WordPress ist für viele Menschen das Content Management System der Wahl, wenn es darum geht, eine Website oder einen Blog zu starten. Doch kaum jemand weiß mit hinreichender Sicherheit, wie man WordPress optimal installiert, einrichtet und gegen Hacking schützt. Daher zeigen wir Ihnen in diesem Beitrag einmal im Detail die dafür nötigen Schritte. Wenn Sie sich genau an diese Anleitung halten, werden Sie eine sichere WordPress-Installation haben, die für den Anfang optimal eingerichtet ist. Sie erfahren, was Sie in den wichtigen Dateien wp-config.php und .htaccess notieren müssen und welche Plugins die absolute Grundausstattung bedeuten.
Die Installation von WordPress
In diesem Abschnitt behandeln wir die wichtigen zusätzlichen Einträge in die wp-config.php. Dass dort auch die Daten für die Datenbank mitsamt Zugangsdaten hinein müssen, wissen Sie selbst. Doch einige zusätzliche Angaben verschaffen Ihnen ein Plus an Sicherheit, daher sollte man sie unbedingt setzen.
Die Sicherheitsschlüssel
Die Sicherheitsschlüssel sollten unbedingt gesetzt werden, da durch sie die Cookies verschlüsselt werden, die dem automatischen Einloggen gelten. Speziell zur Generierung der Schlüssel stellt uns WordPress.org einen Generator zur Verfügung. Die vom Generator generierten Schlüssel einfach durch Copy und Paste ersetzen.
Das Tabellen-Präfix
Als Standard setzt WordPress bei jeder neuen Installation hier ein „wp_“ ein. Um einem eventuellen (wenn auch nicht sehr wahrscheinlichen) MySql-Injection-Angriff vorzubeugen, ersetzen Sie den Standard mit irgendetwas anderem. Achtung: Wenn die Webseite bereits online ist, sollte man hier möglichst nichts ändern. Ansonsten funktioniert die Website nicht mehr.
Die Datei-Editoren abschalten
Die Datei-Editoren in WordPress sind eine praktische Sache. Man kann Theme und Plugin-Dateien direkt im Backend von WordPress bearbeiten. Leider sind diese Editoren sehr häufig der Grund für weiße Seiten und eine Menge Fehler. Abgesehen davon, was ein eventueller Einbrecher in dem Blog alles damit machen kann. Daher gehören die Editoren komplett abgeschaltet, man kann wichtige Arbeiten viel besser und sicherer über (S)FTP erledigen.
Wichtige Einträge in der .htaccess-Datei
Die .htaccess-Datei des Webservers oder des Webhosting-Pakets ist eine der wichtigsten Dateien für eine sichere WordPress-Installation. Ich empfehle die Datei gleich bei der Installation von WordPress mit den richtigen Einträgen zu versorgen. Wichtig bei Einträgen in die Datei ist, dass alle zusätzlichen Einträge stets unterhalb von #End WordPress gemacht werden. Falls sie die zusätzlichen Einträge gar in das Feld mit den WordPress-Einträgen setzen, funktioniert Ihr WordPress nicht mehr.
Eine .htaccess-Datei mit allen Einträgen zum Herunterladen
Alle wichtigen Einträge für die Sicherheit und die Performance-Steigerung durch Browser-Caching und Kompression finden Sie in meiner Beispiel-htaccess, die sie auf GitHub herunterladen können.
Ein Klick auf die Grafik bringt Sie auf die herunterladbare Datei bei GitHub.
Download .htaccess-Datei von GitHub
Die Sicherheit der Installation
Leider ist Sicherheit ein ganz wichtiges Thema für WordPress-Nutzer. Durch die sehr starke Verbreitung von WordPress werden immer wieder Sicherheitslücken bekannt und ausgenutzt. Daher sollte man vorbeugen und sein WordPress so sicher wie möglich mit einem vertretbaren Aufwand machen. Ich empfehle hier eine von mir selbst eingehend getestete 2-Faktor-Authentifizierung namens SecSign ID.
Was ist SecSign ID?
SecSign ID ist eine 2-Faktor-Authentifizierung mittels 2048-Bit-Schlüsselpaaren. Benutzernamen und Passwörter werden überflüssig, es werden keinerlei geheime Zugangsdaten auf einem Server gespeichert. Passwörter, Tokens, das Abtippen von SMS oder Einmalcodes oder das Scannen von QR-Codes werden überflüssig. Diese Art der Zugangssicherung macht es Kriminellen nicht mehr möglich, Ihre Passwörter zu stehlen oder zu erraten, es müssen auch keinerlei vertrauliche Zugangsdaten auf der Website eingegeben werden. Ihre Benutzerkonten sind somit sicher vor Phishing-Angriffen, Schadprogrammen, Brute-Force-Attacken und dem Diebstahl von Passwortlisten.
Die SecSign ID 2-Faktor-Authentifizierung im Video
Das Einrichten dieser Sicherheitsvorkehrung geht recht einfach. Zuerst benötigt man die Smartphone-App, die es als Android-- und iOS-Version kostenfrei gibt. Mit dem Assistenten richtet man sich nach der Installation der App eine SecSign-ID ein. Diese dient dann für alle WordPress-Websites, die das dafür nötige Plugin installiert haben.
Das SecSign ID WordPress-Plugin installieren und einrichten
- Entwickler: SecSign
- Wird ständig weiter entwickelt: Ja
- Letzte Version vom: 21.04.2015
- Kosten: kostenfrei über WordPress.org
- Lizenz: GNU GENERAL PUBLIC LICENSE
- Wechselwirkungen mit anderen Plugins: nicht bekannt
- Download von WordPress.org
Die optimale Einrichtung des SecSign ID-Plugins
Auf der folgenden Grafik sehen Sie die optimale Konfiguration des Plugins. Wenn Sie genauso vorgehen, ist nur noch das Einloggen mit der SecSign ID erlaubt. Im Sinne der Sicherheit sind die getätigten Einstellungen optimal, da keinerlei Sicherheitslücken durch eine eventuelle „Benutzername -- Passwort“ Kombination übrig bleibt.
Ein Klick auf die Grafik öffnet einen vollständigen, hochauflösenden Screenshot
Eine letzte Sicherheitslücke
Ihre WordPress-Website ist nun wirklich relativ sicher und geschützt vor Hacker-Angriffen. Allerdings gibt es noch eine einzige, relative Sicherheitslücke, und das ist der FTP-Zugang. Grundsätzlich sollte keine FTP-Zugangsmöglichkeit vorhanden sein, sondern alternativ nur der Zugang über (bestenfalls) SSH. Doch das ist nicht die Realität. In der Realität ist es oftmals nicht einmal möglich, statt über FTP einen Zugang über SFTP zu nutzen, weil der Webhoster das nicht vorsieht und nicht eingerichtet hat.
Zur Erklärung: bei einem SFTP- oder SSH-Zugang werden die Daten und auch die Zugangsdaten verschlüsselt übertragen, was dass Abfangen von Zugangsdaten extrem erschwert. Bei einem reinen FTP-Zugang erfolgt die Authentifizierung und Übertragung unverschlüsselt.
Sollten Sie keine andere Möglichkeit als einen FTP-Zugang zu Ihrem Server oder auf Ihr Webhosting-Paket haben, so empfehle ich Ihnen, dass dafür nötige Passwort so sicher wie nur möglich zu gestalten. Empfehlenswert wären eine Länge von 20 Zeichen, Groß- und Kleinschreibung, Sonderzeichen und Zahlen.
Die wichtige Grundausstattung mit WordPress-Plugins
Die absolute Grundausstattung sind bei mir nur zwei Plugins. Diese dürfen meines Erachtens in keiner Installation fehlen. Ich setze beide Plugins bereits seit Jahren auf vielfältigen Websites ein und kann sie vorbehaltlos empfehlen.
Antispam Bee
Antispam Bee ist eine der vielen möglichen Lösungen gegen Kommentar-Spam, jedoch sehr wirkungsvoll und werbefrei. Im Gegensatz zu der WordPress eigenen Lösung Akismet vollkommen kostenfrei auch für kommerziell genutzte Websites, Akismet möchte bei einer kommerziell genutzten WordPress-Website mindestens 5 USD im Monat haben.
- Entwickler: (bislang) Sergej Müller
- Wird ständig weiter entwickelt: Ja
- Letzte Version vom: 23.04.2015
- Kosten: kostenfrei über WordPress.org
- Lizenz: GNU GENERAL PUBLIC LICENSE
- Wechselwirkungen mit anderen Plugins: nicht bekannt
- Entwickler-Homepage: Antispam Bee Website mit Dokumentation
- Download von WordPress.org
BBQ -- Block Bad Queries
Das BBQ-Plugin ist ein sicherheitsrelevantes Plugin, welches zuverlässig die bösartigen Zugriffe und Angriffe über die URLs blockiert. Für mich gehört das Plugin zur Grundausstattung, es wird ständig aktualisiert und gepflegt und verschafft einer WordPress-Website ein kleines Plus an Sicherheit.
- Entwickler: Jeff Starr und andere
- Wird ständig weiter entwickelt: Ja
- Letzte Version vom: 14.03.2015
- Kosten: kostenfrei über WordPress.org
- Lizenz: GNU GENERAL PUBLIC LICENSE
- Wechselwirkungen mit anderen Plugins: nicht bekannt
- Entwickler-Homepage: BBQ: Block Bad Queries Homepage
- Download von WordPress.org
Fazit
Mit dieser kleinen Liste haben Sie ein Werkzeug an die Hand bekommen, mit dem Sie eine WordPress-Installation einfach, schnell und sicher aufsetzen können. Die zusätzliche Arbeit bewegt sich im Rahmen von nicht mehr als einer Viertelstunde, verschafft Ihnen jedoch ein echtes Plus an Sicherheit. Jede zusätzliche Arbeit, jedes zusätzliche Plugin ist nun von der jeweiligen, individuellen Website abhängig und auch von den persönlichen Vorlieben.
Links zum Beitrag
- Generator für die Sicherheitsschlüssel
- Download .htaccess-Datei von GitHub
- SecSign ID-App als Android-- und als iOS-Version zum Download
- SecSign ID-Plugin von WordPress.org
- SecSign ID Homepage
- BSI: Sichere Passwörter
- Passwort-Generator
- Antispam Bee Website mit Dokumentation
- Antispam Bee: Download von WordPress.org
- BBQ: Block Bad Queries Homepage
- Block Bad Queries: Download von WordPress.org
10 Antworten
Eigentlich ein Interessanter Artikel… nur habe ich jetzt die SecSign Einstellungen so vorgenommen wie im Beitrag erwähnt (Ich habe also KEINE Möglichkeit mehr mit Passwort und Benutzername mich einzuloggen). Leider aber erhalte ich via SecSign nur die folgende Meldung: „The authentication Server sent no Response or you are not connected to the Internet.“ Zweiteres ist ganz sicher nicht der Fall 😉 Nun den Herr Hecht, ich hoffe doch dass Sie mir auch einen Tipp haben, wie dass ich wieder auf mein Backend zugreifen kann. Eine möglichst baldige Antwort ist natürlich gewünscht 🙂
Hallo Herr Bellotti,
loggen Sie sich per (S)FTP auf Ihrem Webhosting-Paket ein, gehen Sie über den Ordner „wp-content“ zu dem Ordner „plugins“ und benennen Sie den Ordner „secsign“ einfach um in „secsign123“. Dann haben Sie wieder normal über Benutzername und Passwort Zugriff auf Ihre Website.
Nicht zu vergessen, dass man natürlich auch einen sicheren Hoster suchen muss 😉 Gutes WordPress-Hosting gibt es hier im Vergleich http://www.top-wp-hosting.de/wordpress-hosting-vergleich/
Weshalb soll man denn bei Seiten die schon online sind das Table-Prefix nicht mehr ändern? Hindert mich doch niemand daran und und nur weil eine Seite online ist das doch überhaupt kein Grund es nicht zu tun.
Ich möchte anmerken, dass nicht alle Anweisungen der .htaccess Multisite-kompatibel sind
Danke erstmal für die Vorstellung von SecSign. Ich habe das gleich getestet und nach einigen Versuchen auch letztendlich erfolgreich. Woran mag es nur liegen, dass beim WP-Login beide Eingabefelder übereinander gezeigt werden? Erst der SecSign Login und darunter der übliche WP-Login.
Wer sich eine manuelle Installation ersparen möchte und wert auf guten Support legt, dem kann ein spezialisierter Provider für WordPress, wie z.B. http://www.wp-webhosting.de, wärmstens empfohlen werden.
Ich muss ehrlich sagen, dass es mir zu aufwändig wäre, wenn ich für den Login immer mein Smartphone brauchen würde. Wirklich wichtig finde ich vor allem, dass man den Standardbenutzer admin löscht und durch einen anderen Benutzernamen ersetzt – und natürlich regelmäßige Updates von WordPress und allen Plugins und Themes.
Wirklich Interessant! Besonders hat mir die Empfehlung von SecSign und Antispam Bee gefallen, ich kannte sie nicht.
Es ist schwer heutzutage so gute Artikel wie diesen im Internet zu finden.
Hallo Andreas Hecht,
ich verfolge deine Beiträge schon ein paar Monate… Habe dein Buch bei Amazon gekauft… Und natürlich gelesen…
Aber trotzdem erschließen sich mir das ein oder andere überhaupt nicht…
Wo finde ich denn diese htaccess Datei?
Und zum Plugin ScSign verstehe ich überhaupt nicht, wie man einen 4 stelligen Zahlencode auf einem Handy als „sicher“ deklarieren kann?
Danke für die Hilfe!