Frank Bültge
Es gibt viele Wege, um eine WordPress-Installation abzusichern. In diesem Artikel werden lediglich jene beleuchtet, die mit geringem Aufwand in WordPress realisiert werden können. Eine Gewichtung ist dabei nur schwer möglich und im Einzelfall immer abhängig von den unterschiedlichen zur Verfügung stehenden Möglichkeiten. Hat man beispielsweise die Option, auf die Konfiguration des Servers zuzugreifen, kann bereits im Vorfeld ein hohes Maß an Sicherheit erreicht werden. Hier soll es lediglich um Sicherheitseinstellungen innerhalb von WordPress gehen.
WordPress sicher installieren
WordPress ist für seine einfache und unkomplizierte Installation bekannt. Diese Tatsache hat unter anderem zur Popularität der Software beigetragen, sorgt aber ebenso dafür, dass viele Einstellungen auf unterschiedlichsten Installationen gleich sind. Dies ermöglicht es Hackern, auf diverse Ausgangspositionen aufzusetzen und sich unbefugten Zutritt zu verschaffen.
Bereits bei der Installation von WordPress sollte man deshalb einige Punkte beachten, die dazu beitragen, dass das eigene Blog weniger Gemeinsamkeiten mit einer Default-WordPress-Installation hat. Eine Installation, die vom Standard abweicht, erschwert potenziellen Eindringlingen den unauthorisierten Zugang. In diesem Zusammenhang sollte man einige Punkte beim Aufsetzen einer neuen Installation von WordPress beachten.
Alle Tipps beschränken sich auf die Möglichkeiten der Basisinstallation ohne Erweiterungen. Es existieren allerdings auch einige nützliche Plugins für mehr Sicherheit in WordPress, die besonders für weniger versierte Nutzer eine Alternative darstellen.
Tabelle-Präfix
Der Zugang zur Datenbank wird in der Datei wp-config.php konfiguriert. In dieser Datei wird auch das Tabellen-Präfix definiert, mit dem WordPress bei der Installation alle erforderlichen Tabellen anlegt. Standardmäßig handelt es sich hierbei um das Präfix „wp_“. Sie sollten immer ein fiktives Präfix vergeben, das nicht dem Standard entspricht. Außerdem sollten Sie darauf achten, dass Sie ausschließlich Zahlen, Buchstaben und Unterstriche verwenden, denn andere Zeichen werden nicht unterstützt.
Authentication Unique Keys
Ebenfalls in der Datei wp-config.php haben Sie die Möglichkeit, vier Sicherheitsschlüssel zu definieren, die die Sicherheit von WordPress erhöhen. Die Schlüssel erzeugen Sie entweder manuell oder über einen Generator von wordpress.org [1]. Die vier Schlüssel sind verschiedenen Cookies zugeordnet und werden an unterschiedlichen Stellen genutzt, um die Sicherheit von WordPress zu erhöhen, daher ist es auch wichtig, dass jede Installation unterschiedliche Schlüssel hat. Die relevanten Schlüssel sind folgende:
| AUTH_KEY | Wird genutzt für unsichere Verbindungen via http. |
| SECURE_AUTH_KEY | Mit dieser Konstante lässt sich eine gesicherte Verbindung über https realisieren. |
| LOGGED_IN_KEY | Hält fest, ob sich ein Nutzer eingeloggt hat; nicht administrativer Cookie. |
| NONCE_KEY | Kommt unter anderem bei $_POST-Abfragen von WordPress zum Einsatz und kann durch Erweiterungen mit der Funktion wp_nonce() genutzt werden. |
Wird eine bestehende Installation von WordPress aktualisiert, sollten die Schlüssel entsprechend ergänzt werden, hier am Beispiel von AUTH_KEY:
define('AUTH_KEY', 'put your unique phrase here'); // Hier gehört eine beliebige, möglichst zufällige Phrase rein
Listing 1
![Open Source auf Siegeszug: Freie Software wird die Welt regieren [Studie]](http://t3n.de/uploads/t3n-news-post-458660_Open-Source-Featured_medium.jpg)
von Frank 06.11.2009 (11:48Uhr) 1.
Zum Theme "Username ändern" möchte ich noch ergänzen, da ich hier im Artikel einen Eintrag in der Datenbank vergessen habe; eventuell kann man das im Artikel nachpflegen.
UPDATE `wp_users` SET `ID` = '815' WHERE `wp_users`.`ID` = 1;
UPDATE `wp_usermeta` SET `user_id` = '815' WHERE `wp_usermeta`.`user_id` = 1;
UPDATE `wp_posts` SET `post_author` = '815' WHERE `wp_posts`.`post_author` = 1;
UPDATE `wp_links` SET `link_owner` = '815' WHERE `wp_links`.`link_owner` = 1;
von nützliche Tweets: 06.11.2009 | preisbie… 07.11.2009 (08:49Uhr) 2.
[...] WordPress mit wenigen Kniffen vor Angriffen schützen » #Blog #Wordpress [...]
von Wie sichere ich mein Wordpress-Blog vor… 09.11.2009 (10:18Uhr) 3.
[...] Heft 17 dazu ein informativer und guter Artikel erschienen. Nun könnt ihr euch den Text auch im Online-Archiv durchlesen und hoffentlich danach [...]
von Florian Endres 09.11.2009 (13:16Uhr) 4.
Die Änderung wurden eingetragen. Der Code ist nun so, wie von Frank in den Kommentaren angemerkt.
von Sicher bloggen: WordPress mit wenigen Kn… 03.02.2010 (17:50Uhr) 5.
[...] Sicher bloggen: WordPress mit wenigen Kniffen vor Angriffen schützen » t3n Magazin. [...]
von WordPress gehackt – was tun, eine… 16.04.2010 (21:41Uhr) 6.
[...] WordPress mit wenigen Kniffen vor Angriffen schützen [...]
von Wordpress sicherer machen | galuba dot n… 20.04.2010 (14:47Uhr) 7.
[...] WordPress mit wenigen Kniffen vor Angriffen schützen [...]
von FrankieFilm 29.04.2010 (18:27Uhr) 8.
Долго, долго искал и вот оно... случайно наткнулся на Вашу изумительную статью
von WordPress gehackt – was tun, eine… 30.05.2010 (20:17Uhr) 9.
[...] WordPress mit wenigen Kniffen vor Angriffen schützen [...]
von Hier Viel mehr 06.08.2012 (01:27Uhr) 10.
Okay, meckern können wir alle. Wie wäre es mit etwas Konstruktivem, Mr. Kreativ…? Ich hätte mir am Ende des Artikels schon ein paar mehr Fakten erwünscht. So bleibt es einfach nur ein billiger Abklatsch von Weisheiten, die wir schon aus “Fight Club” kennen. Sorry. Von Leuten, die auf hohem Niveau meckern, halte ich GAR NICHTS.