Logo

Home > Blog > Wordpress Sicherheit

Wordpress Sicherheit

Veröffentlicht am 25/05/08

Wordpress ist die beliebteste Blog-Software und wie das so mit beliebter Software ist, ist die Verbreitung dem entsprechend groß. Alleine diese Tatsache macht Wordpress für Hacker interessant. Und leider reicht es nicht Wordpress und PlugIns regelmäßig upzudaten.

Mit ein paar kleinen Optimierungen, lässt sich Wordpress relativ gut absichern. Ich werde mich hier nur auf Tipps beziehen, die auch in SharedHosting Umgebungen funktionieren. Darüber hinaus gibt es natürlich noch eine Menge Möglichkeiten einen Webserver an sich abzusichern, dies ist aber bei einem SharedHosting in der Regel nicht möglich und geht weit über Wordpress Optimierungen hinaus.

Datenbankpräfixe
Einer der größten Schwachstellen von Wordpress ist das immer mit demselben Präfix in der Standardinstallation gearbeitet wird. Diese Präfixe (wp-*) sind allgemein bekannt. Diese Tatsache vereinfacht MySQL Angriffe. Die Präfixe zu ändern ist daher eine sehr einfache und effektive Möglichkeit die Sicherheit eines Wordpress Blogs zu erhöhen. Es gehen weder Komfort noch Funktionsfähigkeit verloren.
Einfach vor der Installation von Worpdress in der wp-config.php ein anderes Prefix für Datenbank Tabellen eintragen, am Besten ein Zufallswert.
Folgendes in der wp-config.php ändern:

1
2

$table_prefix  = 'wp-';   // Only numbers, letters, and underscores please!
$table_prefix  = 'ZUFALLSWERT(z.B.:9237_jnsdf8a)';   // Only numbers, letters, and underscores please!

Bei bereits bestehenden Installationen können im Nachhinein die Präfixe mit dem PlugIn WP Prefix Table Changer geändert werden.

Benutzer Admin
Zweite größere Schwachstelle von Wordpress ist das automatische anlegen des Benutzers Admin. Jede Wordpress Installation hat somit diesen Benutzer. Für Angreifer ist dies ein sehr glücklicher Umstand, da sie nun nur noch das Passwort knacken brauchen, da der Benutzer ja bekannt ist.

Daher als erstes nach der Installation einen neuen Benutzer mit vollen Administrationsrechten anlegen, der nicht Admin heißt und den Benutzer Admin löschen.

Administration über SSL
Im Normalfall, also Standardinstallation, findet Administration von Wordpress unverschlüsselt statt. Für Hacker ist es so ein leichtes Benutzer und Passwort „mitzuhören“, wenn sich eingeloggt wird. Daher ist es wichtig ausschließlich über SSL auf das Wordpress AdminPanel zuzugreifen.

Um genau dies umzusetzen gibt es ein simples PlugIn namens WP Encrypt Plugin. Einfach PlugIn herunterladen, in das PlugIn Verzeichnis kopieren und im AdminPanel aktivieren.

Damit läuft absofort die gesamte Wordpress Administration per SSL

Wordpress Versionsnummer entfernen
Nach Wordpress Versionen kann gezielt gesucht werden. Damit können gezielt Wordpress Versionen angegriffen werden. Es ist ratsam, die Wordpress Version zu entfernen. Dazu in der header.php folgende Zeile entfernen:

1

<meta name="generator" content="WordPress <?php bloginfo('version'); ?>" />

wp-config.php absichern
Da die Datei wp-config.php die Zugangsdaten für die Datenbank enthält, sollte sie besonders abgesichert werden. Als erstes am besten die Zugriffsrechte auf CHMOD 600 ändern und in der .htaccess Datei folgendens eintragen:

1
2
3
4

<Files "wp-config.php">
  Order Deny,Allow
  Deny from all
</Files>

Die .htaccess Datei wird von Wordpress bei Permalinks automatisch auf dem Server angelegt, kann aber auch selbst angelegt werden (Bei manchen SharedHostern ist dies leider untersagt)

Directory Browsing unterbinden
Natürlich ist es für Angreifer von Interesse zu wissen, welche z.B. PlugIns installiert sind. Manche Webserverkonfiguration Erlauben das browsen durch die Ordner auf einem Webserver. Dies lässt sich aber auch durch einen Eintrag in der .htaccess Datei unterbinden. Einfach folgendes dort eintragen:

1
2
3

Options -Indexes
Options +FollowSymLinks
DirectoryIndex index.php index.html

Robotos.txt
Alles was in Wordpress Ordnern (wp-content, wp-includes, etc.) steht, geht Suchmaschinen nichts an. Und wie wir alle wissen indexieren Suchmaschinen erstmal alles, außer man untersagt es ihnen explizit. Also eine Robots.txt ins Root-Verzeichnis des Blogs legen, falls noch nicht vorhanden und folgendes eintragen:

1

Disallow: /wp-*

Das war's. Und nun?

Teil' mir mit was Du von diesem Posting hälst, Lass Deinen Kommtar da. Trackback URL: Wordpress Sicherheit.

csommer.de