Kategorien
WordPress

WordPress installieren und optimal einrichten

Ein Stück Kuchen - Installation

WordPress ist für viele Menschen das Content Management System der Wahl, wenn es darum geht, eine Website oder einen Blog zu starten. Doch kaum jemand weiß mit hinreichender Sicherheit, wie man WordPress optimal installiert, einrichtet und gegen Hacking schützt. Daher zeigen wir Ihnen in diesem Beitrag einmal im Detail die dafür nötigen Schritte. Wenn Sie sich genau an diese Anleitung halten, werden Sie eine sichere WordPress-Installation haben, die für den Anfang optimal eingerichtet ist. Sie erfahren, was Sie in den wichtigen Dateien wp-config.php und .htaccess notieren müssen und welche Plugins die absolute Grundausstattung bedeuten.

wordpress-grundlagen-teaser_DE

Die Installation von WordPress

In diesem Abschnitt behandeln wir die wichtigen zusätzlichen Einträge in die wp-config.php. Dass dort auch die Daten für die Datenbank mitsamt Zugangsdaten hinein müssen, wissen Sie selbst. Doch einige zusätzliche Angaben verschaffen Ihnen ein Plus an Sicherheit, daher sollte man sie unbedingt setzen.

Die Sicherheitsschlüssel
sicherheitsschluessel
Die Sicherheitsschlüssel sollten unbedingt gesetzt werden, da durch sie die Cookies verschlüsselt werden, die dem automatischen Einloggen gelten. Speziell zur Generierung der Schlüssel stellt uns WordPress.org einen Generator zur Verfügung. Die vom Generator generierten Schlüssel einfach durch Copy und Paste ersetzen.

Das Tabellen-Präfix
tabellenpraefix
Als Standard setzt WordPress bei jeder neuen Installation hier ein “wp_” ein. Um einem eventuellen (wenn auch nicht sehr wahrscheinlichen) MySql-Injection-Angriff vorzubeugen, ersetzen Sie den Standard mit irgendetwas anderem. Achtung: Wenn die Webseite bereits online ist, sollte man hier möglichst nichts ändern. Ansonsten funktioniert die Website nicht mehr.

Die Datei-Editoren abschalten
datei-editoren-abschalten
Die Datei-Editoren in WordPress sind eine praktische Sache. Man kann Theme und Plugin-Dateien direkt im Backend von WordPress bearbeiten. Leider sind diese Editoren sehr häufig der Grund für weiße Seiten und eine Menge Fehler. Abgesehen davon, was ein eventueller Einbrecher in dem Blog alles damit machen kann. Daher gehören die Editoren komplett abgeschaltet, man kann wichtige Arbeiten viel besser und sicherer über (S)FTP erledigen.

Wichtige Einträge in der .htaccess-Datei

Die .htaccess-Datei des Webservers oder des Webhosting-Pakets ist eine der wichtigsten Dateien für eine sichere WordPress-Installation. Ich empfehle die Datei gleich bei der Installation von WordPress mit den richtigen Einträgen zu versorgen. Wichtig bei Einträgen in die Datei ist, dass alle zusätzlichen Einträge stets unterhalb von #End WordPress gemacht werden. Falls sie die zusätzlichen Einträge gar in das Feld mit den WordPress-Einträgen setzen, funktioniert Ihr WordPress nicht mehr.

htaccess-eintaege-ab-hier

Eine .htaccess-Datei mit allen Einträgen zum Herunterladen
Alle wichtigen Einträge für die Sicherheit und die Performance-Steigerung durch Browser-Caching und Kompression finden Sie in meiner Beispiel-htaccess, die sie auf GitHub herunterladen können.

Ein Klick auf die Grafik bringt Sie auf die herunterladbare Datei bei GitHub.
beispiel-htaccess-datei
Download .htaccess-Datei von GitHub

Die Sicherheit der Installation

Leider ist Sicherheit ein ganz wichtiges Thema für WordPress-Nutzer. Durch die sehr starke Verbreitung von WordPress werden immer wieder Sicherheitslücken bekannt und ausgenutzt. Daher sollte man vorbeugen und sein WordPress so sicher wie möglich mit einem vertretbaren Aufwand machen. Ich empfehle hier eine von mir selbst eingehend getestete 2-Faktor-Authentifizierung namens SecSign ID.

Was ist SecSign ID?

SecSign ID ist eine 2-Faktor-Authentifizierung mittels 2048-Bit-Schlüsselpaaren. Benutzernamen und Passwörter werden überflüssig, es werden keinerlei geheime Zugangsdaten auf einem Server gespeichert. Passwörter, Tokens, das Abtippen von SMS oder Einmalcodes oder das Scannen von QR-Codes werden überflüssig. Diese Art der Zugangssicherung macht es Kriminellen nicht mehr möglich, Ihre Passwörter zu stehlen oder zu erraten, es müssen auch keinerlei vertrauliche Zugangsdaten auf der Website eingegeben werden. Ihre Benutzerkonten sind somit sicher vor Phishing-Angriffen, Schadprogrammen, Brute-Force-Attacken und dem Diebstahl von Passwortlisten.

Die SecSign ID 2-Faktor-Authentifizierung im Video



Das Einrichten dieser Sicherheitsvorkehrung geht recht einfach. Zuerst benötigt man die Smartphone-App, die es als Android-- und iOS-Version kostenfrei gibt. Mit dem Assistenten richtet man sich nach der Installation der App eine SecSign-ID ein. Diese dient dann für alle WordPress-Websites, die das dafür nötige Plugin installiert haben.

Das SecSign ID WordPress-Plugin installieren und einrichten

secsign-id-plugin

  • Entwickler: SecSign
  • Wird ständig weiter entwickelt: Ja
  • Letzte Version vom: 21.04.2015
  • Kosten: kostenfrei über WordPress.org
  • Lizenz: GNU GENERAL PUBLIC LICENSE
  • Wechselwirkungen mit anderen Plugins: nicht bekannt
  • Download von WordPress.org

Die optimale Einrichtung des SecSign ID-Plugins
Auf der folgenden Grafik sehen Sie die optimale Konfiguration des Plugins. Wenn Sie genauso vorgehen, ist nur noch das Einloggen mit der SecSign ID erlaubt. Im Sinne der Sicherheit sind die getätigten Einstellungen optimal, da keinerlei Sicherheitslücken durch eine eventuelle “Benutzername -- Passwort” Kombination übrig bleibt.

Ein Klick auf die Grafik öffnet einen vollständigen, hochauflösenden Screenshot
SecSign-ID-Login-options-vorschau

Eine letzte Sicherheitslücke

Ihre WordPress-Website ist nun wirklich relativ sicher und geschützt vor Hacker-Angriffen. Allerdings gibt es noch eine einzige, relative Sicherheitslücke, und das ist der FTP-Zugang. Grundsätzlich sollte keine FTP-Zugangsmöglichkeit vorhanden sein, sondern alternativ nur der Zugang über (bestenfalls) SSH. Doch das ist nicht die Realität. In der Realität ist es oftmals nicht einmal möglich, statt über FTP einen Zugang über SFTP zu nutzen, weil der Webhoster das nicht vorsieht und nicht eingerichtet hat.

Zur Erklärung: bei einem SFTP- oder SSH-Zugang werden die Daten und auch die Zugangsdaten verschlüsselt übertragen, was dass Abfangen von Zugangsdaten extrem erschwert. Bei einem reinen FTP-Zugang erfolgt die Authentifizierung und Übertragung unverschlüsselt.

Sollten Sie keine andere Möglichkeit als einen FTP-Zugang zu Ihrem Server oder auf Ihr Webhosting-Paket haben, so empfehle ich Ihnen, dass dafür nötige Passwort so sicher wie nur möglich zu gestalten. Empfehlenswert wären eine Länge von 20 Zeichen, Groß- und Kleinschreibung, Sonderzeichen und Zahlen.

Die wichtige Grundausstattung mit WordPress-Plugins

Die absolute Grundausstattung sind bei mir nur zwei Plugins. Diese dürfen meines Erachtens in keiner Installation fehlen. Ich setze beide Plugins bereits seit Jahren auf vielfältigen Websites ein und kann sie vorbehaltlos empfehlen.

Antispam Bee

antispam-bee
Antispam Bee ist eine der vielen möglichen Lösungen gegen Kommentar-Spam, jedoch sehr wirkungsvoll und werbefrei. Im Gegensatz zu der WordPress eigenen Lösung Akismet vollkommen kostenfrei auch für kommerziell genutzte Websites, Akismet möchte bei einer kommerziell genutzten WordPress-Website mindestens 5 USD im Monat haben.

  • Entwickler: (bislang) Sergej Müller
  • Wird ständig weiter entwickelt: Ja
  • Letzte Version vom: 23.04.2015
  • Kosten: kostenfrei über WordPress.org
  • Lizenz: GNU GENERAL PUBLIC LICENSE
  • Wechselwirkungen mit anderen Plugins: nicht bekannt
  • Entwickler-Homepage: Antispam Bee Website mit Dokumentation
  • Download von WordPress.org

BBQ -- Block Bad Queries

block-bad-queries-wordpress-plugin
Das BBQ-Plugin ist ein sicherheitsrelevantes Plugin, welches zuverlässig die bösartigen Zugriffe und Angriffe über die URLs blockiert. Für mich gehört das Plugin zur Grundausstattung, es wird ständig aktualisiert und gepflegt und verschafft einer WordPress-Website ein kleines Plus an Sicherheit.

  • Entwickler: Jeff Starr und andere
  • Wird ständig weiter entwickelt: Ja
  • Letzte Version vom: 14.03.2015
  • Kosten: kostenfrei über WordPress.org
  • Lizenz: GNU GENERAL PUBLIC LICENSE
  • Wechselwirkungen mit anderen Plugins: nicht bekannt
  • Entwickler-Homepage: BBQ: Block Bad Queries Homepage
  • Download von WordPress.org

Fazit

Mit dieser kleinen Liste haben Sie ein Werkzeug an die Hand bekommen, mit dem Sie eine WordPress-Installation einfach, schnell und sicher aufsetzen können. Die zusätzliche Arbeit bewegt sich im Rahmen von nicht mehr als einer Viertelstunde, verschafft Ihnen jedoch ein echtes Plus an Sicherheit. Jede zusätzliche Arbeit, jedes zusätzliche Plugin ist nun von der jeweiligen, individuellen Website abhängig und auch von den persönlichen Vorlieben.

Links zum Beitrag

10 Kommentare zu “WordPress installieren und optimal einrichten”

Eigentlich ein Interessanter Artikel… nur habe ich jetzt die SecSign Einstellungen so vorgenommen wie im Beitrag erwähnt (Ich habe also KEINE Möglichkeit mehr mit Passwort und Benutzername mich einzuloggen). Leider aber erhalte ich via SecSign nur die folgende Meldung: “The authentication Server sent no Response or you are not connected to the Internet.” Zweiteres ist ganz sicher nicht der Fall 😉 Nun den Herr Hecht, ich hoffe doch dass Sie mir auch einen Tipp haben, wie dass ich wieder auf mein Backend zugreifen kann. Eine möglichst baldige Antwort ist natürlich gewünscht 🙂

Hallo Herr Bellotti,
loggen Sie sich per (S)FTP auf Ihrem Webhosting-Paket ein, gehen Sie über den Ordner “wp-content” zu dem Ordner “plugins” und benennen Sie den Ordner “secsign” einfach um in “secsign123”. Dann haben Sie wieder normal über Benutzername und Passwort Zugriff auf Ihre Website.

Weshalb soll man denn bei Seiten die schon online sind das Table-Prefix nicht mehr ändern? Hindert mich doch niemand daran und und nur weil eine Seite online ist das doch überhaupt kein Grund es nicht zu tun.

Danke erstmal für die Vorstellung von SecSign. Ich habe das gleich getestet und nach einigen Versuchen auch letztendlich erfolgreich. Woran mag es nur liegen, dass beim WP-Login beide Eingabefelder übereinander gezeigt werden? Erst der SecSign Login und darunter der übliche WP-Login.

Ich muss ehrlich sagen, dass es mir zu aufwändig wäre, wenn ich für den Login immer mein Smartphone brauchen würde. Wirklich wichtig finde ich vor allem, dass man den Standardbenutzer admin löscht und durch einen anderen Benutzernamen ersetzt – und natürlich regelmäßige Updates von WordPress und allen Plugins und Themes.

Wirklich Interessant! Besonders hat mir die Empfehlung von SecSign und Antispam Bee gefallen, ich kannte sie nicht.
Es ist schwer heutzutage so gute Artikel wie diesen im Internet zu finden.

Hallo Andreas Hecht,
ich verfolge deine Beiträge schon ein paar Monate… Habe dein Buch bei Amazon gekauft… Und natürlich gelesen…
Aber trotzdem erschließen sich mir das ein oder andere überhaupt nicht…
Wo finde ich denn diese htaccess Datei?
Und zum Plugin ScSign verstehe ich überhaupt nicht, wie man einen 4 stelligen Zahlencode auf einem Handy als “sicher” deklarieren kann?
Danke für die Hilfe!

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.