WordPress Security Paket

Die meisten Webseiten müssen nicht gesichert werden damit sensible Daten gesichert werden, sondern damit die eigene Webseite nicht zum SPAM-verschickenden Monster wird. Die Hacker präparieren die Seite so, dass sie SPAM verschickt. Das merkt nämlich Google ganz schnell und dann ist man quasi offline und es wird dieses schöne Ding angezeigt:

Die Website, die Sie aufrufen möchten enthält schädliche Programme.

Das möchte man natürlich nicht!

Alle meine Kunden bekommen von mir ein komplettes Security-Paket. Das kann man natürlich auch selber machen. Hier die Maßnahmen:

Salt-Passwörter in der wp-config.php

Die sollten eigentlich schon bei der Installation benutzt werden. Einige Anfänger vergessen dies aber ganz gerne. Wie in der wp-config.php-Datei selbst beschrieben bekommt man die hier: https://api.wordpress.org/secret-key/1.1/salt/

Und kopiert die dann einfach in die entsprechenden Zeilen ein. Beispiel:

define('AUTH_KEY', 'j=DLDe|WnR;wDS|eQvdej}gq6>6o1zV9a:rw3<}Cf$f8H$ZvF}-}>F6K;LdO0 $[');
define('SECURE_AUTH_KEY', '*T0>Vy8U2T9Yw 01pk[8dJ2^ lSN>)]F:pY*MMN[S#C6YE7qy3Gj`-D/EYLMFog>');
define('LOGGED_IN_KEY', 'lOO|c7uvxY5uJU*],+{TSmbyYanwZM;$u}5|[u1(;l9i!g)X5!]qK|6#BK[fP|d+');
define('NONCE_KEY', 'HR2R*yj2-Ve75T :L)kKd$ub8zugzUx.wb[ybeqg^pJc7h(O}J%t78::S+@@.wQ=');
define('AUTH_SALT', 'B?&>^0OB-OS<T)Dy7?4IQA2e7RwX6]7Om+z4<,^m]=c+!^`F#x#-^BI(4=( @I0,');
define('SECURE_AUTH_SALT', 'QqF,|Pg7i6+2w.A>*I|@ ;e8HroqfE|-terH^d&Sz9isUem%;I/b+hUl&#a]4[!');
define('LOGGED_IN_SALT', 'V8q?`2{%/IWOz|86(:LdLA7FBQhcixGWT%.Z5f8OBq=7<5lUk@~27?D5=BR`egO(');
define('NONCE_SALT', '-tBmA=t52f?wXl +(!pr=B64LCMn6]W}DVHUkveVu4#6%SLq,NJln{PspuIZz1+4');

Datenbank Prefix ändern

Das Datenbank-Prefix steht standarmäßig auf „wp_“ in der wp-config.php. Von diesem Standardwert gehen natürlich auch die Hacker aus. Deswegen von Anfang an ändern oder mit diesem Plugin nachträglich ändern: https://wordpress.org/plugins/db-prefix-change/

Standarduser „admin“ auf ID=1 ändern

Oft verwenden WordPress Benutzer nur ihren zuerst erstellten User. Der bekommt standardmäßig von WordPress die ID=1. Am beliebtesten ist außerdem der Loginname „admin“. All das wissen die Hacker. Also: über den Menüpunkt „Benutzer“ neuen User anlegen mit admin-Rechten und dann den alten User löschen. Über sichere Passwörter referier ich jetzt hier mal nicht.

Login-Versuche limitieren

Mit dem kleinen Plugin Login Lockdown kann man die Loginversuche limitieren. Das hilft dabei Brute-Force-Attacken abzuwehren. Also wenn die Hacker einfach zwei Millionen Wörter/Zahlen/Kombinationen durchzugehen versuchen.

Theme auf Viren untersuchen

Manchmal ist man selber Spammer, weil man ein verseuchtes Theme benutzt. Mit diesem kleinen Plugin einfach mal testen : https://wordpress.org/plugins/antivirus/

Editor deaktivieren

Der Editor ist in WordPress standardmäßig aktiviert, um vom Backend aus die Design- oder die Plugindateien direkt zu bearbeiten. Das kann aber eine potentielle Angriffslücke für Hacker darstellen. Um diese Lücke zu schließen, braucht man lediglich ans Ende seiner wp-config.php diese Zeile eintragen:

define('DISALLOW_FILE_EDIT', true);

 

Wer sich noch tiefer in die Materie einarbeiten möchte, dem kann ich das exzellente Video von Thomas Brühl empfehlen: Link zum Vortrag