Das könnte dich auch interessieren

Du hast deinen AdBlocker an?

Es wäre ein Traum, wenn du ihn für t3n.de deaktivierst. Wir zeigen dir gerne, wie das geht. Und natürlich erklären wir dir auch, warum uns das so wichtig ist. Digitales High-five, deine t3n-Redaktion

Ratgeber

WordPress: 15 vermeidbare Anfängerfehler

    WordPress: 15 vermeidbare Anfängerfehler
(Foto: Christopher Ross / Flickr Lizenz: CC BY-SA 2.0)

Die einfache Handhabung von WordPress macht es wohl zum beliebtesten Open-Source-CMS. Aber gerade diese Einfachheit birgt auch ein hohes Fehlerpotential. Wir verraten die häufigsten Anfängerfehler und wie du sie vermeiden kannst.

Fehler in Wordpress vermeiden
Fehler in WodPress vermeiden. (Grafik: t3n, Logo: Wordpress)

Der Mensch ist nicht perfekt. Wir alle machen Fehler. Einige dieser Fehler, die aber immer wieder in Zusammenhang mit der Benutzung von WordPress gemacht werden, führen zu Problemen in Bezug auf die Sicherheit und verlangsamen den Entwicklungsprozess einer Webseite. Wir zeigen dir die häufigsten Fehler, warum du sie nicht begehen solltest und verraten dir, was du tun kannst um sie zu vermeiden.

1. Falscher Untertitel

Es gibt Themes, die den Untertitel der WordPress-Site nicht ausgeben. Wenn du eines dieser Themes benutzt, liegt der Gedanke nah, dass er auch nicht geändert werden muss. Aber das ist falsch: Google und andere Suchmaschinen indexieren den Untertitel deiner Site, egal ob er angezeigt wird oder nicht. Du kannst den Untertitel unter „Einstellungen -> Allgemein“ ändern.

Wenn du „Just Another WordPress Site“ in den Suchmaschinen suchst, wirst du einige solcher Fehltritte finden können.

2. Admin als Benutzername

Das ist einer der häufigsten Fehler, der auch immer wieder auftritt, da WordPress von sich aus vorschlägt, den ersten Benutzer als „admin“ anzulegen – und diesem Benutzer auch gleich Administrator-Rechte verleiht. Wählt der Benutzer dann noch ein schwaches Passwort, öffnet er Tür und Tor für potenzielle Angreifer. Daher solltest du neben einem guten Passwort auch einen nicht unbedingt vorhersehbaren Login-Namen für deinen WordPress Admin-User wählen.

3. Als Administrator posten

Es ist wichtig den Administrator-Benutzernamen hinter deiner Installation so gut wie möglich zu verschleiern. Schreibst du aber Beiträge als Administrator, kannst du genauso gut den oben genannten Fehler begehen und deinen Admin-Benutzer „admin“ nennen.

Stattdessen solltest du den Admin-Benutzer ausschließlich für die Arbeit am Backend benutzen und ein tiefergestelltes Konto für die Erstellung von Inhalten benutzen.

4. Log-In Maske nicht gegen Bruteforce-Attacke schützen

Je weniger ein potenzieller Angreifer über deine WordPress-Seite weiß, desto schwieriger wird es für ihn, sich Zugriff darauf zu verschaffen. Der Administrationsbereich von WordPress ist normalerweise über http://www.deineseite.de/wp-admin zu erreichen. Solltest du nicht eingeloggt sein, wird auf die Datei wp-login.php verwiesen. Um eine Brute-Force-Attacke auf deine WordPress-Webseite zu erschweren, kannst du die wp-login.php umbenennen. Hierfür gibt es das nützliche Plug-In „Rename wp-login.php". Dieses Plug-in lässt dich jede beliebige Zeichenkette für deine WordPress Seite festlegen. Neugierige User und Angreifer, die versuchen über /wp-admin oder /wp-login.php auf dein Administrations-Panel zuzugreifen landen dann auf einer Fehlerseite.

5. Tabellenpräfix

Der beste Weg, das Hacking des Blogs zu vermeiden, ist unvorhersehbar zu sein. Ähnlich wie der Admin-Name, ist das Standard-Tabellenprefix von Wordpress eine vorhersehbare Konstante – dabei ist es sehr einfach dein Tabellenpräfix zu ändern. Du kannst es während der Installation, aber auch nachträglich in der wp-config.phpändern. Wähle ein komplexeres Präfix, das sich nur schwer erraten lässt. Das sollte kein Problem sein, da du in Zukunft sowieso nicht mehr darüber nachdenken musst, welches Präfix in der Datenbank benutzt wird.

6. Standardwerte für Salt und Keys

Das „Salt“ und die „Keys“ sind Werte, die sich in der <code>wp-config.php</code> deiner WordPress-Installation befinden. Sie werden dafür benutzt, um eingeloggte Benutzer und deren Endgeräte zu authentifizieren. In der Vergangenheit war es vergleichsweise leicht Session-Cookies und somit auch die jeweilige Sitzung zu übernehmen. Mit „Salt“ und „Keys“ wurde eine Hürde für Angreifer eingebaut, die es nicht mehr so einfach macht Sessions zu übernehmen. WordPress bietet einen eigenen Service für die Erstellung von Salt und Keys. Einfach die Ausgabe der Seite in die <code>wp-config.php</code> kopieren – schon ist alles erledigt. Heute werden Salt und Keys automatisch durch den Autoinstaller vom WordPress-Dienst bezogen. Um auf Nummer Sicher zu gehen, solltest du deine Config nach der Installation aber jedes mal auf das Vorhandensein von individuellen Werten für Salt und Keys hin überprüfen.

Finde einen Job, den du liebst zum Thema TYPO3, PHP

Alle Jobs zum Thema TYPO3, PHP
13 Reaktionen
mretzlaff
mretzlaff

Sehr hilfreicher Artikel. Um den Adminbereich vor Brute Force Attacken zu schützen benutze ich immer noch am liebsten das Plugin "Limit Login Attempts", weil es so einfach einzurichten ist und der Login ganz bequem da bleibt, wo er ist. Meint ihr, das ist eine sinnvoll oder zu wenig Schutz?

Ich habe 10 der häufigsten WordPress-Fehler mal in einen interaktiven Check gegossen und würde mich freuen, wenn ihr den der Statistik zuliebe mal durchführt: http://hootproof.de/10-typische-wordpress-fehler-und-wie-du-sie-vermeidest/

Antworten
kirchmeier
kirchmeier

Eigentlich fängt das ja schon an mit der Auswahl des richtigen Providers! Manche sind von Haus aus eher unsicher, und das müssen noch nichtmal die "Kleinen" sein. Eine nützliche Übersicht gibt es hier: http://www.top-wp-hosting.de/wordpress-hosting-vergleich/

Antworten
Marco.Willi
Marco.Willi

Danke für die Tipps!
Speziell die Sicherheitstipps sind gut find ich, da einfach umzusetzen.

Antworten
fabianmarz
fabianmarz

Zeichendreher: "...System nicht erkannt und stheen somit auch..."

Antworten
Emmanuel
Emmanuel

Bei Punkt 3 denke ich das der AdministratorName aber nicht zwingend dem Login entpricht oder übersehe ich was ?

Antworten
joesto
joesto

Hallo, ein teil von den tips ist auch für joomla gut.....

Antworten
Sam
Sam

Für Punkt 4 eignet sich auch ein .htaccess Schutz der vor dem direktem Zugriff auf das wp-admin Verzeichniss schützt.

Antworten
Stefan
Stefan

Für Punkt 4 würde ich ein Plugin bevorzugen, welches die Anzahl Loginversuche einschränkt (z.B. Limit Login Attempts).

Antworten
Ich
Ich

iThemes Security (ehemals Better WP Security) führt viele der Änderungen automatisch durch bzw. macht entsprechende Vorschläge. Eines der ersten Plugins die ich immer auf meinen Wordpress-Seiten installiere. https://wordpress.org/plugins/better-wp-security/

Antworten
klaudia guesten
klaudia guesten

ich hab den Vorgang unter Punkt 4 des Artikels versucht, das Plugin aktiviert und eine neue URL wie beschrieben anlegen wollen, hat nicht funktioniert, konnte mich nicht mehr einloggen, musste wieder deaktivieren. Was kann ich denn da falsch gemacht haben?

Antworten
irgendeinem Spinner
irgendeinem Spinner

Wieder jede Menge Security-through-obscurity-Tipps. Lasst einfach die Finger von solchem Schwachsinn, das bringt keine erhöhte Sicherheit!

Antworten
Jan
Jan

Nur als kleiner Hinweis, die Zwischenüberschrift von Punkt 12 müsste Backups und nicht Updates sein.

Antworten

Melde dich mit deinem t3n-Account an oder fülle die unteren Felder aus.

Abbrechen