WordPress richtig absichern und schützen

Startseite/HowTo/WordPress/WordPress richtig absichern und schützen

WordPress richtig absichern und schützen

[vc_row][vc_column][vc_column_text]Das CMS und Blogsystem WordPress erfreut sich großer Popularität. Dank der vielen und guten Plugins kann der Funktionsumfang beinahe beliebig ausgebaut werden, allerdings sollte auch darauf geachtet werden, nicht jedes x beliebige Plugin einzusetzen.

WordPress wird heutzutage auch oft als CMS oder Shopsystem verwendet mit entsprechenden Plugins verwendet. Insgesamt läuft WordPress auf gut ein Viertel aller Webseiten weltweit, weshalb die Anwendung ein sehr beliebtes Angriffsziel darstellt.

Nachfolgend zeigen wir Ihnen eine umfangreiche Sammlung sinnvoller Tipps und Plugins, um WordPress sicherer zu machen.

Basisschutz

Diese einfachen Tipps sollten von allen umgesetzt werden, die WordPress einsetzen.

  • regelmäßig Updates installieren
    • vor allem von WordPress selbst
    • aber auch Plugins und Themes sollten aktualisiert werden, wenn neue Versionen bereit stehen
  • nicht verwendete Plugins und Themes löschen
  • Administrator-Account
    • wenn möglich nur ein Administrator-Account
    • Administrator-Account sollte nicht den standardmäßig vergebenen Usernamen „admin“ besitzen
    • keine Artikel mit dem Administrator-Account verfassen, sondern über separate Accounts mit Redakteurs-Rechten
  • verschiedene Passwörter für WordPress Admin, Datenbank und FTP benutzen
  • „sichere“ Passwörter verwenden
    • Groß- und Kleinschreibung, Zahlen sowie Sonderzeichen verwenden
    • lange Passwörter, je mehr Stellen desto besser (12 Stellen oder mehr sind gut)
  • regelmäßige und automatische Datensicherung
    • Datenbank und Dateien sichern
    • beides kann zum Beispiel einfach mit dem Plugin BackWPup erledigt werden
    • Sicherungen nicht auf dem Server aufbewahren

Erweiterter Schutz

Die Tipps hier sind deutlich aufwendiger zu realisieren und sollten nur von erfahrenen Anwendern befolgt werden, die wissen was sie tun. Für Anfänger sind die Tipps unter „Basisschutz“ ausreichend.

  • Zugriffsschutz für das Backend (Admin-Bereich) mit Hilfe von .htaccess
  • TLS-Verschlüsselung für das Backend oder direkt für die gesamte Webseite einsetzen
  • XML-RPC-Schnittstelle deaktivieren / Zugriffsschutz einrichten
    • ist seit WordPress 3.5 standardmäßig aktiviert
    • Nachteil: Trackbacks von anderen Blogs können nicht mehr empfangen werden
    • XML-RPC-Schnittstelle über die „functions.php“ vollständig deaktivieren
      /* Disable XML-RPC */
      add_filter( 'xmlrpc_enabled', '__return_false' );
    • alternativ Zugriff auf Dateo „xmlrpc.php“ einschränken
      # bis einschließlich Apache 2.3
      # auth protection xmlrpc.php 
       
         AuthType Basic
         AuthName "Restricted Admin-Area"
         AuthUserFile /pfad/zur/.htpasswd
         Require valid-user 
      
       
      # ab Apache 2.4
      # auth protection xmlrpc.php 
       
         AuthType Basic
         AuthName "Restricted Admin-Area"
         AuthUserFile /pfad/zur/.htpasswd
         Require valid-user 
      
  • Admin Zugang auf bestimmte IP-Adressen beschränken
    # bis einschließlich Apache 2.3
    # protect wp-login.php
    
       Order deny,allow
       Deny from all
       Allow from [DYNAMIC.DNS.NAME]
    
     
    # ab Apache 2.4
    # protect wp-login.php
    
       Require host example.org
    
  • zuverlässigen Hoster verwenden
  • aktuelle Versionen von PHP und Webserver (Apache, nginx, …)
  • saubere Webserver-Konfiguration
[/vc_column_text][/vc_column][/vc_row]
2017-01-17T13:24:18+00:00 Januar 17th, 2017|Kategorien: HowTo, WordPress|Tags: , , |Kommentare deaktiviert für WordPress richtig absichern und schützen

By continuing to use the site, you agree to the use of cookies. Durch das anklicken des Akzeptieren Button, erklären Sie sich mit der Verwendung von Cookies einverstanden. more information / weitere Informationen

Die Cookie-Einstellungen auf dieser Website sind auf "Cookies zulassen" eingestellt, um das beste Surferlebnis zu ermöglichen. Wenn du diese Website ohne Änderung der Cookie-Einstellungen verwendest oder auf "Akzeptieren" klickst, erklärst du sich damit einverstanden.

Schließen