Username ändern

Der Benutzername der Standard-Installation ist admin und nicht nur Ihnen bekannt. Nach einer Installation gehört dieser Nutzer gelöscht. Sie sollten unbedingt einen neuen Administrator anlegen. Dies geschieht im Administrationsbereich und sollte die erste Tat nach dem initialen Login sein.

Damit ändern Sie nicht nur den Nutzernamen, sondern auch die ID, die nach der Erstinstallation 1 ist. Zwei Felder, die es einem Angreifer einfach machen, wenn Sie diese nicht ändern.

Möchten Sie sehr große Werte für die ID setzen, so ist die händische Variante im Backend sehr aufwändig, denn WordPress addiert bei jedem neuen Nutzer nur 1 auf. Alternativ können Sie diesen Wert auch per SQL oder mit dem Plugin „Suchen & Ersetzen“ [3] ändern.

UPDATE 'wp_users' SET 'ID' = '815' WHERE 'wp_users'.'ID' = 1;
UPDATE 'wp_usermeta' SET 'user_id' = '815' WHERE 'wp_usermeta'.'user_id' = 1;
UPDATE 'wp_posts' SET 'post_author' = '815' WHERE 'wp_posts'.'post_author' = 1;
UPDATE 'wp_links' SET 'link_owner' = '815' WHERE 'wp_links'.'link_owner' = 1;

WordPress-Version nicht preisgeben

Die Version von WordPress wird an vielen Stellen des Blogs ausgegeben, so im Backend, in den Feeds und im Theme. Jede Version hat ihre Eigenarten und Fehler, die potenziellen Angreifern bekannt sind.

Aus diesem Grund sollten Fremde keine Information über Ihre WordPress-Installation erhalten. Die einfachste Form, um die Versionsinformationen aus allen Bereichen (außer dem Backend) zu entfernen, ist die Nutzung des Plugins „Secure WordPress“ [4]. Alternativ genügt es, die Funktion für die Veröffentlichung der Version zu unterbinden.

add_filter( ’the_generator’, create_function(’$a’, "return null;") );

Fehler- und Hinweismeldungen deaktivieren

Den Backendbereich von WordPress erreicht man via Login mit Benutzernamen und Passwort. Kommt es hier zu Fehlern durch den Nutzer, gibt WordPress entsprechende Tipps, um den Login zu erleichtern. So nützlich die Information für den Anwender ist, so nützlich ist sie auch für unerwünschte Eindringlinge.

Überlegen Sie, ob Sie diese Meldungen zulassen müssen oder wollen, ansonsten können auch diese mit dem bereits erwähnten Plugin „Secure WordPress“ deaktiviert werden.

Sollte in Ihrer wp-config.php die Konstante „WP-DEBUG“ definiert sein, müssen Sie diese auf den Wert „FALSE“ setzen oder löschen, denn ansonsten werden alle Fehler in WordPress im Browser ausgegeben. Diese Konstante sollte nur im Entwicklungsumfeld von WordPress genutzt werden.

define('WP_DEBUG', false);

Sicherheit per .htaccess

Die Möglichkeiten mit .htaccess sind vielfältig und so kann man auch WordPress mittels .htaccess hinreichend absichern. Im Einzelnen sollten die unterschiedlichen Anforderungen dabei geprüft werden, denn nicht selten leidet die Benutzbarkeit unter den Sicherheitseinstellungen. Betrachten Sie die Sicherheit von WordPress auch aus Sicht der Nutzer, nicht nur aus der des Administrators. Ebenfalls sollten Sie die Konfiguration Ihres Webspace beachten, so dass es nicht zu Fehlern kommt.