Hacker gehen um:Sicherheitstipps für WordPress User

Die Hacker gehen um. WordPress ist beliebt als Angriffsziel, weil WordPress sich zur meistverwendeten Software gemausert hat. Hier einige Sicherheitstipps, die das Leben der Hacker um etliches erschweren, dass der WordPress Benutzer um einiges erleichtern und ruhiger machen.

Sicherheits Updates machen

Wer jammert, dass seine WP Version 2.02 gehackt wurde hat von mir kein Mitleid. Eher schiefen Blick wegen Sorglosigkeit.

Datenbankpräfix ändern.

In der Datei wp-config.php wird das Datenbankpräfix eingegeben. Standard ist wp- unbedingt was anders nehmen.

// You can have multiple installations in one database if you give each a unique prefix
$table_prefix  = 'wp_';   // Only numbers, letters, and underscores please!

Erlaubt sind Zahlen, Buchstaben und Unterstriche.

blog_ ist auch keine wirklich sichere und kreative Lösung. :zwinker:

Passwort des Adminaccounts

Dies ist der erste User den WordPress erstellt und der hat die höchste Macht – wie ein König. Könige werden immer angegriffen;)

Das Passwort hat mindestens 12 Zeichen, besteht aus Zahlen, Großbuchstaben, Kleinbuchstaben, und wird in unregelmäßigen, aber überschaubaren Zeitabständen geändert – unbedingt! Niemals deinen Namen oder den des großen Bruders oder Freundes und selbst der Helfer in der Not bekommt einen eigenen Account, aber nicht den Adminzugang. Und wenn -nach der Hilfe-Passwort ändern.

Ich erlebe oft, dass ich von Usern im Forum den Adminzugang bekomme und nach Monaten haben die wieder eine Frage und dasselbe Passwort! – Dies liegt aber nie an der Software WordPress, sondern an unserer Software unter den Haaren … (böseichbin)

chmod Rechte

Per FTP Programm- das ist jenes Programm mit dem die Dateien auf den Webspace kopieren kann-kann man sogenannte chmod Rechte vergeben.

777 bedeutet:alle dürfen alles – da kann man auch gleich den Hackern sagen: Hey! bei mir warst Du noch nicht ….

777 vergibt man nur im Notfall!

755 …seltenst.

666 ebenso…

je weniger Rechte desto gut-ausprobieren wo man an diesen Rechten sparen kann. Verzeichnisse die mehr Rechte brauchen -wegen Bilderupload etc raus aus dem Verzeichnis wp-content.

wp-admin mit Passwortschutz umgeben

Dies bringt nur was, wenn man keine Userregistrierungen zuläßt, sonst wird es meist zu kompliziert.

Userregistrierungen sowenige wie geht

Ich finde es ja nett, wenn ich mich wo zum Kommentieren registrieren sollte. Noch netter, wenn dann ganz viel vom Adminbereich zu sehen ist, aber sicher ist es nicht.

Abwägen:Lieber mehr Spamkommentare löschen oder gehackt werden können…

Exec-PHP und ähnliche Plugins.

Es gibt Plugins, die das Ausführen von PHP oder JavaScripts direkt im *Beitrag schreiben /Seite schreiben * Textfeld erlauben. Diese kann man meist so einstellen, dass dies nur der Adminaccount darf. Und dies ist auch gut so.

Unfiltered HTML

Nutzt man das Role Manager Plugin kann man auch das Recht vergeben *unfiltered HTML* zu verwenden. Mit diesem Recht sehr sparsam umgehen.

Kommentierenden sowenig wie möglich html erlauben. Auf gar keinen Fall Code so locker erlauben.

Böse Bots aussperren

Bot-trap.de ==>Hier wird Dir geholfen!

WP Pluginlisten

Voller stolz zeigt so mancher gerne her, welche Plugins im Blog aktiv sind. Dies bietet Angriffsflächen.

WP Plugins runterladen

Entweder von der Autoren Seite des Plugins oder von wordpress.org. Niemals vom Freund des Freundes, dessen Freundin wo einen Link dazu fand!

leere index.php

Egal welchen Ordner Du noch auf Deinem Webspace hast. Laß den nicht offen daliegen. Gib einfach eine leere index.php da hinein. Dann sieht man nur eine weiße Seite.

andere Tipps

  • Schütze Deine wp-config

    Wer seinen Blog im Unterverzeichnis X hat, über die weitergeleitete Subdomain beim Freehoster Y aufruft, dann noch eine anere Domain weiterletienmag-sollte dies aber nur tun, wenn er in all den Weiterleitungen noch den Durchblick hat. Sonst ist WordPress sicher – so sicher, dass es auch der Chefadmin nicht mehr findet :zwinker:
  • Alles verstecken
    habe ich nicht getestet

Weitersagen und Ergänzungen erbeten


Ebenfalls informativ und lesenswert

6 Kommentare zu “Hacker gehen um:Sicherheitstipps für WordPress User

  1. topfmodel

    Also von 777 oder 757 rate ich ab! Ich empfehle bei HOT Projecten die gut ranken, also sehr im Feuer stehen, eine superuser Umgebung. Also suPHP.
    http://www.suphp.org/Home.html
    Damit fahre ich jetzt schon seit fast 5 Jahren von Joomla, Typo und natürlich WP sehr gut.

  2. Pingback: seo-know-how

  3. Pingback: Sicherheit von Wordpress erhöhen » Gif-Bilder.de - Blog

  4. Pingback: als Spamer geflaggt wegen …

  5. webdesigner

    1. du hast echt eine informative und interessante seite
    2. hätte ich die seite schon vor meinem hacker-angriff finden sollen, dann wäre mir einiges erspart geblieben…. weil… wurde gehackt…und das obwohl echt viel beachtet worden ist, nur eine sache nicht… das mein telefonanbieter n benutzer in der datenbank gelassen hat mit nem low-password… naja nu is es behoben und der server in den usa der mit den daten down bekommen wurde hat sich sicher auch gefreut 😉 ich wünsche weiter frohes schaffen mach weiter so!!!