WordPress Blog sicherer machen ohne zusätzliche Plugins

WordPress ist ein äußerst beliebtes Cms. Das ist einerseits ein großer Vorteil, da eine aktive Entwicklergemeinde stets bestrebt ist neue Features und Plugins zu entwickeln. Auf der anderen Seite zieht eine Software, welche sich einer derart großen Beliebtheit erfreut wie WordPress natürlich auch andere Personenkreise an, welche aus Sicherheitslücken Profit schlagen möchten, oder schichtweg nur destruktiv tätig werden.
Die wichtigste Grundregel lautet, die verwendete WordPress Installation stets auf dem aktuellen Stand zu halten. Das bedeutet, wenn eine Versionsupdate herausgekommen ist, sollte dies auch auf die lokale Wp Installation aufgespielt werden. Zumindest wenn Sicherheitsrelevante Lücken behoben wurden.
Neben dem aktuell halten der Blogsoftware, gibt es aber noch jede Menge andere Tipps und Tricks um WordPress sicherer zu machen. Die folgende List stellt nur Anhaltspunkte dar, wie man hierbei vorgehen kann.
Es werden nur Worpdress “Bordmittel” benutzt. Selbstverständlich gibt es auch noch eine Reihe von Plugins und Zusatzmodifikationen welche die Sicherheit von WordPress noch weiter verbessern können.

1. Datenbank Präfix ändern
Schon bei der Installation kann ein Datenbank Präfix angegeben werden. Dieser lautet standardmäßig wp_ Dieser lässt sich ganz einfach bei der Installation verändern.

2. Nach der Installation: Löschen der install.php und der update.php
Diese werden nun nicht mehr bennötigt und können u.U. ein Sicherheitsrisiko darstellen.

3. Ändern des Admin Verzeichnisses.
Standardmäßig ist der Administrationsbereich von WordPress über domain.tld/wp-admin/ zu erreichen. Dies kann man ganz einfach durch umbenennen des Ordners abändern.

4. Standardbenutzer ändern
Nach einrichten eines WordPress Blogs heißt der erste Administrator zunächst einmal Admin. Dies kann man ganz leicht abändern, indem man einen neuen Benutzer anlegt und diesem Adminrechte erteilt. Danach kann man den ursprünglich automatisch erstellten Admin löschen.

5. Heraus löschen des Metatags “generator”.
Dieser zeigt im Quelltext an, welche WordPress Version genutzt wird. hierzu einfach die entsprechende Zeile in der header.php im verwendeten WordPress Theme heraus löschen.

6. Sperren per Robots.txt
Nicht für Suchmaschinen freizugebende Verzeichnisse können ganz einfach per robots.txt gesperrt werden. Achtung: Wenn du den Tipp unter Punkt 3 verwendest ist es u.U. kontraproduktiv den abgeänderten Pfad zum Adminbereich anzugeben, da dieser dann wider ausgelesen werden kann.
Achte unbedingt darauf, dass der neue Pfad zum Adminbereich nicht verlinkt wird.

Grundsätzlich empfiehlt es sich ab und zu den Quelltext einzelner Blogposting und den der Startseite des Blogs anzusehen und auf unerwünschte Links zu überprüfen. Dies hat folgenden Hintergrund: Oftmals bekommt der Webmaster überhautp nicht mit, das der Blog verändert wurde, da die Angreifer heimlich versteckte Links plazieren.
Diese Links dienen der erhöhung der Linkpopularität anderer Webseiten und werden oftmals nicht sichtbar eingebaut, so das der Bloger, selbst wenn er seinen eigenen Blogs aufruft, diese nicht bemerkt.
Auch wenn die Links nicht sichtbar sind, so werden Sie häufig dennoch von Suchmaschinen gewertet und können auch zur Abstrafung des Blogs führen, da die Suchmaschine i.d.R. davon ausgeht, das diese versteckten Links vom Webmaster selbst plaziert wurden.



Geld verdeinen mit Links

  1. 3 Responses to “WordPress Blog sicherer machen ohne zusätzliche Plugins”

  2. Vielen dank! Super Beitrag und vorallem sind die Tipps einfach umzusetzen.

    By eston on Mrz 19, 2010

  3. Gute Tipps… werde ich gleich nach dem Update umsetzten.

    By Gast on Dez 7, 2010

  4. toller Beitrag! Ich bin der Meinung, dass man zuerst auf Plugin verzichten und selbst die Sicherheitsmaßnahmen treffen soll. Viele bekannte Sicherheitsplugins liefern häßliche Seiten mit vielen Werbungen im Backend.

    Ein Punkt fehlt aber in dieser Post: Schutzmaßnahmen via .htaccess ;)

    By Oguzhan Cansever on Sep 25, 2011

Post a Comment