WordPress: So schützen Sie Ihre Website vor Hackern

Das beliebte Content Management-System WordPress ist in einer Standard-Installation leider nicht als allzu sicher zu bezeichnen. Es ist für einen Hacker geradezu einfach, in die Webseite einzudringen, sie zu verseuchen, als Spamschleuder zu missbrauchen oder ähnliches. Die Unsicherheit fängt bereits damit an, dass WordPress den Benutzernamen als Klasse verwendet. So müssen potenzielle Hacker nur noch das Passwort herausfinden, um die betreffende Webseite zu kapern. Um das zu verhindern, stelle ich im folgenden Beitrag einige einfach umzusetzende, aber sehr sinnvolle und effiziente Tricks vor.

Vorab: Kann es überhaupt absolute Sicherheit geben?

Der Begriff Sicherheit bezieht sich auf ein bestimmtes Szenario und ist dort binär: Entweder ein System ist gegenüber genau diesem Szenario sicher oder eben nicht. Soll heißen: wenn jemand über mehr als eine Methode, sehr viel Erfahrung und beste Software verfügt, wird er es schaffen, Ihre Webseite zu hacken.

Die gute Nachricht ist jedoch, dass die meisten Angriffe gegen WordPress-Webseiten nicht von erfahrenen Hackern, sondern von Bots oder sogenannten Script-Kiddies durchgeführt werden. Und je mehr Maßnahmen Sie gegen das Gehacktwerden ergreifen, desto geringer werden die Chancen, dass die Hacker oder Bots erfolgreich sind.

1. Sicherheit fängt bei der Installation von WordPress an

Folgende Einstellungen in der wp-config.php dürfen auf keinen Fall fehlen:

Die Sicherheitsschlüssel in der wp-config.php

Die Sicherheitsschlüssel in der wp-config.php

WordPress bietet Ihnen auf https://api.wordpress.org/secret-key/1.1/salt/ den Service, diese Keys zu generieren. Nutzen Sie ihn daher, da diese Schlüssel wirklich zur Sicherheit Ihrer Webseite beitragen.

Tauschen Sie den generierten Zeichenblock einfach gegen den Originalblock in der wp-config.php aus.

Das Tabellenpräfix in der wp-config.php

Das Tabellenpräfix in der wp-config.php

Das Tabellenpräfix sollte auf keinen Fall auf dem Standard „wp_“ gelassen werden. Dieser Wert wird nur einmalig zugewiesen, Sie müssen sich daher nicht merken, was Sie eingeben. Je kryptischer der Wert, desto besser. Beispiel: WdFtVXeeDff_wp_

Zugriff von außen auf die wp-config.php verbieten

Damit erst gar nicht die Chance für Hacker entstehen kann, auf diese wirklich wichtige Datei zugreifen zu können, verbieten wir jetzt per .htaccess den Zugriff von außen.

1
2
3
4
5
# Zugriff auf wp-config.php verbieten
<files wp-config.php>
Order deny,allow
deny from all
</files>

Übrigens müssen sich .htaccess und wp-config.php im selben Verzeichnis befinden.

Standard-Administrator löschen

Als nächstes sollten Sie den Standard-Administrator admin, der von WordPress bei der Installation angelegt wird, löschen. Denn vom Standard-Admin mit der von WordPress zugewiesenen ID #1 gehen auch die Bösewichter und Bots aus. Die müssten dann also nur noch Ihr Passwort erraten und dann…

Legen Sie als erstes über Benutzer => Neu hinzufügen einen neuen Administrator an, der nicht Admin oder Administrator heißt. Dann loggen Sie sich aus. Anschließend loggen Sie sich mit den neuen Daten wieder ein und löschen den alten Account.

Wählen Sie ein sicheres Passwort

Je populärer die Webseite ist, desto größer stehen die Chancen, gehackt zu werden. Wenn Sie ein schwaches Passwort wählen, machen Sie es den bösen Buben nur noch leichter.

Das Passwort sollte mindestens 7 Zeichen lang sein. Um es sicherer zu machen, verwenden Sie Groß-/Kleinschreibung, Ziffern und Symbole wie ! ” ? $ % ^ & ).

Ich persönlich bin etwas paranoider, meine Passwörter sind 25 Zeichen lang.

Die Autor CSS-Klasse aus den Kommentaren entfernen

Standardmäßig fügt WordPress den Loginnamen als Klasse zu den Kommentaren hinzu (siehe Bild ganz oben). Um das zu verhindern, fügen Sie einfach folgenden Code in Ihre functions.php ein:

1
2
3
4
5
6
7
8
9
10
11
12
// Security: Hide Usernames from Classes
 
function andys_remove_comment_author_class( $classes ) {
foreach( $classes as $key => $class ) {
if(strstr($class, "comment-author-")) {
unset( $classes[$key] );
}
}
return $classes;
}
 
add_filter( 'comment_class' , 'andys_remove_comment_author_class' );

Als nächstes sollte noch die WordPress-Version aus dem Headbereich des HTML-Quelltextes entfernt werden, da anhand der Versionsnummer Sicherheitslücken herausgefunden werden können. Folgenden Codeschnipsel schreiben Sie dazu ebenfalls in die functions.php.

1
2
// Security: Hide WordPress Version in Sourcecode Head
remove_action('wp_head','wp_generator');

2. WordPress-Installation und Plugins immer zeitnah updaten

Mit der Veröffentlichung einer neuen WordPress-Version steigen auch die Chancen, dass ältere Versionen gehackt werden. Denn mit jedem neuen Release werden die Schwachstellen beschrieben, die mit eben diesem Release gefixt wurden.

Auch Plugins sind immer wieder das Einfalltor für Angriffe. Deswegen achten Sie bitte darauf, WordPress und alle Plugins immer auf den neuesten Stand zu bringen.

Das Script TimThumb.php zur Bildverkleinerung

Das wirklich nutzbringende Script timthumb.php hatte in letzter Zeit einige Sicherheitslücken, die von Hackern brutal ausgenutzt wurden. Aus diesem Grund ist es extrem wichtig, dieses Script immer auf dem neuesten Stand zu halten. Viele kommerzielle und auch nichtkommerzielle Themes nutzen dieses hervorragende Script. Das ist jedoch dem stolzen Besitzer einer WordPress-getriebenen Webseite meist nicht bewusst. Um herauszufinden, ob auch Ihre Webseite dieses Script nutzt, sollten Sie sich das Plugin Timthumb Vulnerability Scanner installieren. Die jeweils neueste Version von TimThumb.php können Sie sich via Googlecode herunterladen.

3. Sichern Sie den Adminbereich ab

Der Adminbereich ist das Herz einer WordPress-Installation. Ist diese Hürde erst einmal genommen, kann ein Hacker alles mit der Webseite anstellen, was er will. Zum Beispiel alles löschen…

Erst vor kurzem wurde der Premium WordPress-Theme Provider woothemes.com gehackt. Die komplette Datenbank sowie alle Backups wurden von den Hackern auf dem Server gelöscht. Lesen Sie hier, wie es woothemes ergangen ist.

Um eine solche Katastrophe zu verhindern, sind nur einige kleine Schritte notwendig.

Nutzen Sie das Plugin „Limit Login Attempts“

Das Plugin Limit Login Attempts bietet Ihnen gleich mehrere Vorteile. Erstens reduziert es die Anzahl der möglichen Login-Versuche, zweitens ändert es die überdetaillierten Fehlermeldungen (bei nicht-erfolgreichen Loginversuchen) von WordPress ab.

Standardmäßig bietet WordPress Ihnen so viele Loginversuche an, wie Sie benötigen. Bei einem Login-Fehler zeigt es Ihnen akribisch auf, ob Benutzername oder Passwort falsch waren. Limit Login Attempts ändert die Fehlermeldung dahingehend, dass nur noch anzeigt wird, dass die Eingabe fehlerhaft war. Es wird jedoch nicht mehr deutlich, was genau der Fehler war.

Die Einstellungen des Limit Login Attempts Plugins

Ein weiterer Vorteil ist, dass das Plugin jeden Hackversuch mit der IP-Adresse, von der der Angriff ausging, protokolliert. Dies kann man anschließend nutzen, um die betreffenden IP-Adressen per .htaccess zu sperren.

Limit Login Attempts speichert die IP-Adressen, von denen Hackversuche ausgegangen sind

Einen fehlerhaften Loginversuch stellt das Plugin nun wie folgt dar:

Darstellung eines Login-Fehlers mit dem Plugin Limit Login Attempts

Schützen Sie den Adminbereich doppelt

Der Adminbereich einer WordPress-Webseite ist das schwächste Glied in der Kette. Wer diese Hürde nimmt, ist in Ihrer Webseite und kann alles damit anstellen, was er will…

Die Idee ist, den Adminbereich mittels eines vorgeschalteten Passwortes bereits zu schützen, bevor er aufgerufen werden kann.

Der Adminschutz mit .htaccess und .htpasswd

Die Einrichtung eines solchen, zusätzlichen Schutzes geht relativ leicht vonstatten.

Als erstes gilt es eine leere .htpasswd Datei zu erzeugen. Hierzu erstellt man mit einem reinen Texteditor eine leere Datei, nennt sie .htpasswd.txt und lädt sie in das Hauptverzeichnis des Servers. Im Anschluss benennt man sie auf dem Server in .htpasswd um und lädt sie auf den heimischen Rechner runter. Nun erzeugen wir mit dem Htpasswd Generator eine Kombination aus Benutzername und Passwort und speichern sie in die .htpasswd. Sie lässt sich mit dem Editor öffnen und speichern. Diese Datei wird nun in das Hauptverzeichnis des Servers zurück geladen.

Nun ergänzen wir die .htaccess Datei, die ebenfalls im Hauptverzeichnis des Servers liegt, mit einigen wenigen Zeilen Code.

1
2
3
4
5
6
7
8
9
10
11
<Files wp-login.php>
  AuthName "Admin-Bereich"
  AuthType Basic
  AuthUserFile /pfad/zu/.htpasswd
  require valid-user
</Files>
 
<FilesMatch "(.htaccess|.htpasswd|wp-config.php|liesmich.html|readme.html)">
  order deny,allow
  deny from all
</FilesMatch>

Wichtig ist, bei dem obigen Code darauf zu achten, dass der korrekte Pfad zur .htpasswd angegeben wird. Nun ist der Administrationsbereich doppelt gut geschützt.

Codebeispiel und Quelle: „Mehr Sicherheit für WordPress durch den Admin Schutz“

Zusammenfassung

Durch die Kombination aller oben aufgeführten Maßnahmen haben wir nun eine recht hohe Sicherheitsschwelle erreicht. Ein Eindringen in die WordPress-Webseite wird nur noch wirklichen Könnern und Spezialisten gelingen. Ich hoffe, durch diesen Artikel meinen Beitrag zu einer verbesserten Sicherheits-Philosophie geleistet zu haben.

(dpe)

ist freier Journalist, Spezialist für WordPress und WordPress Sicherheit und schreibt seit 2012 für Dr. Web. Nebenbei ist er Autor mehrerer E-Books zu den Themen Lebenshilfe, Marketing und WordPress. Auf seinem Blog TechBrain.de schreibt er über das Schreiben und Bloggen und veröffentlicht nützliche WordPress-Snippets.

Sortiert nach:   neueste | älteste | beste Bewertung
trackback

[…] zu schaffen, ist jetzt ein wirklich guter und ausführlicher Artikel von mir auf drWeb.de online.WordPress: So schützen Sie Ihre Website vor HackernIch hatte ja schon mal vor einiger Zeit hier dieses Thema behandelt, aber der Artikel auf drWeb.de […]

Anonym
Gast
Anonym
4 Jahre 19 Tage her

Danke für den Artikel, wenn ich allerdings den Code für „Die Autor CSS-Klasse aus den Kommentaren entfernen“ eintrage in die functions.php im Ordner wp-includes dann erhalte ich eine weiße Seite. Was mache ich nur falsch? *grübel*

Andreas Hecht
Gast
4 Jahre 19 Tage her

Hallo,

bei mir funktioniert der Code gleich auf mehreren Installationen. Bitte achte darauf, den Code ohne die Zeilennummern zu kopieren und setze ihn entweder an den Anfang der functions.php gleich unter das öffnende <?php oder ganz an das Ende. Dann sollte es einwandfrei klappen.

Der Ordner wp-includes ist absolut falsch! Der Code gehört in die functions.php des Themes – wp-content => themes => Dein Theme => functions.php ist der korrekte Ort.

Anonym
Gast
Anonym
4 Jahre 19 Tage her

vielen herzlichen Dank. Gewusst wie… jetzt klappt auch alles.

Zu erwähnen wäre vielleicht noch dass das Präfix einer bestehenden Installation nicht geändert werden darf. Aber vielleicht wissen das auch die meisten. :)

Bärbel Loy
Gast
4 Jahre 19 Tage her

Interessanter und nützlicher Beitrag zur Absicherung von WordPress. Ich selber habe schon mal aus Sicherheitserwägungen heraus einen bestehenden Präfix nach Fertigstellung eines Blogs geändert. Hierzu müssen nicht nur Änderungen in der wp-config.php gemacht werden, sondern auch sämtliche Tabellen selber und Einträge innerhalb der einzelnen Tabellen nach dem Präfix abgesucht und geändert werden. Dieses kann schon Zeit und Nerven kosten, wenn keine guten SQL Kenntnisse(die das Suchen erleichtern) vorhanden sind.

Andreas Hecht
Gast
Andreas Hecht
4 Jahre 19 Tage her

@Bärbel Loy

Mit dem Plugin WP Security Scan geht das Umbenennen des Präfixes deutlich komfortabler. Trotzdem sollte man da nur Profis ranlassen.

Bärbel Loy
Gast
4 Jahre 19 Tage her

@andreas – danke für den Hinweis mit dem Plugin – kannte ich bis jetzt noch nicht – aber gebe Dir auf jeden Fall Recht. „Es sollte in erfahrene Hände gelegt werden“.

Ich habe mir angewöhnt den Präfix direkt bei der Installation zu ändern und gut ist.

Frank
Gast
4 Jahre 19 Tage her

Ich habe meinen Blog mit der „Zwei Wege Authentifizierung“ Google Authenticator geschützt. Wäre vielleicht auch noch erwähnenswert.

Dennis
Gast
Dennis
4 Jahre 19 Tage her

Schöne Liste mit den wichtigsten Maßnahmen für die 1. Absicherung. Danke.

Grüße
Dennis

trackback

[…] Und bevor ich das mit meinem Geschreibe nur kaputt mache, gibts diesmal ein Linkpeitsche zum Beitrag "WordPress: So schützen Sie Ihre Website vor Hackern". […]

Stefan M.
Gast
4 Jahre 19 Tage her

remove_action(‚wp_head‘,’wp_generator‘);

alleine schütz nicht viel.

Der Code unten entfernt die Versionsangabe auch aus anderen Bereichen von WordPress:

$actions = array( ‚wp_head‘, ‚rss2_head‘, ‚commentsrss2_head‘, ‚rss_head‘, ‚rdf_header‘, ‚atom_head‘, ‚comments_atom_head‘, ‚opml_head‘, ‚app_head‘ );
foreach ( $actions as $action ) {
remove_action( $action, ‚the_generator‘ );
}

Auch empfehle ich noch folgende Codes zum entfernen der Versionsinformationen der JS und CSS Dateien:
add_filter( ’script_loader_src‘, array(&$this, ’strip_jscss_versions‘) );
add_filter( ’style_loader_src‘, array(&$this, ’strip_jscss_versions‘) );

Stefan M.
Gast
4 Jahre 19 Tage her

Mist, die Funktion braucht man auch noch,. ist es in keiner Classe drin, noch das array (&$this,) entfernen aus dem oberen Text :)

function strip_jscss_versions($src) {
if (stripos($src, „?ver=“) OR stripos($src, „?v=“)) {
$src = explode(‚?v‘, $src);
return $src[0];
}
elseif (stripos($src, „&ver=“) OR stripos($src, „&v=“)) {
$src = explode(‚&v‘, $src);
return $src[0];
}
return $src;
}

Andreas Hecht
Gast
Andreas Hecht
4 Jahre 19 Tage her

Hi Stefan,

danke für die nützlichen Ergänzungen! Ich werde Deinen Code demnächst mal eingehend testen, vielleicht wird er Teil des Andy’sThemes Framework.

Viele Grüße in die Schweiz.

Bärbel Loy
Gast
4 Jahre 19 Tage her

@stefan – sehr nützliche Codes. Danke für die Bereitstellung – werde ich auch mal testen.

trackback

[…] WordPress: So schützen Sie Ihre Website vor Hackern […]

Stefan
Gast
4 Jahre 18 Tage her

Ein ausführlicher Artikel zu einem wichtigen Thema, welches gerne vernachlässigt wird. Da die Basics wie Passwort und Updaten erwähnt wurden, hätte ich vielleicht noch auf ein Backup Plan hingewiesen.

reraiseace
Gast
4 Jahre 3 Tage her
Netter Artikel, wie er sicher schon 1000 Mal geschrieben wurde. Keine Kritik, nur lernen Menschen eben nur durch ständige Wiederholung. Was mir in dem Artikel fehlt, ist die Tatsache, dass der Login-Name im Frontend ganz schnell geändert werden kann. Im Profil kann man einen Anzeigenamen vergeben und eben jenen auch standardmäßig anzeigen lassen. Das bringt zusätzliche Sicherheit. Bei der Installation kann man seit WordPress 3 den ersten Benutzer frei einrichten. Also auch freie Namenswahl. Daher muss man den User mit der ID 1 eigentlich nicht mehr löschen. Zusätzlich sollte man Dateien, die die WP Version enthalten für den Zugriff sperren… Read more »
trackback

[…] Quelle: Dr. Web […]

Rocco Zeiler
Gast
3 Jahre 11 Monate her

Eines würde ich gerne nachtragen! Ist zwar ne Kleinigkeit aber sicher nicht schlecht! ;)

Den Admin Bereich SSL schützen und zwar tragt man in die wp-config.php folgendes ein: define(‚FORCE_SSL_ADMIN‘, true);

Daniela
Gast
Daniela
3 Jahre 9 Monate her

Herzlichen Dank! Das ging alles wunderbar bis zum Teil mit dem Passwort-Schutz.
Gilt das so nur fuer die deutsche Version? Ich bekomme einen Server-Error:
Internal Server Error

The server encountered an internal error or misconfiguration and was unable to complete your request.

;-)

Frederik
Gast
Frederik
3 Jahre 8 Monate her
Brauche professionelle Unterstützung: Aktuell hat „jemand“ unter einer kanadischen anonymen-.com-Domain einen WordPress-BLOG ins Netzt gestellt und veröffentlicht dort die übelsten Gerüchte über mich. Sein Ziel: ich soll die gegen ihn eingereichte Schadenersatzklage wieder zurückziehen. Seine rechtliche Position ist mager. Deshalb versucht er mich, was ich dem Autor leider nicht konkret nachweisen kann, über die Verbreitung von Unwahrheitem im Netz zu verunglimpfen – in dem Glaube, mich damit an einem wunden Punkt zu treffen. Das ist ihm gelungen, doch ich werde meine Klage nicht zurückziehen. Was Recht ist muss Recht bleiben, oder? Doch zwischen den Zeilen kann ich den Urheber des… Read more »
Michael
Gast
3 Jahre 6 Monate her

Sehr guter Artikel! Hat mit wirklich sehr geholfen, danke. :D

Grüße Michael

Peter
Gast
3 Jahre 2 Monate her
Tja, ich gehöre zu denen welche geleimt wurden. Kommt davon wenn man sich in WP Sicherheit noch durch wurschteln muss. Hilfe kann ich in meiner Gegegnd hier nicht erwarten, also steht man allein da. Gestern Brute Force Attack, zwei Blog kein LogIn mehr möglich. phpAdmin neue Einträge brachten nicht. cPanel Password verändert, alles umsonst. Sonntagfrüh meine Domain total blockiert. IPS Firewall blockiert in Firefox 20 Chrome zeigt nur 404. Von allem Printscreen gemacht und meinem HPS über GMail geschickt LogIn cPanel funktioniert, FTP wurde alles gelöscht worden. Passwordveränderungen funktionierten zwei dreimal danach wieder alles blockiert. Meine Passw. stärke 15 -17… Read more »
Dirk-D. Hansmann
Gast
3 Jahre 1 Monat her
Einen ganz herzlichen Dank für diesen Artikel! Er hat mir sehr schnell geholfen und ich konnte noch während des Angriffs die Mauer etwas hoch setzen, also was durch Programmerweiterungen zu machen war, dass hatte ich schon. Doch jetzt wo ich zwei Wellen ganz gut überstanden habe, da wollte ich „meinem persönlichen Freund“ doch noch ein Extra-Login anbieten. Das funktioniert, wenn ich mich in den Admin-Bereich einloggen will soweit, dass ich Name und Pass-Wort eingeben kann. Wenn ich das Passwort bestätige, dann kommt die Fehlermeldung 404. Wo will er hin? Und wie sage ich ihm: Nur zum nächsten Login für den… Read more »
trackback

[…] ein bauen, in diesem Fall einen Zugriffsschutz auf Serverebene. Wie man dies genau macht, kann man hier […]

Klaus
Gast
2 Jahre 11 Monate her

Eine schöne kleiner Liste die jeder lesen sollte der WordPress nutzt. Dann gibt es diese Panikattacken nicht mehr – wo jeder plötzlich erzählt hat wie unsicher WordPress ist.

Zusätzlich würde ich noch 10 bis 20 Nutzer anlegen und diese hinterher löschen. Ein andere Hinweis der mir noch einfiel – nicht als Admin schreiben sondern als Redakteur.

Den Redakteur in den sichtbaren Bereich und der Admin nur im Backend – saubere Trennung.

Klaus

trackback

[…] Folgendes: Mein Blog wurde gestern aus Sicherheitsgründen gesperrt und ich müsste nun folgende Konfigurationen durchführen, damit er wieder entsperrt wird -> Link zur Konfigurationsliste. […]

Achim
Gast
2 Jahre 8 Monate her

Hallo Andreas,

vielen Dank für die schöne Ausführung zum Thema wie kann ich mich schützen.
„Schützen Sie den Adminbereich doppelt“, habe ich via .htpasswd gemacht und funktioniert seit geraumer Zeit super. War auch notwendig weil ein Hacker mein Admin User raus bekommen hat. Allerdings ist so auch die Registrierung und Anmeldung für neue User blockiert. Die Kommentare können aber geschrieben werden nur keine eigenen Beiträge. Wie kann ich das ändern oder was mich ich da falsch. Für Hilfe – im voraus besten Dank. Achim

John Alexander
Gast
2 Jahre 3 Monate her

Die meisten dieser Sicherheitsmaßnahmen und noch einige mehr werden durch das Plugin „Better WP Security“ abgedeckt.

Viele Grüße

Uli

Christiane
Gast
Christiane
2 Jahre 3 Monate her

Hi! Frage eines Halblaien: muss man, um sich gut vor Haeckern zu schuetzen, ALLES befolgen, was in deinem Artikel steht? Oder reicht es, wenn ich das eine oder andere befolge? Ist es villeicht so, dass – je mehr ich befolge, um so sicher die Seite wird?
Danke!!!!!!!!!!!

John Alexander
Gast
John Alexander
2 Jahre 3 Monate her

Also, ich denke mal, mehr hilft mehr. Trotzdem gilt auch hier wie überall: eine 100 % Sicherheit gibt es nicht. Trotzdem empfehle ich nochmals hier zumindest für WordPress das Pluigin “Better WP Security”. Das hat jetzt einen neuen Namen bekommen. Und zwar heißt es jetzt: „iThemes Security“. Jedenfalls sehr zu empfehlen, weil damit noch viel mehr abgedeckt wird als in diesem Artikel beschrieben worden ist.

Stefan Feldpusch
Gast
1 Jahr 5 Monate her

Hallo John,

Ich bin auch schon über das iThemem Security gestolpert und kann es nur wärmstens empfehlen. Mir bleibt jedoch noch ein Frage offen zu der ich noch keine Antwort gefunden habe.
Sollte ich den Zugriff auf den Loginbereich noch zusätzlich durch eine .htpasswd schützen oder reicht es den Bereich über das iTheme Security Plugin zu verstecken?

MFG Stefan

Denis Werner
Gast
1 Jahr 11 Monate her

Hallo Andreas,

schöner Artikel mit vielen wertvollen Tipps. Du schreibst ja, dass man die Autorenkürzel im CSS entfernen soll, was durchaus sinnvoll ist. Die Autorennamen, auch von Autoren, die noch keinen Artikel veröffentlicht haben, kann man aber noch über einen anderen Trick erfahren. Dazu hängt man einfach ein /?author=1 (2,3,..) an die URL an und wird dann weitergeleitet.
Wer mehr darüber erfahren will und wissen will, was dagegen hilft, kann mal in meinem Blogbeitrag dazu vorbei schauen:
http://blog.nobbd.de/artikel.php?titel=Woher-kennen-Hacker-und-Bots-meine-Wordpress-Loginnamen

Gruß,
Denis

marta
Gast
marta
1 Jahr 11 Monate her

Vielen Dank für die ausführlichen Infos! Eine Frage hätte ich: kann man die unter Punkt 1 gelisteten Maßnahmen, v.a. die ersten, auch noch nach der Installation vornehmen?

Tanja
Gast
Tanja
1 Jahr 11 Monate her

Hallo Andreas,
hab die functions so übernommen für mein child. Das klappt auch…
aber bei (…andys_remove_comment_author_class‘ );) das muss ich doch umschreiben, nicht wahr? Ich verstehe das jetzt nicht so ganz, weil ich mich mit php nicht wirklich gut auskenne.

Torsten
Gast
1 Jahr 8 Monate her

Hallo Herr Hecht,

die Erklärung ist sehr gut gestaltet und auch leicht verständlich für mich als Wp Neuling. Leider verstehe ich den Punkt „Standard-Administrator löschen“ nicht ganz. Das man den Begriff Admin löschen sollte ist klar , ich kann aber im ganz normalen Entwicklertool z.B. von Chromo sehen wie der richtige Anmeldename ist und somit sollte es doch für Hacker einfach sein dies nur noch das Passwort rauszubekommen. Man sollte natürlich darauf achten das, das Passwort komplex ist. Mir stellt sich nur die Frage reicht das aus ?.

Vielen Dank für Ihren Beitrag.

Herbert Kaiser
Gast
1 Jahr 7 Monate her

Das Entfernen der Autor CSS-Klasse aus den Kommentaren bringt nicht viel. Sucht man den Quelltext eines Beitrages nach dem Benutzerbnamen ab, so findet man ihn weiterhin im Link auf die weiteren Beiträge des Autors.

trackback

[…] WordPress: So schützen Sie Ihre Website vor Hackern – Dr. Web. […]

IRS
Gast
IRS
5 Monate 4 Tage her

Super Beitrag, vielen Dank! Sind diese Ratschläge zum Schutz des Worpdpress Accounts denn noch aktuell oder gibt es inzwischen neue Maßnahmen? Oder sind Teile hiervon schon veraltet?

trackback

[…] man den Admin-Zugang einer WordPress-Website per .htaccess und .htpasswd wirkungsvoll absichert, haben wir bereits beschrieben. Ebenfalls wird die potenziell unsichere […]

trackback

[…] so wird unser Anmeldename als Klasse comment-author-username auslesbar. Das lässt sich aber über einen Filter ausbügeln. Die Ausgabe wird einfach nach comment-author-* durchsucht und dieser Teil dann […]

wpDiscuz

Mit der Nutzung unseres Angebots erklärst du dich damit einverstanden, dass wir Cookies verwenden. Weitere Informationen

Wir verwenden Cookies, um Inhalte und Anzeigen zu personalisieren, Funktionen für soziale Medien anzubieten und die Zugriffe auf unsere Website zu analysieren. Dadurch geben wir nicht personenbezogene Informationen zur Nutzung unserer Website an unsere Partner für soziale Medien, Werbung und Analysen weiter. Nähere Informationen findest du in unserer Datenschutzerklärung. Durch die Weiternutzung unserer Website (oder das ausdrückliche Klicken auf "Einverstanden") gehen wir davon aus, dass du mit der Verwendung von Cookies einverstanden bist.

Schließen