WordPress ist für viele Menschen das Content Management System der Wahl, wenn es darum geht, eine Website oder einen Blog zu starten. Doch kaum jemand weiß mit hinreichender Sicherheit, wie man WordPress installieren soll, es optimal einrichtet und gegen Hacking schützt. Daher zeigen wir Ihnen in diesem Beitrag einmal im Detail die dafür nötigen Schritte. Wenn Sie sich genau an diese Anleitung halten, werden Sie eine sichere WordPress-Installation haben, die für den Anfang optimal eingerichtet ist. Sie erfahren, was Sie in den wichtigen Dateien wp-config.php und .htaccess notieren müssen und welche Plugins die absolute Grundausstattung bedeuten.
Die Installation von WordPress
In diesem Abschnitt behandeln wir die wichtigen zusätzlichen Einträge in die wp-config.php. Dass dort auch die Daten für die Datenbank mitsamt Zugangsdaten hinein müssen, wissen Sie selbst. Doch einige zusätzliche Angaben verschaffen Ihnen ein Plus an Sicherheit, daher sollte man sie unbedingt setzen.
Die Sicherheitsschlüssel
Die Sicherheitsschlüssel sollten unbedingt gesetzt werden, da durch sie die Cookies verschlüsselt werden, die dem automatischen Einloggen gelten. Speziell zur Generierung der Schlüssel stellt uns WordPress.org einen Generator zur Verfügung. Die vom Generator generierten Schlüssel einfach durch Copy und Paste ersetzen.
Das Tabellen-Präfix
Als Standard setzt WordPress bei jeder neuen Installation hier ein “wp_” ein. Um einem eventuellen (wenn auch nicht sehr wahrscheinlichen) MySql-Injection-Angriff vorzubeugen, ersetzen Sie den Standard mit irgendetwas anderem. Achtung: Wenn die Webseite bereits online ist, sollte man hier möglichst nichts ändern. Ansonsten funktioniert die Website nicht mehr.
Die Datei-Editoren abschalten
Die Datei-Editoren in WordPress sind eine praktische Sache. Man kann Theme und Plugin-Dateien direkt im Backend von WordPress bearbeiten. Leider sind diese Editoren sehr häufig der Grund für weiße Seiten und eine Menge Fehler. Abgesehen davon, was ein eventueller Einbrecher in dem Blog alles damit machen kann. Daher gehören die Editoren komplett abgeschaltet, man kann wichtige Arbeiten viel besser und sicherer über (S)FTP erledigen.
WordPress installieren: Wichtige Einträge in der .htaccess-Datei
Die .htaccess-Datei des Webservers oder des Webhosting-Pakets ist eine der wichtigsten Dateien für eine sichere WordPress-Installation. Ich empfehle die Datei gleich bei der Installation von WordPress mit den richtigen Einträgen zu versorgen. Wichtig bei Einträgen in die Datei ist, dass alle zusätzlichen Einträge stets unterhalb von #End WordPress gemacht werden. Falls sie die zusätzlichen Einträge gar in das Feld mit den WordPress-Einträgen setzen, funktioniert Ihr WordPress nicht mehr.
Eine .htaccess-Datei mit allen Einträgen zum Herunterladen
Alle wichtigen Einträge für die Sicherheit und die Performance-Steigerung durch Browser-Caching und Kompression finden Sie in meiner Beispiel-htaccess, die sie auf GitHub herunterladen können.
Ein Klick auf die Grafik bringt Sie auf die herunterladbare Datei bei GitHub.
Download .htaccess-Datei
Die Sicherheit der Installation
WordPress-Sicherheit natürlich ein ganz wichtiges Thema für WordPress-Nutzer. Durch die sehr starke Verbreitung von WordPress werden immer wieder Sicherheitslücken bekannt und ausgenutzt. Daher sollte man vorbeugen und sein WordPress so sicher wie möglich mit einem vertretbaren Aufwand machen. Ich empfehle hier eine von mir selbst eingehend getestete 2-Faktor-Authentifizierung namens SecSign ID.
Was ist SecSign ID?
SecSign ID ist eine 2-Faktor-Authentifizierung mittels 2048-Bit-Schlüsselpaaren. Benutzernamen und Passwörter werden überflüssig, es werden keinerlei geheime Zugangsdaten auf einem Server gespeichert. Passwörter, Tokens, das Abtippen von SMS oder Einmalcodes oder das Scannen von QR-Codes werden überflüssig. Diese Art der Zugangssicherung macht es Kriminellen nicht mehr möglich, Ihre Passwörter zu stehlen oder zu erraten, es müssen auch keinerlei vertrauliche Zugangsdaten auf der Website eingegeben werden. Ihre Benutzerkonten sind somit sicher vor Phishing-Angriffen, Schadprogrammen, Brute-Force-Attacken und dem Diebstahl von Passwortlisten.
Die SecSign ID 2-Faktor-Authentifizierung im Video
Das Einrichten dieser Sicherheitsvorkehrung geht recht einfach. Zuerst benötigt man die Smartphone-App, die es als Android– und iOS-Version kostenfrei gibt. Mit dem Assistenten richtet man sich nach der Installation der App eine SecSign-ID ein. Diese dient dann für alle WordPress-Websites, die das dafür nötige Plugin installiert haben.
Das SecSign ID WordPress-Plugin installieren und einrichten
- Entwickler: SecSign
- Wird ständig weiter entwickelt: Ja
- Letzte Version vom: 21.04.2015
- Kosten: kostenfrei über WordPress.org
- Lizenz: GNU GENERAL PUBLIC LICENSE
- Wechselwirkungen mit anderen Plugins: nicht bekannt
- Entwickler-Homepage: SecSign ID Homepage
- Download von WordPress.org
Die optimale Einrichtung des SecSign ID-Plugins
Auf der folgenden Grafik sehen Sie die optimale Konfiguration des Plugins. Wenn Sie genauso vorgehen, ist nur noch das Einloggen mit der SecSign ID erlaubt. Im Sinne der Sicherheit sind die getätigten Einstellungen optimal, da keinerlei Sicherheitslücken durch eine eventuelle “Benutzername – Passwort” Kombination übrig bleibt.
Ein Klick auf die Grafik öffnet einen vollständigen, hochauflösenden Screenshot
Eine letzte Sicherheitslücke
Ihre WordPress-Website ist nun wirklich relativ sicher und geschützt vor Hacker-Angriffen. Allerdings gibt es noch eine einzige, relative Sicherheitslücke, und das ist der FTP-Zugang. Grundsätzlich sollte keine FTP-Zugangsmöglichkeit vorhanden sein, sondern alternativ nur der Zugang über (bestenfalls) SSH. Doch das ist nicht die Realität. In der Realität ist es oftmals nicht einmal möglich, statt über FTP einen Zugang über SFTP zu nutzen, weil der Webhoster das nicht vorsieht und nicht eingerichtet hat.
Zur Erklärung: bei einem SFTP- oder SSH-Zugang werden die Daten und auch die Zugangsdaten verschlüsselt übertragen, was dass Abfangen von Zugangsdaten extrem erschwert. Bei einem reinen FTP-Zugang erfolgt die Authentifizierung und Übertragung unverschlüsselt.
Sollten Sie keine andere Möglichkeit als einen FTP-Zugang zu Ihrem Server oder auf Ihr Webhosting-Paket haben, so empfehle ich Ihnen, dass dafür nötige Passwort so sicher wie nur möglich zu gestalten. Empfehlenswert wären eine Länge von 20 Zeichen, Groß- und Kleinschreibung, Sonderzeichen und Zahlen.
WordPress installieren: Das ist die richtige Grundausstattung mit WordPress-Plugins
Die absolute Grundausstattung bei der Installation von WordPress sind bei mir nur zwei Plugins. Diese dürfen meines Erachtens in keiner Installation fehlen. Ich setze beide Plugins bereits seit Jahren auf vielfältigen Websites ein und kann sie vorbehaltlos empfehlen.
Antispam Bee
Antispam Bee ist eine der vielen möglichen Lösungen gegen Kommentar-Spam, jedoch sehr wirkungsvoll und werbefrei. Im Gegensatz zu der WordPress eigenen Lösung Akismet vollkommen kostenfrei auch für kommerziell genutzte Websites, Akismet möchte bei einer kommerziell genutzten WordPress-Website mindestens 5 USD im Monat haben.
- Entwickler: (bislang) Sergej Müller
- Wird ständig weiter entwickelt: Ja
- Letzte Version vom: 23.04.2015
- Kosten: kostenfrei über WordPress.org
- Lizenz: GNU GENERAL PUBLIC LICENSE
- Wechselwirkungen mit anderen Plugins: nicht bekannt
- Entwickler-Homepage: Antispam Bee Website mit Dokumentation
- Download von WordPress.org
BBQ – Block Bad Queries
Das BBQ-Plugin ist ein sicherheitsrelevantes Plugin, welches zuverlässig die bösartigen Zugriffe und Angriffe über die URLs blockiert. Für mich gehört das Plugin zur Grundausstattung, es wird ständig aktualisiert und gepflegt und verschafft einer WordPress-Website ein kleines Plus an Sicherheit.
- Entwickler: Jeff Starr und andere
- Wird ständig weiter entwickelt: Ja
- Letzte Version vom: 14.03.2015
- Kosten: kostenfrei über WordPress.org
- Lizenz: GNU GENERAL PUBLIC LICENSE
- Wechselwirkungen mit anderen Plugins: nicht bekannt
- Entwickler-Homepage: BBQ: Block Bad Queries Homepage
- Download von WordPress.org
Fazit
Mit dieser kleinen Liste haben Sie ein Werkzeug an die Hand bekommen, mit dem Sie eine WordPress-Installation einfach, schnell und sicher aufsetzen können. Die zusätzliche Arbeit bewegt sich im Rahmen von nicht mehr als einer Viertelstunde, verschafft Ihnen jedoch ein echtes Plus an Sicherheit. Jede zusätzliche Arbeit, jedes zusätzliche Plugin ist nun von der jeweiligen, individuellen Website abhängig und auch von den persönlichen Vorlieben.
Links zum Beitrag
- Generator für die Sicherheitsschlüssel
- Download .htaccess-Datei
- SecSign ID-App als Android– und als iOS-Version zum Download
- SecSign ID-Plugin von WordPress.org
- SecSign ID Homepage
- BSI: Sichere Passwörter
- Passwort-Generator
- Antispam Bee Website mit Dokumentation
- Antispam Bee: Download von WordPress.org
- BBQ: Block Bad Queries Homepage
- Block Bad Queries: Download von WordPress.org
(dpe)