Blog/Tipps Wordpress Wordpress sicher machen Wordpress sicher machen
Hier gibts eine Liste der (wichtigsten) Tipps, WordPress etwas sicherer zu machen. Eine Garantie auf Sicherheit kann es keine geben, Hacker knacken ja inzwischen fast alles.
Noch unvollständig, wird ergänzt.
Login Versuche begrenzen
Schutz der Datei wp-config.php
Die wp-config.php beinhaltet sehr empfindliche Daten Ihrer Wordpress-Installation, es ist seit einigen Versionen möglich, diese Datei in ein übergeordnetes Verzeichnis zu verschieben, damit ist sie nicht so leicht zu finden.
Wer das nicht will oder providerseitig darf, kann die Zugriffe auch mit Hilfe der .htaccess abwehren. Diese muss im gleichen Verzeichnis wie die wp-config.php liegen, was ja auch normalerweise der Fall ist.
In die .htaccess kommt dieser Code
# protect wpconfig.php
<files wp-config.php>
Order deny,allow
deny from all
</files>
Das trägt dann auch zur Wordpress-Sicherheit bei
Zur Sicherheit die Daten verstecken
Secure WordPress versteckt wirkungsvoll Hinweise und Fehlermeldungen, die Wordpress außerhalb aber auch im Backend so gibt. Schon allein beim Anmelden im Backend liefert Wordpress Angreifern wertvolle Hilfe, noch mehr „hilft“ Wordpress, wenn Sie anderen Usern den Weg ins Backend zulassen. Mit „Secure WordPress“ verstecken Sie Informationen, die potenzielle Angreifer gerne nutzen. Weitere Infos liefern die Entwickler
http://www.websitedefender.com/secure-wordpress-plugin/
Das Plugin gibts hier:
http://wordpress.org/extend/plugins/secure-wordpress/
Begrenzter Zugriff auf wp-content und wp-includes
In diesem Schritt schränken wir den Zugriff für bestimmte Verzeichnisse ein. Und verhindern damit
den Zugriff auf Bilder, und CSS,
Der folgende Code muss per ftp in den .htaccess- Dateien in den Verzeichnissen wp-content und wp-includes abgelegt werden.
Order Allow,
Deny Deny from all
<Files ~ ".(css|jpe?g|png|gif|js)$"> Allow from all
</Files>
Im Grunde reicht dazu eine einfache .txt-Datei, die erst per FTP auf den Server geschoben/kopiert und dann serverseitig mit Hilfe des FTP-Programms umbenannt wird. Das geht noch nicht auf dem Windows-PC, weil dieser derartige .htaccess Dateien nicht zulässt.
In manchem Fälle kann es nötig sein” bestimmten” PHP Datei (en) Zugriff für Templates oder Plugins zu geben.
Böse Plugins, gute Plugins
Vesuchen Sie die Anzahl der Plugins nicht unnötig groß zu machen und wenn Sie WordPress Plugins einsetzen, installieren Sie diese nur direkt von
http://wordpress.org/extend/plugins/
oder direkt auch aus dem Wordpress Backend heraus. Warum? Es gibt böse Buben, die Plugins zum Download anbieten und die Plugins mit Schadcode zu versehen. Das Problem umgehen Sie, wenn Sie sich grundsätzlich an diesen Tipp halten.
Schutz vor Spam
Akismet
Grundsätzlich ist das Plugin Akismet in jeder Wordpress-Installation enthalten, das liegt daran, dass Akismet seine Aufgabe, Wordpress vor Spam zu schützen, sehr gut wahrnimmt. Allerdingt ist Akismet nur für private Nutzer kostenlos und auch rechtlich sehr problematisch.
Zitat aus Wordpress Deutschland: „Akismet erhebt nämlich eine Menge Daten (IP, Kommentarname, Kommentarmailadresse, Kommentar, Browser und viele weitere) und sendet diese an Server in den USA. Tools wie Google Analytics tun das gleiche und stehen deshalb unter starkem Beschuss von Datenschützern, da sie angeblich gegen die Datenschutzgesetze verstoßen.“
Wenn man das mit der Diskussion um Google Analytics vergleicht, dann würde ich dazu neigen, das Plugin nicht zu nutzen, einfach auch weil es eine Alternative gibt.
Antispam Bee
Eine gleichwertige Alternative für Wordpress aus Deutschland ist Antispam Bee. Offenbar gleich wirksam wie Akismet, aber immer, also auch für Firmen kostenlos und rechtlich unproblematisch, weil keinen IP, also personenbezogenen Dateien gespeichert bzw. weitergegeben werden
.WordPress Online Security Scanner
folgt