WordPress ist das weltweit erfolgreichste Content Management System. Aufgrund seiner hohen Anpassbarkeit wird es längst nicht mehr nur für Blogs eingesetzt, sondern als Grundlage für Webseiten aller Art. Die hohe Popularität bringt für den Anwender zahlreiche Vorteile mit sich, aber sie birgt auch einen gewaltigen Nachteil: Für Hacker sind WordPress-Webseiten ein attraktives Ziel. Auf einschlägigen Seiten werden zahlreiche Methoden diskutiert, in ein WordPress-System einzubrechen.
Gewiss: Die verantwortlichen Programmierer machen einen guten Job. Sicherheitslücken werden in der Regel schnell geschlossen. Aber dies ändert nichts an der Tatsache, dass jede Webseite gewisse Angriffsflächen bietet. Dies lässt sich schlicht nicht vermeiden. Wir wollen dir nachfolgend erklären, wie du diese Angriffsflächen minimieren kannst. In 5 Schritten werden wir dein WordPress sicher machen – oder so sicher es eben geht.
Schritt 1: WordPress absichern – schon bei der Installation
Wenn du WordPress sicher machen willst, solltest du schon bei der Installation entsprechende Maßnahmen ergreifen. Dies beginnt mit der Auswahl sicherer Schlüssel (Secret Keys), die in die wp-config.php eingetragen werden. Sie werden später bei der Verschlüsselung von Login-Daten in Cookies eingesetzt. Im Internet findest du Tools, mit denen du sichere Schlüssel bequem generieren kannst. Ändere außerdem das Präfix der Datenbanken. Ersetze das standardmäßige „wp_“ durch eine individuelle Zeichenfolge – dies erschwert es einem etwaigen Angreifer, auf die Datenbanken zuzugreifen.
Schritt 2: Passwort Sicherheit WordPress lässt Vieles durchgehen
Bereits beim Installationsvorgang wirst du nach einem Benutzernamen und Passwort gefragt. WordPress lässt hier Vieles durchgehen: Selbst komplett unsichere Passwörter wie „passwort“ oder „1234“ werden akzeptiert. Schon bei der Wahl des Nutzernamens solltest du möglichst kreativ sein, um dich vor Brute-Force-Attacken zu schützen. Einfache Begriffe wie „admin“, „test“, „user“, „demo“ oder „webmaster“ sind als Benutzernamen tabu. Wähle lieber etwas Ausgefallenes, das nur schwer zu erraten ist. Das Passwort sollte gleichzeitig möglichst lang sein und aus willkürlichen Abfolgen von Kleinbuchstaben, Großbuchstaben, Zahlen und Sonderzeichen bestehen.
Schritt 3: Zugriffschutz per .htaccess
Nachdem du WordPress installiert hast, solltest du den Adminbereich zusätzlich absichern. Erstelle dazu eine .htaccess- sowie eine .htpasswd-Datei und richte darüber einen Zugriffsschutz für die Datei wp-login.php ein. Benutzername und Passwort, die du hier wählst, sollten ebenfalls höchsten Sicherheitsstandards genügen und sich von deinem Admin-Login natürlich unterscheiden. So bist du vor Brute-Force-Angriffen gleich doppelt geschützt und kannst WordPress absichern.
Wenn du mit der Erstellung eines solchen Zugriffsschutzes keine Erfahrung hast, findest du im Internet viele leicht verständliche Tutorials, wie man mit dieser Methode WordPress sicher machen kann. Einige Webhoster bieten ihren Kunden aber auch entsprechende Generatoren an, die diese Sache automatisiert erledigen. So kannst du bequem WordPress absichern.
Schritt 4: Sicherheit WordPress: Dateirechte möglichst restriktiv halten
Um zu funktionieren, benötigt WordPress Schreibrechte auf einige Ordner und Dateien. Die größten Veränderungen passieren im Zuge von Updates der Software, aber auch im tagtäglichen Betrieb werden Schreibrechte auf gewisse Ordner benötigt.
Der Normalzustand für fast alle Dateien sollte 644 sein, für Ordner 775. Lediglich für einige Ordner musst du den Nutzer mit weitergehenden Rechten ausstatten. Wichtig ist insbesondere der Ordner /wp-content/uploads/, in dem alle hochgeladenen Dateien (Bilder, Dokumente) abgelegt werden. Einige Themes und Plugins (z.B. Caching-Plugins) benötigen Ordner mit weiteren Schreibrechten. Einen Bogen solltest du diejenigen machen, die überall 664 / 775 oder gar 666 / 777 verlangen. Du öffnest Hackern damit im Zweifelsfall Tür und Tor.
Schritt 5: Für maximale Sicherheit WordPress Updates am Releasetag einspielen
Der letzte Punkt wird dich beschäftigen, solange dein Blog fortbesteht. Nur mit ständigen Aktualisierungen kannst du WordPress absichern. Die Entwickler der Software und der dazugehörigen Themes und Plugins veröffentlichen regelmäßige Updates ihrer Software. Dabei geht es nicht nur um Verbesserungen und neue Features, sondern auch um das Schließen von Sicherheitslücken. Wenn eine Schwachstelle im WordPress-Code gefunden wurde, reagieren die Entwickler meist unverzüglich. Du wirst dann im Admin-Bereich automatisch auf das verfügbare Update hingewiesen und solltest dein Blog schleunigst aktualisieren, um Angreifern kein Einfallstor zu bieten.
Wenn du alle fünf Schritte beherzigst, erhöhst du die Sicherheit WordPress um ein Vielfaches. Trotzdem solltest du dir bewusst sein, dass es absolute IT-Security nicht gibt. Halte dich deshalb immer auf dem Laufenden, was neue Angriffsmethoden und Abwehrmaßnahmen angeht. Wer WordPress sicher machen will, muss wachsam bleiben.
Die oben benannten Sicherheitsmechanismen sind vollkommen ausreichend, zusätzliche Plugins sind damit überflüssig. Anzumerken ist noch, das man die wp-config.php in ein übergeordnetes Verzeichnis verschieben sollte – so ist es vom web aus nicht mehr manipulierbar. Eine zusätzliche Anpassung ist nicht mehr nötig.
Hier noch ein Tipp von Dr. Web: http://www.drweb.de/magazin/wordpress-sicherheit-die-xml-rpc-schnittstelle-abschalten-68045/