Im letzten Teil hatten wir die wichtigsten Einstellungen für WordPress vorgenommen, nun geht es ans Thema Sicherheit.

Dazu eine Diskussion von verschiedenen Tipps, die sicherlich nicht völlig neu sind, aber doch immer wieder erwähnenswert.

– Die Artikelserie im Überblick –

• Accounts: Angriffe erfolgen oftmals mit sogenannten Standardaccounts. Bei jeder neuen WordPress-Installation wird der User admin angelegt und ist daher auch fast überall vorhanden. Also machen wir es dem potentiellen Angreifer hier schon mal ein ganzes Stück schwerer, indem wir einen neuen Benutzer anlegen (Menü rechts im wp-admin-Bereich: Benutzer -> Hinzufügen), diesen mit Administrationsrechten ausstatten und den alten einfach löschen. So ist der neue Administrator-Account auch nicht mehr der ID 1 innerhalb der Datenbanktabelle zugeordnet.
  

  Neuen Administratoraccount erstellen

  Natürlich kann ein Angreifer ohne Probleme den Autorennamen feststellen, aber zumindest automatische Angriffe, die einfach nach bestimmten Schemen Passwörter zu Standardaccounts durchprobieren kann man damit schon mal besser blocken.

• Updates: Absolute Sicherheit wird es nie geben. Kein Programm ist perfekt und es ist nur eine Frage der Zeit, bis eine neue Lücke entdeckt wird. Diese werden von den Programmierern aber nach Möglichkeit recht rasch gestopft. Darum empfiehlt es sich die Updatefunktion auch tatsächlich auszunutzen. Ziel ist, es den Angreifern immer so schwer als nur möglich zu machen.
  Im Dashboard findet sich der Hinweis, welches deine aktuell installierte WordPress-Version ist. Ein automatisches Updates lässt sich im Bereich Werkzeuge -> Autoupdate durchführen.
• Passwörter: Sichere Passwörter verwenden. – Hört man eigentlich überall und trotzdem finden sich noch immer Passwörter, die einfach nur “password” lauten. Darum darf dieser Punkt in keiner Liste fehlen, auch wenn es letztlich nur langweiliges Wiederkäuen sein mag. Es empfiehlt: möglichst lang, möglichst keine sinnvollen Wörter, möglichst viele Sonderzeichen, Zahlen und Buchstaben gemischt. Auch aus Buchstaben-Zahlenkollonen lassen sich Eselsbrücken bauen, um sich Passwörter leichter zu merken. Wer sich also vorher schon eine Eselsbrücke überlegt und danach sein Passwort aufbaut, dürfte eine gute Strategie fahren.
• Plugins: Ungenutzte Plugins komplett entfernen: Je mehr Code, desto mehr potentielle Gefahrenstellen. Es macht natürlich wenig Sinn, jetzt komplett auf Plugins verzichten zu wollen, da WordPress erst dadurch richtig vielfältig wird. Allerdings sollte man entsprechend aussuchen und nicht benötigte Plugins nicht einfach nur deaktivieren, sondern am besten komplett entfernen.
• Sicherheits-Plugins: Folgende beiden Sicherheits-Plugins habe ich einmal ausprobiert:WP Security Scan:
  

  WP Security Scan Plugin

  Wer sich mit den technischen Hintergründen nicht so richtig auskennt, wird mit den Meldungen allein wohl nicht vollständig glücklich. Es sei denn, es ist ohnehin schon alles im grünen Bereich. Aber selbst das mag ein falsches Sicherheitsgefühl suggerieren, so dass man in anderen Punkten möglicherweise nachlässig wird. So sagt die Überprüfung, ob im Ordner wp-admin die .htaccess vorhanden ist, allein noch nicht wirklich viel über die Sicherheit aus, da der Inhalt dieser nicht mit analysiert wird. Als Gedächtnisstütze ist das Plugin trotzdem nicht verkehrt und es kommt ja immer mal vor, dass man etwas noch nicht gewusst oder einfach nicht mehr so präsent hat. Zumal das Plugin einige Möglichkeiten mitbringt, bedenkliche Einstellungen nachträglich recht einfach zu ändern. Schön ist außerdem der Passwort-Generation – wobei die meisten eigentlich wissen dürften, wie ein sicheres Passwort auszusehen hat. Für die Zukunft sind noch einige Erweiterungen geplant, die das Plugin sicherlich ein wenig interessanter machen dürften.

  Anti-Virus:

  

  Antivirus Plugin

  Überprüft den Code der eingesetzten Templates. Man kann auch eine automatische tägliche Überprüfung mitsamt Mailbenachrichtung im Fall eines zweifelhaften Fundes einschalten. Keine schlechte Sache, vor allem, wenn man sich auf fremde Themes verlässt und dort gerne mal verschiedenes ausprobiert. Bisher hat das Plugin bei mir noch nicht angeschlagen, so dass ich über die Zuverlässigkeit / Fehlalarm-Anfälligkeit nicht wirklich etwas sagen kann. Mehr Hintergründe zu diesem Theme gibt es direkt beim Entwickler: http://playground.ebiene.de/1577/antivirus-wordpress-plugin/

• wp-config.php:Tabellenpräfix: Nicht das Standard-Tabellenpräfix “wp_” verwenden. Alles, was standardmäßig bekannt ist, kann von Angreifern verwendet werden. Wer das Präfix individuell abändert, ist der 99%igen Sicherheit wieder einen Prozentpunkt näher.Secret-Keys: in wp-config.php nutzen. Setze eine beliebige Zeichenkette für AUTH_KEY, SECURE_AUTH_KEY, LOGGED_IN_KEY, NONCE_KEY. Dies sorgt für eine bessere Verschlüsselung von gespeicherten Informationen in Cookies.

  Verschieben von wp-content: Auch die WordPress-Standardverzeichnis-Struktur ist bekannt und könnte daher für Angriffe verwendet werden. Es ist möglich das Verzeichnis umzubenennen oder auszulagern. Damit WordPress nachher noch richtig arbeitet, sind ein paar Zeilen Code in der wp-config.php vonnöten:

  define( 'WP_CONTENT_DIR', $_SERVER['DOCUMENT_ROOT'] . '/blog-data/wp-content' );
  define( 'WP_CONTENT_URL', 'http://Domainname/blog-data/wp-content');
  

  Wobei du die Verzeichnispfade entsprechend den lokalen Gegebenheiten deiner Installation anpassen musst.

• .htaccess nutzen:
  Passwortschutz für wp-admin-Verzeichnis: Um einen Passwortschutz für den wp-admin-Bereich realisieren, muss innerhalb dieses Verzeichnisses eine .htaccess-Datei erstellt werden. Dies ist direkt in Windows nicht so einfach möglich, da immer ein Dateiname+Dateiendung erwartet wird. Es klappt aber ganz einfach über folgenden kleinen Umweg: lege mit einem Editor eine neue Textdatei mit dem Namen “.htaccess.txt” an. In diese fügst du folgende Codezeilen ein:

AuthType Basic
AuthName "anzuzeigender Name bei der Passwort-Abfrage"
AuthUserFile absoluter-Verzeichnispfad/.htusers
require valid-user

Anschließend erstellst du die Datei “.htusers.txt”. Dort fügst du folgendes ein:

Username:Passwort-in-md5-Code

Einen Passwort-Generator, der den richtigen Code ausspuckt, findest du z.B. hier: http://de.selfhtml.org/servercgi/server/htaccess.htm#verzeichnisschutz
Diese Dateien lädst du nun mittels eines FTP-Programms in das Hauptverzeichnis deiner Webpräsenz.
Achtung! Beim Hochladen bitte darauf achten, dass du keine bereits bestehenden .htaccess- oder .htusers-Dateien überschreibst. Falls eine entsprechende Datei bereits vorhanden sein sollte, ergänze deinen Code am Ende dieser Datei.
Anschließend benennst du die Datei direkt auf dem Server in .htaccess bzw. .htusers um. Jetzt sollte beim Aufruf deines Blog-Administrationsbereich eine zusätzliche Passwort-Abfrage erscheinen.

• Spam-Schutz: Um deinen Blog vor Spam-Beiträgen zu schützen, empfiehlt es sich sehr, auf Akismet zu setzen. Dieses Plugin ist bereits von Haus aus in WordPress installiert. Zur Aktivierung benötigt man allerdings einen persönlichen API-Key, den man erst nach der Erstellung eines Benutzeraccounts auf www.wordpress.com per Mail zugesandt erhält. Diesen Key auf keinen Fall an dritte weitergeben, da er im Stellenwert etwa einem Passwort gleichkommt.
  Das bißchen Aufwand sollte man auf jeden Fall auf sich nehmen. Es lohnt sich. Den API-Key kann man teils auch noch für andere Plugins gebrauchen.

Natürlich gibt es noch mehr Möglichkeiten. Dies erscheinen mir aber soweit die wichtigsten zu sein.