Die Gefahren für Jedermanns-Internetseiten gehen von Hackern aus, die aus Lust und Laune kleine Schadprogramme (Scripte) schreiben, die auf bestehende Sicherheitslücken ansprechen. Sie verbreiten sich rasch im Internet und schauen unter allen Fußmatten der Systemeingänge nach. Wenn die Schlüssel darunter liegen, sind sie drin. Unbemerkt und ohne viel Aufwand.

Für Vertragskunden bietet Web-Pflege nun einen neuen Service. Über das Kundencenter kann der Button „Regelmäßig Sicherheits-Update ausführen“ aktiviert werden. Damit werden neue Sicherheits-Updates für verschiedene Internetsysteme automatisch vorgenommen. Wir passen also immer auf, dass unsere Kunden den Schlüssel unter ihrer Fußmatte nicht liegen lassen.

Der Beitrag WEB-Pflege schließt Sicherheitslücken erschien zuerst auf WEB-PFLEGE.

2. Das Datenbank-Präfix ändern
Dasselbe gilt für das Datenbank-Präfix. Hier gibt WordPress bei der Installation das Präfix wp_ an. Auch das ist so ein Wert, der immer gleich und daher gut bekannt ist. Es kann nicht schaden, das Präfix abzuändern. Je kreativer, desto besser: meinprimapraefix_.

3. Der Admin-Name
WordPress vergibt automatisch den Namen admin für den Account desjenigen, der die Installation vornimmt. Nachdem WordPress fertig installiert ist, solltet Ihr Euch deshalb einen neuen Administrator-Account anlegen und das Standard-Konto admin löschen.So müssten Hacker nicht nur das Passwort, sondern auch den Usernamen knacken.

4. Die wp-config schützen
Mit ein paar wenigen Zeilen Code in der .htaccess-Datei kann man die wp-config.php gegen unbefugte Zugriffe schützen. Achtung: wp-config.php und .htaccess müssen dazu im selben Ordner bzw. auf derselben Ebene liegen.[code]# wp-config.php schützenorder allow,denydeny from all[/code]

5. Ungenutzte Themes vom Server löschen
Das ist eine Regel, die ich selbst immer gern vergesse: Auch Themes, die nicht aktiv sind, können ein Einfallstor für Schadsoftware sein. Also: Am besten alle Themes löschen, die man nicht mehr braucht.

6. Nur PlugIns nutzen, die regelmäßig aktualisiert werden
Manchmal findet man PlugIns, die schon ein bisschen älter sind und seit einer Weile nicht mehr gepflegt werden. Solche PlugIns zu installieren ist nicht ohne Risiko, denn sie können undichte Stellen enthalten. Selbst wenn die Lücken bekannt sind und an allen anderen Orten längst geschlossen sind, ein veraltetes PlugIn kann nach wie vor so eine Lücke enthalten.Auch bei Themes solltet Ihr darauf achten, dass sie vom Entwickler weiter gepflegt werden. So seid Ihr auf der sicheren Seite.

8. Die Datenbank regelmäßig sichern
Ich arbeite mit dem PlugIn BackWPup und sichere damit das Blog bei Dropbox. So habe ich im Falle eines Falles “saubere” Daten zur Hand, aus denen ich das Blog wieder herstellen kann.

9. Die LogIn-Maske absichern
Das PlugIn Login LockDown sichert die Installation gegen Hacker, die versuchen, sich mit Gewalt ins Backend einzuloggen. Sie – bzw. ihre Rechner – probieren so lange sämtliche Zeichenkombinationen eines Passworts aus, bis sie die richtige erwischen.Das PlugIn macht die Anmeldung dicht, sobald jemand mehrfach versucht, sich mit einem falschen Passwort anzumelden.

10. Sparsam Rechte vergeben
Der Benutzer sollte alle Rechte haben, bei Gruppen und Besuchern reicht meistens ein, zwei Stufen tiefer. Das Verzeichnis wp-content sollte beispielsweise nicht die Rechte 777 haben. Meiner Erfahrung nach reichen einfachere Rechte aus, bei mir funktioniert es mit 755 sehr gut.

Quelle: 10 Sicherheits-Tipps für WordPress-Seiten | Die Netzialisten

Der Beitrag 10 Sicherheits-Tipps für WordPress-Seiten erschien zuerst auf WEB-PFLEGE.