t3n News

WordPress: 15 vermeidbare Anfängerfehler

WordPress: 15 vermeidbare Anfängerfehler

Die einfache Handhabung von macht es wohl zum beliebtesten Open-Source-CMS. Aber gerade diese Einfachheit birgt auch ein hohes Fehlerpotential. Wir verraten die häufigsten Anfängerfehler und wie du sie vermeiden kannst.

Fehler in WordPress vermeiden
Fehler in WodPress vermeiden. (Grafik: t3n, Logo: WordPress)

Der Mensch ist nicht perfekt. Wir alle machen Fehler. Einige dieser Fehler, die aber immer wieder in Zusammenhang mit der Benutzung von gemacht werden, führen zu Problemen in Bezug auf die Sicherheit und verlangsamen den Entwicklungsprozess einer Webseite. Wir zeigen dir die häufigsten Fehler, warum du sie nicht begehen solltest und verraten dir, was du tun kannst um sie zu vermeiden.

1. Falscher Untertitel

Es gibt Themes, die den Untertitel der WordPress-Site nicht ausgeben. Wenn du eines dieser Themes benutzt, liegt der Gedanke nah, dass er auch nicht geändert werden muss. Aber das ist falsch: Google und andere Suchmaschinen indexieren den Untertitel deiner Site, egal ob er angezeigt wird oder nicht. Du kannst den Untertitel unter „Einstellungen -> Allgemein“ ändern.

Wenn du „Just Another WordPress Site“ in den Suchmaschinen suchst, wirst du einige solcher Fehltritte finden können.

2. Admin als Benutzername

Das ist einer der häufigsten Fehler, der auch immer wieder auftritt, da WordPress von sich aus vorschlägt, den ersten Benutzer als „admin“ anzulegen – und diesem Benutzer auch gleich Administrator-Rechte verleiht. Wählt der Benutzer dann noch ein schwaches Passwort, öffnet er Tür und Tor für potenzielle Angreifer. Daher solltest du neben einem guten Passwort auch einen nicht unbedingt vorhersehbaren Login-Namen für deinen WordPress Admin-User wählen.

3. Als Administrator posten

Es ist wichtig den Administrator-Benutzernamen hinter deiner Installation so gut wie möglich zu verschleiern. Schreibst du aber Beiträge als Administrator, kannst du genauso gut den oben genannten Fehler begehen und deinen Admin-Benutzer „admin“ nennen.

Stattdessen solltest du den Admin-Benutzer ausschließlich für die Arbeit am Backend benutzen und ein tiefergestelltes Konto für die Erstellung von Inhalten benutzen.

4. Log-In Maske nicht gegen Bruteforce-Attacke schützen

Je weniger ein potenzieller Angreifer über deine WordPress-Seite weiß, desto schwieriger wird es für ihn, sich Zugriff darauf zu verschaffen. Der Administrationsbereich von WordPress ist normalerweise über http://www.deineseite.de/wp-admin zu erreichen. Solltest du nicht eingeloggt sein, wird auf die Datei wp-login. verwiesen. Um eine Brute-Force-Attacke auf deine WordPress-Webseite zu erschweren, kannst du die wp-login.php umbenennen. Hierfür gibt es das nützliche Plug-In „Rename wp-login.php". Dieses Plug-in lässt dich jede beliebige Zeichenkette für deine WordPress Seite festlegen. Neugierige User und Angreifer, die versuchen über /wp-admin oder /wp-login.php auf dein Administrations-Panel zuzugreifen landen dann auf einer Fehlerseite.

5. Tabellenpräfix

Der beste Weg, das Hacking des Blogs zu vermeiden, ist unvorhersehbar zu sein. Ähnlich wie der Admin-Name, ist das Standard-Tabellenprefix von WordPress eine vorhersehbare Konstante – dabei ist es sehr einfach dein Tabellenpräfix zu ändern. Du kannst es während der Installation, aber auch nachträglich in der wp-config.phpändern. Wähle ein komplexeres Präfix, das sich nur schwer erraten lässt. Das sollte kein Problem sein, da du in Zukunft sowieso nicht mehr darüber nachdenken musst, welches Präfix in der Datenbank benutzt wird.

6. Standardwerte für Salt und Keys

Das „Salt“ und die „Keys“ sind Werte, die sich in der <code>wp-config.php</code> deiner WordPress-Installation befinden. Sie werden dafür benutzt, um eingeloggte Benutzer und deren Endgeräte zu authentifizieren. In der Vergangenheit war es vergleichsweise leicht Session-Cookies und somit auch die jeweilige Sitzung zu übernehmen. Mit „Salt“ und „Keys“ wurde eine Hürde für Angreifer eingebaut, die es nicht mehr so einfach macht Sessions zu übernehmen. WordPress bietet einen eigenen Service für die Erstellung von Salt und Keys. Einfach die Ausgabe der Seite in die <code>wp-config.php</code> kopieren – schon ist alles erledigt. Heute werden Salt und Keys automatisch durch den Autoinstaller vom WordPress-Dienst bezogen. Um auf Nummer Sicher zu gehen, solltest du deine Config nach der Installation aber jedes mal auf das Vorhandensein von individuellen Werten für Salt und Keys hin überprüfen.

Newsletter

Bleibe immer up-to-date. Sichere dir deinen Wissensvorsprung!

Vorheriger Artikel Zurück zur Startseite Nächster Artikel
13 Antworten
  1. von Jan am 19.11.2014 (10:21 Uhr)

    Nur als kleiner Hinweis, die Zwischenüberschrift von Punkt 12 müsste Backups und nicht Updates sein.

    Antworten Teilen
  2. von irgendeinem Spinner am 19.11.2014 (10:26 Uhr)

    Wieder jede Menge Security-through-obscurity-Tipps. Lasst einfach die Finger von solchem Schwachsinn, das bringt keine erhöhte Sicherheit!

    Antworten Teilen
  3. von klaudia guesten am 19.11.2014 (10:56 Uhr)

    ich hab den Vorgang unter Punkt 4 des Artikels versucht, das Plugin aktiviert und eine neue URL wie beschrieben anlegen wollen, hat nicht funktioniert, konnte mich nicht mehr einloggen, musste wieder deaktivieren. Was kann ich denn da falsch gemacht haben?

    Antworten Teilen
  4. von Ich am 19.11.2014 (11:07 Uhr)

    iThemes Security (ehemals Better WP Security) führt viele der Änderungen automatisch durch bzw. macht entsprechende Vorschläge. Eines der ersten Plugins die ich immer auf meinen Wordpress-Seiten installiere. https://wordpress.org/plugins/better-wp-security/

    Antworten Teilen
  5. von Stefan am 19.11.2014 (12:05 Uhr)

    Für Punkt 4 würde ich ein Plugin bevorzugen, welches die Anzahl Loginversuche einschränkt (z.B. Limit Login Attempts).

    Antworten Teilen
  6. von Sam am 19.11.2014 (17:09 Uhr)

    Für Punkt 4 eignet sich auch ein .htaccess Schutz der vor dem direktem Zugriff auf das wp-admin Verzeichniss schützt.

    Antworten Teilen
  7. von joesto am 19.11.2014 (21:34 Uhr)

    Hallo, ein teil von den tips ist auch für joomla gut.....

    Antworten Teilen
  8. von Emmanuel am 19.11.2014 (23:12 Uhr)

    Bei Punkt 3 denke ich das der AdministratorName aber nicht zwingend dem Login entpricht oder übersehe ich was ?

    Antworten Teilen
  9. von fabianmarz am 21.11.2014 (09:43 Uhr)

    Zeichendreher: "...System nicht erkannt und stheen somit auch..."

    Antworten Teilen
  10. von MarcoW am 21.11.2014 (10:03 Uhr)

    Danke für die Tipps!
    Speziell die Sicherheitstipps sind gut find ich, da einfach umzusetzen.

    Antworten Teilen
  11. von kirchmeier am 02.02.2015 (16:47 Uhr)

    Eigentlich fängt das ja schon an mit der Auswahl des richtigen Providers! Manche sind von Haus aus eher unsicher, und das müssen noch nichtmal die "Kleinen" sein. Eine nützliche Übersicht gibt es hier: http://www.top-wp-hosting.de/wordpress-hosting-vergleich/

    Antworten Teilen
  12. von mretzlaff am 18.05.2015 (14:02 Uhr)

    Sehr hilfreicher Artikel. Um den Adminbereich vor Brute Force Attacken zu schützen benutze ich immer noch am liebsten das Plugin "Limit Login Attempts", weil es so einfach einzurichten ist und der Login ganz bequem da bleibt, wo er ist. Meint ihr, das ist eine sinnvoll oder zu wenig Schutz?

    Ich habe 10 der häufigsten WordPress-Fehler mal in einen interaktiven Check gegossen und würde mich freuen, wenn ihr den der Statistik zuliebe mal durchführt: http://hootproof.de/10-typische-wordpress-fehler-und-wie-du-sie-vermeidest/

    Antworten Teilen
  13. von davisbrown562 am 03.05.2016 (12:30 Uhr)

    6 WordPress-Fehler, die Sie unbedingt vermeiden sollten
    http://blog.templatetoaster.com/6-common-wordpress-mistakes-beginners-should-avoid/

    Antworten Teilen
Deine Meinung

Bitte melde dich an!

Du musst angemeldet sein, um einen Kommentar schreiben zu können.

Jetzt anmelden

Mehr zum Thema WordPress
Pagekit 1.0: Das modulare Open-Source-CMS im Überblick
Pagekit 1.0: Das modulare Open-Source-CMS im Überblick

Das Open-Source-CMS Pagekit ist in Version 1.0 erschienen. Wir verraten euch, was das modulare Content-Management-System alles kann. » weiterlesen

Von Publishern für Publisher: Burda stellt neues Open-Source-CMS auf Drupal-Basis vor
Von Publishern für Publisher: Burda stellt neues Open-Source-CMS auf Drupal-Basis vor

Der Medienkonzern Burda hat mit Thunder ein quelloffenes Content-Management-System auf Basis von Drupal 8 veröffentlicht. Das Unternehmen will so weitere Partner aus der Medienbranche gewinnen, um … » weiterlesen

Joomla!, WordPress, TYPO3 CMS und Co.: Die wichtigsten Updates für die wichtigsten CMS (April)
Joomla!, WordPress, TYPO3 CMS und Co.: Die wichtigsten Updates für die wichtigsten CMS (April)

Bei den großen CMS gibt es regelmäßig Updates, die neue Funktionen liefern oder Sicherheitslücken schließen. Die wichtigsten Updates aus dem April stellen wir euch hier kurz vor. » weiterlesen

Alle Hefte Jetzt abonnieren – für nur 35 €

Kennst Du schon unser t3n Magazin?