Spaces. Smartes Cloud Hosting für anspruchsvolle Webprojekte. Loslegen und Spaces testen. Von Mittwald.
Andreas Hecht 9. Juli 2015

Grundlagen: WordPress installieren und optimal einrichten

WordPress ist für vie­le Menschen das Content Management System der Wahl, wenn es dar­um geht, eine Website oder einen Blog zu star­ten. Doch kaum jemand weiß mit hin­rei­chen­der Sicherheit, wie man WordPress opti­mal instal­liert, ein­rich­tet und gegen Hacking schützt. Daher zei­gen wir Ihnen in die­sem Beitrag ein­mal im Detail die dafür nöti­gen Schritte. Wenn Sie sich genau an die­se Anleitung hal­ten, wer­den Sie eine siche­re WordPress-Installation haben, die für den Anfang opti­mal ein­ge­rich­tet ist. Sie erfah­ren, was Sie in den wich­ti­gen Dateien wp-config.php und .htac­cess notie­ren müs­sen und wel­che Plugins die abso­lu­te Grundausstattung bedeu­ten.

wordpress-grundlagen-teaser_DE

Die Installation von WordPress

In die­sem Abschnitt behan­deln wir die wich­ti­gen zusätz­li­chen Einträge in die wp-config.php. Dass dort auch die Daten für die Datenbank mit­samt Zugangsdaten hin­ein müs­sen, wis­sen Sie selbst. Doch eini­ge zusätz­li­che Angaben ver­schaf­fen Ihnen ein Plus an Sicherheit, daher soll­te man sie unbe­dingt set­zen.

Die Sicherheitsschlüssel

sicherheitsschluessel

Die Sicherheitsschlüssel soll­ten unbe­dingt gesetzt wer­den, da durch sie die Cookies ver­schlüs­selt wer­den, die dem auto­ma­ti­schen Einloggen gel­ten. Speziell zur Generierung der Schlüssel stellt uns WordPress.org einen Generator zur Verfügung. Die vom Generator gene­rier­ten Schlüssel ein­fach durch Copy und Paste erset­zen.

Das Tabellen-Präfix

tabellenpraefix

Als Standard setzt WordPress bei jeder neu­en Installation hier ein “wp_” ein. Um einem even­tu­el­len (wenn auch nicht sehr wahr­schein­li­chen) MySql-Injection-Angriff vor­zu­beu­gen, erset­zen Sie den Standard mit irgend­et­was ande­rem. Achtung: Wenn die Webseite bereits online ist, soll­te man hier mög­lichst nichts ändern. Ansonsten funk­tio­niert die Website nicht mehr.

Die Datei-Editoren abschal­ten

datei-editoren-abschalten

Die Datei-Editoren in WordPress sind eine prak­ti­sche Sache. Man kann Theme und Plugin-Dateien direkt im Backend von WordPress bear­bei­ten. Leider sind die­se Editoren sehr häu­fig der Grund für wei­ße Seiten und eine Menge Fehler. Abgesehen davon, was ein even­tu­el­ler Einbrecher in dem Blog alles damit machen kann. Daher gehö­ren die Editoren kom­plett abge­schal­tet, man kann wich­ti­ge Arbeiten viel bes­ser und siche­rer über (S)FTP erle­di­gen.

Wichtige Einträge in der .htaccess-Datei

Die .htac­cess-Datei des Webservers oder des Webhosting-Pakets ist eine der wich­tigs­ten Dateien für eine siche­re WordPress-Installation. Ich emp­feh­le die Datei gleich bei der Installation von WordPress mit den rich­ti­gen Einträgen zu ver­sor­gen. Wichtig bei Einträgen in die Datei ist, dass alle zusätz­li­chen Einträge stets unter­halb von #End WordPress gemacht wer­den. Falls sie die zusätz­li­chen Einträge gar in das Feld mit den WordPress-Einträgen set­zen, funk­tio­niert Ihr WordPress nicht mehr.

htaccess-eintaege-ab-hier

Eine .htac­cess-Datei mit allen Einträgen zum Herunterladen

Alle wich­ti­gen Einträge für die Sicherheit und die Performance-Steigerung durch Browser-Caching und Kompression fin­den Sie in mei­ner Beispiel-htac­cess, die sie auf GitHub her­un­ter­la­den kön­nen.

Ein Klick auf die Grafik bringt Sie auf die her­un­ter­lad­ba­re Datei bei GitHub.
beispiel-htaccess-datei

Download .htac­cess-Datei von GitHub

Die Sicherheit der Installation

Leider ist Sicherheit ein ganz wich­ti­ges Thema für WordPress-Nutzer. Durch die sehr star­ke Verbreitung von WordPress wer­den immer wie­der Sicherheitslücken bekannt und aus­ge­nutzt. Daher soll­te man vor­beu­gen und sein WordPress so sicher wie mög­lich mit einem ver­tret­ba­ren Aufwand machen. Ich emp­feh­le hier eine von mir selbst ein­ge­hend getes­te­te 2-Faktor-Authentifizierung namens SecSign ID.

Was ist SecSign ID?

SecSign ID ist eine 2-Faktor-Authentifizierung mit­tels 2048-Bit-Schlüsselpaaren. Benutzernamen und Passwörter wer­den über­flüs­sig, es wer­den kei­ner­lei gehei­me Zugangsdaten auf einem Server gespei­chert. Passwörter, Tokens, das Abtippen von SMS oder Einmalcodes oder das Scannen von QR-Codes wer­den über­flüs­sig. Diese Art der Zugangssicherung macht es Kriminellen nicht mehr mög­lich, Ihre Passwörter zu steh­len oder zu erra­ten, es müs­sen auch kei­ner­lei ver­trau­li­che Zugangsdaten auf der Website ein­ge­ge­ben wer­den. Ihre Benutzerkonten sind somit sicher vor Phishing-Angriffen, Schadprogrammen, Brute-Force-Attacken und dem Diebstahl von Passwortlisten.

Die SecSign ID 2-Faktor-Authentifizierung im Video

Das Einrichten die­ser Sicherheitsvorkehrung geht recht ein­fach. Zuerst benö­tigt man die Smartphone-App, die es als Android- und iOS-Version kos­ten­frei gibt. Mit dem Assistenten rich­tet man sich nach der Installation der App eine SecSign-ID ein. Diese dient dann für alle WordPress-Websites, die das dafür nöti­ge Plugin instal­liert haben.

Das SecSign ID WordPress-Plugin installieren und einrichten

secsign-id-plugin

  • Entwickler: SecSign
  • Wird stän­dig wei­ter ent­wi­ckelt: Ja
  • Letzte Version vom: 21.04.2015
  • Kosten: kos­ten­frei über WordPress.org
  • Lizenz: GNU GENERAL PUBLIC LICENSE
  • Wechselwirkungen mit ande­ren Plugins: nicht bekannt
  • Entwickler-Homepage: SecSign ID Homepage
  • Download von WordPress.org

Die opti­ma­le Einrichtung des SecSign ID-Plugins

Auf der fol­gen­den Grafik sehen Sie die opti­ma­le Konfiguration des Plugins. Wenn Sie genau­so vor­ge­hen, ist nur noch das Einloggen mit der SecSign ID erlaubt. Im Sinne der Sicherheit sind die getä­tig­ten Einstellungen opti­mal, da kei­ner­lei Sicherheitslücken durch eine even­tu­el­le “Benutzername – Passwort” Kombination übrig bleibt.

Ein Klick auf die Grafik öff­net einen voll­stän­di­gen, hoch­auf­lö­sen­den Screenshot
SecSign-ID-Login-options-vorschau

Eine letzte Sicherheitslücke

Ihre WordPress-Website ist nun wirk­lich rela­tiv sicher und geschützt vor Hacker-Angriffen. Allerdings gibt es noch eine ein­zi­ge, rela­ti­ve Sicherheitslücke, und das ist der FTP-Zugang. Grundsätzlich soll­te kei­ne FTP-Zugangsmöglichkeit vor­han­den sein, son­dern alter­na­tiv nur der Zugang über (bes­ten­falls) SSH. Doch das ist nicht die Realität. In der Realität ist es oft­mals nicht ein­mal mög­lich, statt über FTP einen Zugang über SFTP zu nut­zen, weil der Webhoster das nicht vor­sieht und nicht ein­ge­rich­tet hat.

Zur Erklärung: bei einem SFTP- oder SSH-Zugang wer­den die Daten und auch die Zugangsdaten ver­schlüs­selt über­tra­gen, was dass Abfangen von Zugangsdaten extrem erschwert. Bei einem rei­nen FTP-Zugang erfolgt die Authentifizierung und Übertragung unver­schlüs­selt.

Sollten Sie kei­ne ande­re Möglichkeit als einen FTP-Zugang zu Ihrem Server oder auf Ihr Webhosting-Paket haben, so emp­feh­le ich Ihnen, dass dafür nöti­ge Passwort so sicher wie nur mög­lich zu gestal­ten. Empfehlenswert wären eine Länge von 20 Zeichen, Groß- und Kleinschreibung, Sonderzeichen und Zahlen.

Die wichtige Grundausstattung mit WordPress-Plugins

Die abso­lu­te Grundausstattung sind bei mir nur zwei Plugins. Diese dür­fen mei­nes Erachtens in kei­ner Installation feh­len. Ich set­ze bei­de Plugins bereits seit Jahren auf viel­fäl­ti­gen Websites ein und kann sie vor­be­halt­los emp­feh­len.

Antispam Bee

antispam-bee

Antispam Bee ist eine der vie­len mög­li­chen Lösungen gegen Kommentar-Spam, jedoch sehr wir­kungs­voll und wer­be­frei. Im Gegensatz zu der WordPress eige­nen Lösung Akismet voll­kom­men kos­ten­frei auch für kom­mer­zi­ell genutz­te Websites, Akismet möch­te bei einer kom­mer­zi­ell genutz­ten WordPress-Website min­des­tens 5 USD im Monat haben.

  • Entwickler: (bis­lang) Sergej Müller
  • Wird stän­dig wei­ter ent­wi­ckelt: Ja
  • Letzte Version vom: 23.04.2015
  • Kosten: kos­ten­frei über WordPress.org
  • Lizenz: GNU GENERAL PUBLIC LICENSE
  • Wechselwirkungen mit ande­ren Plugins: nicht bekannt
  • Entwickler-Homepage: Antispam Bee Website mit Dokumentation
  • Download von WordPress.org

BBQ – Block Bad Queries

block-bad-queries-wordpress-plugin

Das BBQ-Plugin ist ein sicher­heits­re­le­van­tes Plugin, wel­ches zuver­läs­sig die bös­ar­ti­gen Zugriffe und Angriffe über die URLs blo­ckiert. Für mich gehört das Plugin zur Grundausstattung, es wird stän­dig aktua­li­siert und gepflegt und ver­schafft einer WordPress-Website ein klei­nes Plus an Sicherheit.

  • Entwickler: Jeff Starr und ande­re
  • Wird stän­dig wei­ter ent­wi­ckelt: Ja
  • Letzte Version vom: 14.03.2015
  • Kosten: kos­ten­frei über WordPress.org
  • Lizenz: GNU GENERAL PUBLIC LICENSE
  • Wechselwirkungen mit ande­ren Plugins: nicht bekannt
  • Entwickler-Homepage: BBQ: Block Bad Queries Homepage
  • Download von WordPress.org

Fazit

Mit die­ser klei­nen Liste haben Sie ein Werkzeug an die Hand bekom­men, mit dem Sie eine WordPress-Installation ein­fach, schnell und sicher auf­set­zen kön­nen. Die zusätz­li­che Arbeit bewegt sich im Rahmen von nicht mehr als einer Viertelstunde, ver­schafft Ihnen jedoch ein ech­tes Plus an Sicherheit. Jede zusätz­li­che Arbeit, jedes zusätz­li­che Plugin ist nun von der jewei­li­gen, indi­vi­du­el­len Website abhän­gig und auch von den per­sön­li­chen Vorlieben.

Links zum Beitrag

(dpe)

Andreas Hecht

Andreas Hecht

entwickelt WordPress-Websites und bietet dir einen Website Sicherheit Service und einen Performance Service für deine Website. Außerdem ist er Spezialist für Onpage SEO und bringt Deine Website in die Top-Suchergebnisse von Google. Auf seinem Blog schreibt er über WordPress, SEO und Content SEO.

10 Kommentare

  1. Hallo Andreas Hecht,

    ich ver­fol­ge dei­ne Beiträge schon ein paar Monate… Habe dein Buch bei Amazon gekauft… Und natür­lich gele­sen…

    Aber trotz­dem erschlie­ßen sich mir das ein oder ande­re über­haupt nicht…

    Wo fin­de ich denn die­se htac­cess Datei?

    Und zum Plugin ScSign ver­ste­he ich über­haupt nicht, wie man einen 4 stel­li­gen Zahlencode auf einem Handy als “sicher” dekla­rie­ren kann?

    Danke für die Hilfe!

  2. Wirklich Interessant! Besonders hat mir die Empfehlung von SecSign und Antispam Bee gefal­len, ich kann­te sie nicht.
    Es ist schwer heut­zu­ta­ge so gute Artikel wie die­sen im Internet zu fin­den.

  3. Ich muss ehr­lich sagen, dass es mir zu auf­wän­dig wäre, wenn ich für den Login immer mein Smartphone brau­chen wür­de. Wirklich wich­tig fin­de ich vor allem, dass man den Standardbenutzer admin löscht und durch einen ande­ren Benutzernamen ersetzt – und natür­lich regel­mä­ßi­ge Updates von WordPress und allen Plugins und Themes.

  4. Wer sich eine manu­el­le Installation erspa­ren möch­te und wert auf guten Support legt, dem kann ein spe­zia­li­sier­ter Provider für WordPress, wie z.B. http://www.wp-webhosting.de, wärms­tens emp­foh­len wer­den.

  5. Danke erst­mal für die Vorstellung von SecSign. Ich habe das gleich getes­tet und nach eini­gen Versuchen auch letzt­end­lich erfolg­reich. Woran mag es nur lie­gen, dass beim WP-Login bei­de Eingabefelder über­ein­an­der gezeigt wer­den? Erst der SecSign Login und dar­un­ter der übli­che WP-Login.

  6. Ich möch­te anmer­ken, dass nicht alle Anweisungen der .htac­cess Multisite-kom­pa­ti­bel sind

  7. Weshalb soll man denn bei Seiten die schon online sind das Table-Prefix nicht mehr ändern? Hindert mich doch nie­mand dar­an und und nur weil eine Seite online ist das doch über­haupt kein Grund es nicht zu tun.

  8. Nicht zu ver­ges­sen, dass man natür­lich auch einen siche­ren Hoster suchen muss ;) Gutes WordPress-Hosting gibt es hier im Vergleich http://www.top-wp-hosting.de/wordpress-hosting-vergleich/

  9. Eigentlich ein Interessanter Artikel… nur habe ich jetzt die SecSign Einstellungen so vor­ge­nom­men wie im Beitrag erwähnt (Ich habe also KEINE Möglichkeit mehr mit Passwort und Benutzername mich ein­zu­log­gen). Leider aber erhal­te ich via SecSign nur die fol­gen­de Meldung: “The authen­ti­ca­ti­on Server sent no Response or you are not con­nec­ted to the Internet.” Zweiteres ist ganz sicher nicht der Fall ;) Nun den Herr Hecht, ich hof­fe doch dass Sie mir auch einen Tipp haben, wie dass ich wie­der auf mein Backend zugrei­fen kann. Eine mög­lichst bal­di­ge Antwort ist natür­lich gewünscht :)

    • Hallo Herr Bellotti,

      log­gen Sie sich per (S)FTP auf Ihrem Webhosting-Paket ein, gehen Sie über den Ordner “wp-con­tent” zu dem Ordner “plugins” und benen­nen Sie den Ordner “secsign” ein­fach um in “secsign123”. Dann haben Sie wie­der nor­mal über Benutzername und Passwort Zugriff auf Ihre Website.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.