WordPress ist ein sehr bekanntes und weitverbreitetes(Blog-) CMS. Der Bekanntheitsgrad führt jedoch zu Sicherheitsrisiken – aufgrund des hohen Verbreitungsgrades lohnt es sich hier für Hacker besonders, zuzuschlagen. Damit das Webprojekt abgesichert ist, und man guten Gewissens WordPress einsetzen kann, empfehle ich folgende Sicherheitsmaßnahmen.

1. Standardbenutzer “Admin” löschen

Bei der Installation von WordPress wird dieser User automatisch angelegt. Dieser sollte durch einen neuen User mit Adminrechten ersetzt werden.

2. WordPress Version ausblenden

Im Quellcode wird per Standardeinstellung angezeigt, mit welcher WordPress Version ein Blog betrieben wird. Das kann Hackern über eventuelle Sicherheitslücken aufschluss geben. Um die Version auszublenden muss einfach dieser Code in die functions.php (im Ordner des verwendeten Themes zu finden) geschrieben werden:

remove_action(‘wp_head’, ‘wp_generator’);

3. Fehlerausgabe unterbinden

Für Entwickler nützlich: Die Fehlerausgabe. So sieht man oft sofort wo der Fehler steckt. Wenn der Fehler jedoch öffentlich zu sehen ist, können Hacker dadurch schnell einen potentiellen Eingang in die Seite finden. Mit dem folgenden Eintrag in der wp-config.php kann man die Fehlerausgabe ausschalten.

remove_action(‘wp_head’, ‘wp_generator’);

4. WP-Admin Verzeichnisse verschlüsseln

Die Größte “Gefahrenstelle” ist das /wp-admin Verzeichnis. Einfach und effektiv ist hier ein .htaccess-Schutz. Einen Generator hierfür kann man hier finden.

5. Anzahl der Loginversuche begrenzen

Um an ein Passwort zu gelangen, werden oft Brute-Force-Angriffe durchgeführt. Dabei werden sämtliche möglichen Passwörter durchprobiert, so lange bis eines stimmt. Mit einer begrenzten Anzahl an Loginversuchen lässt sich auch diese Lücke schließen. Am besten geht das mit dem Plugin Limit Login Attempts.

6. Userregistrierung deaktivieren

Wenn die Möglichkeit der Regisierung neuer Benutzer nicht benötigt wird, empfiehlt es sich, auch diese zu deaktivieren. Dies geht über das Einstellungsmenü im Adminbereich von WordPress.

7.  Updates installieren

Die Entwickler von WordPress veröffentlichen regelmäßig Updates. Diese schließen unter anderem bestehende Sicherheitslücken von älteren Versionen. Diese nicht zu installieren wäre fahrlässig.

8. Windows LiveWriter und XMLRPC Schnittstellen deaktivieren

Wer seine Beiträge nicht per Windows LiveWriter oder auf dem Handy schreibt, der kann getrost die LiveWriter und XMLRPC-Schnittstellen deaktivieren.
Dazu muss man einfach den folgenden Code in die functions.php ergänzen.

remove_action(‘wp_head’, ‘wlwmanifest_link’);
remove_action(‘wp_head’, ‘rsd_link’);

9. Aufräumen

Oft werden Plugins installiert, aktiviert, aber dann nicht gebraucht vergessen. So werden diese nicht aktualisiert, und bieten ein enormes Sicherheitsrisiko.
Es empfiehlt sich also, die Plugin-Liste durchzugehen, und nicht benötigte zu deaktivieren/löschen.

10. Backups machen

Im Falle eines Falles kann man mit Backups die Seite in den Ursprungszustand versetzen. Es ist daher ratsam, regelmäßig Backups zu machen (ich mache das in einem Zyklus von 3 Tagen).  Meist kann man im Admin-Menü beim jeweiligen Webhoster Backups erstellen (und ggf. wieder einspielen).