentäre Sicherheit Ihres Blogs gewährleisten. Weitere Sicherheitsmaßnahmen, die Sie schon bei der Erstellung Ihres Blogs vornehmen müssen, sind zum Beispiel die Vergabe eines neuen Tabellen Prefixes in der wp-config.php Datei (bitte diese Änderung niemals nachträglich vornehmen!!). Geben Sie dort in der Zeile $table_prefix = ‘wp_’ einen beliebigen Text hinter dem _ Zeichen ein. Damit fällt es Angreifern schwerer, die Namen Ihrer Tabellen in der Datenbank zu erraten.