10 Schlüsselmethoden zum Sichern einer typischen WordPress-Installation

In über einem Jahrzehnt hat sich WordPress von einem jungen Content-Management-System zur meistgenutzten Online-Lösung entwickelt. Diese Bekanntheit ist im Allgemeinen gut für die gesamte Community und hat zu der größten Gruppe von Entwicklern für jedes derzeit verfügbare Content-Management-System geführt. Das CMS ändert sich, entwickelt sich weiter und wird fortschrittlicher, hauptsächlich aufgrund seiner Größe, seines Umfangs und seines Einflusses auf das Online-Publishing.

Aber es sind genau diese Dinge, die dazu führen, dass WordPress das regelmäßige Ziel von böswilligen Hacking-Versuchen und Eingriffen in die Privatsphäre ist. Hacker haben die Verbreitung des CMS unter unabhängigen Websites und großen Medienunternehmen gleichermaßen zur Kenntnis genommen und nutzen eine Reihe von Schwachstellen aus, die ihnen Zugriff auf das Dashboard und sogar die WordPress-Datenbank selbst verschaffen.

Zum Glück sind WordPress-Benutzer nicht nur „Sitting Ducks“ in einer zunehmend bösartigen Online-Umgebung. Es gibt eine Reihe von Dingen, die getan werden können, um die Sicherheit einer WordPress-Installation dramatisch zu verbessern und die Versuche von Hackern zu vereiteln, den Inhalt, die Datenbank und die allgemeine Zuverlässigkeit einer Website zu übernehmen.

1. Ändern Sie das WordPress-Datenbankpräfix

Standardmäßig legt jede WordPress-Installation ihre Tabellen in einer MySQL-Datenbank mit dem Präfix „wp_“ ab. Dies geschieht im Allgemeinen, um es intuitiver zu gestalten, da WordPress oft als „WP“ abgekürzt wird und es einfach keine Verwirrung darüber gibt, zu welchem ​​​​CMS diese Tabellen gehören.

Die schändlicheren Benutzer des Internets wissen jedoch, dass WordPress seine Inhalte standardmäßig in Tabellen mit diesem Präfix platziert, und dies ist eine der ersten Möglichkeiten, wie sie in eine Installation einbrechen oder von außen Probleme mit der Datenbank der Software verursachen.

Das Präfix selbst wird in der Datei wp-config.php , bevor der Installationsprozess stattfindet. Zu diesem Zeitpunkt sollten Besitzer von WordPress-Websites durch die Konfigurationsdatei scrollen und nach der folgenden Zeile suchen:

 $table_prefix = 'wp_';

Diese Zeile sollte auf praktisch alles andere als das Standardpräfix geändert werden. Etwas wie den Titel der Website oder den Namen des primären Administrators zu wählen, könnte ein guter erster Schritt sein, um die Installation zu sichern und böswillige Hacker aus dem Internet fernzuhalten.

2. Verstecken Sie die Versionsnummer der WordPress-Installation vor der Öffentlichkeit

Jede WordPress-Vorlage enthält eine Variable, die grundlegende WordPress-Informationen anzeigt und die fortlaufende Änderung des Headers durch Plugins ermöglicht. Diese Variable ist <?php wp_head() ?> und wird ausnahmslos zwischen den öffnenden und schließenden <HEAD> -Tags der Datei header.php . Eine der Hauptaufgaben dieser Variablen ist die Anzeige der Versionsnummer der aktuellen WordPress-Installation für die Öffentlichkeit.

Dies wird tatsächlich vom Automattic-Entwicklungsteam für Analysezwecke verwendet, da es ihnen ermöglicht, zu sehen, welche Versionsnummern am häufigsten verwendet werden und ob es eine große Anzahl nicht aktueller Benutzer gibt.

Außerdem können Hacker die Versionsnummer der WordPress-Installation anzeigen und ihren Angriff entsprechend planen. Da Sicherheitslücken bei WordPress im Allgemeinen versionsspezifisch sind und in allen nachfolgenden Versionen behoben werden, ist eine veraltete Installation, die mit ihrer Versionsnummer prahlt, reif für Angriffe durch diejenigen, die sich unbefugten Zugriff auf das Dashboard oder die Datenbank verschaffen wollen.

Diese Information kann und sollte aus der Variable „wp_head“ entfernt werden; Dies kann durch Hinzufügen der folgenden Codezeile zur Datei functions.php des aktuellen Designs erfolgen:

 remove_action('wp_header', 'wp_generator');

Speichern Sie diese Datei und laden Sie sie auf den Server hoch, und niemand wird jemals wissen, ob die WordPress-Installation aktuell, veraltet oder sogar in der Beta-Phase ist. Es wird nichts öffentlich beworben.

3. Begrenzen Sie die Anzahl der fehlgeschlagenen Anmeldeversuche

Typischerweise erhalten böswillige Internetnutzer Zugriff auf das WordPress-Dashboard durch einen „Brute-Force“-Angriff, der schnell Zehntausende von Passwörtern eingibt. Dieser Angriff versucht, Wörterbuchwörter und gebräuchliche Zahlen zu verwenden, um die Sicherheitsanmeldeinformationen des Benutzers herauszufinden. Ohne eine angemessene Blockierung dieser wiederholten Versuche gibt es wirklich nichts, was sie aufhalten könnte.

Hier kommt das Login LockDown-Plugin ins Spiel. Mit dem Plugin können WordPress-Benutzer die Anzahl der fehlgeschlagenen Anmeldeversuche begrenzen, bevor sie im Wesentlichen für eine Stunde vom Dashboard ausgeschlossen werden. Diese fehlgeschlagenen Versuche sind an IP-Adressen gebunden, was dieses Plugin noch effektiver macht.

4. Administratoren sollten sich nicht „Admin“ nennen

Bei der Installation von WordPress über das integrierte Installationsprogramm wird der Administratorbenutzer im Allgemeinen standardmäßig als „ admin “ bezeichnet. Böswillige Internetnutzer wissen das, und das ist der erste Name, den sie zu erraten versuchen, wenn sie sich Brute-Force-Zugriff auf das WordPress-Dashboard verschaffen.

Wenn Sie WordPress zum ersten Mal installieren, achten Sie darauf, dem Administratorbenutzer einen schwer zu erratenden Namen zu geben (vielleicht einen Spitznamen oder etwas anderes). Ein Brute-Force-Passwortangriff ist nur dann effektiv, wenn der Benutzername des Administrators bekannt ist. Wenn nicht, ist es doppelt unmöglich, Zugang zu erhalten.

5. Halten Sie WordPress immer auf dem neuesten Stand und informieren Sie sich darüber

Eine neue Version von WordPress wird in der Regel etwa alle paar Wochen veröffentlicht, wobei kleinere Updates und Sicherheitspatches dazu dienen, Benutzer vor Hackern zu schützen, die zunehmend auf Dashboards und Datenbanken im Internet abzielen.

Das Versäumnis, WordPress auf dem neuesten Stand zu halten, ist im Wesentlichen so, als würde man Hackern eine offene Einladung geben, hereinzukommen, einige Beiträge zu löschen und die Sicherheit der Website zu gefährden. Es ist eine wirklich schlechte Sache, bei diesen Updates ins Hintertreffen zu geraten, zumal ein unverändertes Thema sogar die Versionsnummer anzeigt, damit neugierige Köpfe sie sehen können.

Seit Version 3.0 ermöglicht WordPress die automatische Aktualisierung des Dashboards mit nur einem Klick. Tatsächlich benachrichtigt das Dashboard Benutzer sogar automatisch über Updates und fordert sie in ziemlich fettem, herausragendem Text auf, ein Upgrade durchzuführen. Dies sollte erfolgen, sobald ein Upgrade verfügbar ist; Es führt nicht zum Verlust von Dateien, Plugins, Designs oder Einstellungen.

Stattdessen dient die Aktualisierung von WordPress nur dazu, neue Funktionen zu aktivieren und Sicherheitslücken zu beheben, die seit dem Versand der letzten Version an die 60 Millionen Benutzer der Software entdeckt wurden. Bleiben Sie immer auf dem Laufenden, um Hacker abzuwehren.

6. Verstecken Sie die WP-Config.PHP-Datei vor praktisch allen Internetbenutzern

WordPress-Benutzer sollten niemals die Leistungsfähigkeit der .htaccess -Datei vergessen, wenn sie versuchen, Dateien zu verstecken und die Integrität ihres WordPress-Dashboards und ihrer Datenbank zu schützen. Tatsächlich ist diese Datei in vielerlei Hinsicht unerlässlich, um die langfristige Sicherheit von WordPress zu gewährleisten. Mit ein paar einfachen Codezeilen kann die „.htaccess“-Datei Dateien tatsächlich vollständig vor öffentlichen Internetbenutzern verbergen, selbst wenn die richtigen Dateiberechtigungen für diese Datei nicht festgelegt sind.

Dies ist die Lösung für die öffentliche Anzeige der Datei „wp-config.php“, die Dinge wie die API-Schlüssel und das Datenbankpräfix enthält, die zur Kompromittierung einer Installation erforderlich sind.

Um diese Datei vor böswilligen Internetbenutzern zu schützen, fügen Sie einfach die folgenden Codezeilen zur „.htaccess“-Datei hinzu, die sich im Stammordner der WordPress-Installation befindet. Wenn keine solche Datei vorhanden ist, erstellen Sie eine:

 <Dateien wp-config.php>
Befehl zulassen, verweigern
abgelehnt von allen
</Dateien>

Nachdem Sie diese Codezeile in die Datei eingefügt haben, speichern Sie sie und laden Sie sie über einen FTP-Client auf den Server hoch. Die Konfigurationsdatei für die jeweilige WordPress-Installation verschwindet nun praktisch aus der Öffentlichkeit, und das kann nur Gutes für die Sicherheit und den Seelenfrieden bedeuten.

7. Apropos Dateiberechtigungen: Überprüfen Sie sie, um die Sicherheit zu gewährleisten

WordPress erfordert keine sehr freizügigen Regeln für Dateizugriff und -änderung, um ordnungsgemäß zu funktionieren. Tatsächlich werden alle Einstellungen und Inhaltsinformationen der Website in die Datenbank geschrieben und nicht in serverseitigen PHP-Dateien gespeichert. Aus diesem Grund gibt es absolut keinen Grund, einen 777 CHMOD-Wert für eine WordPress-Datei zu verwenden. Dies ist stattdessen lediglich eine Möglichkeit sicherzustellen, dass Hacker einfachen Zugriff auf Konfigurationseinstellungen oder andere Dateien haben, die die Installation gefährden könnten.

Um Berechtigungen zu überprüfen und möglicherweise für eine sicherere Installation zu reparieren, öffne einen FTP-Client und navigiere zum Stammverzeichnis von WordPress. Klicken Sie mit der rechten Maustaste auf eine beliebige PHP-Datei und suchen Sie nach einer Menüoption, die sich auf Berechtigungen bezieht. Suchen Sie im daraufhin angezeigten Fenster nach einer Zahl, die die Verfügbarkeit der Datei angibt. 777 sollte es auf keinen Fall sein. In vielen Fällen wird empfohlen, einen CHMOD- Wert von 744 zu verwenden, der den Zugriff und die Änderung der Dateien auf den Root-FTP-Benutzer des Servers beschränkt. Ändern Sie diese Einstellung bei Bedarf und speichern Sie sie anschließend. Der Server wird entsprechend aktualisiert.

8. Verwenden Sie die .htaccess-Datei, um die .htaccess-Datei auszublenden

Die meisten Leute halten dies nicht für eine Möglichkeit, aber die .htaccess -Datei kann tatsächlich verwendet werden, um sich vor der Öffentlichkeit zu verstecken. Dies wird bereits weitgehend durch die Verwendung eines Dateinamens erreicht, der mit einem Punkt beginnt, aber das funktioniert nicht auf Windows-basierten Computern. Diese Maschinen müssen feststellen, dass die Datei nicht zugänglich ist, indem sie Anweisungen verwenden, die in „.htaccess“ selbst enthalten sind. Die Berechtigungen sehen tatsächlich ziemlich ähnlich aus wie die Methode, mit der die PHP-Konfigurationsdatei von WordPress ausgeblendet wird, wie hier zu sehen:

 <Dateien .htaccess>
Befehl zulassen, verweigern
abgelehnt von allen
</Dateien>

Auch hier kann diese Zeile, sobald sie in die Datei eingefügt wurde, gespeichert und auf den Server hochgeladen werden. Es ist jetzt für praktisch jeden, der die Site besucht, außer dem Root-Administrator-Benutzer, unsichtbar.

9. Verstehen und nutzen Sie die Kraft eines leeren HTML-Dokuments

Jeder, der sich Zugriff auf eine kompromittierte WordPress-Installation verschaffen möchte, weiß, dass die Software ihre Plugins und Themes in einem bestimmten Verzeichnis ablegt. Sie überprüfen diese Verzeichnisse auf fehlende Sicherheits-Plugins oder eine Reihe von XHTML- und CSS-basierten Schwachstellen und nutzen diese dann aus, um Zugriff zu erhalten. Das lässt sich eigentlich ganz einfach verhindern.

Um sicherzustellen, dass die Dateilisten in diesen Verzeichnissen keinem Internetbenutzer angezeigt werden, erstellen Sie einfach ein leeres HTML-Dokument und legen Sie es in dem Ordner ab. Das Dokument sollte ziemlich einfach sein, mit Head-Tags und einem Titel, der so etwas wie „ Restricted Access “ sagt. Dieser Titel könnte darauf hindeuten, dass der Site-Administrator ein oder zwei Dinge über Sicherheit weiß, und er wird böswillige Benutzer auf andere Websites schicken.

10. Haben Sie immer eine aktuelle Sicherung zur Verfügung

Der richtige Weg, um die Sicherheit einer WordPress-Installation anzugehen, besteht darin, dass sie einerseits Vorbereitung und andererseits Prävention ist.

Der „Vorbereitungs“-Aspekt dieses Prozesses kommt in Form eines Backups. Sowohl die eigentlichen WordPress-Dateien als auch die zum Speichern von Informationen verwendete Datenbank sollten regelmäßig gesichert werden; Dies kann auf verschiedene Arten erfolgen, einschließlich mehrerer WordPress-Plugins für das Dashboard.

Wenn eine fortgeschrittenere Methode zum Sichern von Dateien benötigt wird, können Benutzer Backup-Tools in den Backend-Administrationsbereichen von cPanel oder Plesk Panel verwenden. Darüber hinaus könnten Administratoren den Prozess automatisieren und Cron-Jobs erstellen, sodass immer ein aktuelles Backup verfügbar ist.

Das Wichtigste bei der Sicherheit von WordPress ist, immer auf das Worst-Case-Szenario vorbereitet zu sein. Wenn es darum geht, Betriebszeit und Zuverlässigkeit zu gewährleisten, selbst wenn sie von einem böswilligen Hacker angegriffen werden, ist ein Site-Backup der einfachste Weg, um nach dem Schließen der Sicherheitslücke wieder online zu gehen.

Wachsamkeit und intelligente Nutzung sind die Schlüssel zu einer sicheren WordPress-Installation

Generell ist WordPress in den letzten Jahren exponentiell sicherer geworden. Kurzzeitig schien es, als gäbe es alle zwei Wochen eine neue Sicherheitslücke. Dieses Muster war besonders beunruhigend für größere und mehr Unternehmensbenutzer, und das Team von Automattic machte sich schnell an die Arbeit an einem vollständigen Neustart.

Dieser Neustart war größtenteils die Version 3.0 mit einer weitaus sichereren Architektur und automatischen Update-Tools, die die harte Arbeit abnahmen, mit den neuesten Sicherheitspatches und -fixes auf dem Laufenden zu bleiben.

Wenn es darum geht, sicher zu bleiben, sollten diese Versionen unbedingt auf dem neuesten Stand gehalten werden und Benutzer sollten strenge Berechtigungen, Einschränkungen und Sicherheitstricks anwenden, um vor böswilligen Internetbenutzern geschützt zu sein.