Thomas Maier | Magento & WordPress Develover post@webzunft.de | +49 162 9313 708

Antworten auf die Fragen – nicht nur meiner Kunden 

RSS
Home Allgemein 3 Hinweise um WordPress bei der Installation sicher zu machen

3 Hinweise um WordPress bei der Installation sicher zu machen

Ausgestellt am 2. November 2012 von in Allgemein

Das Thema Webseitensicherheit ist berechtigterweise in Aller Munde. Auch Kunden fragen regelmäßig danach. Dennoch stoße ich häufig auf Probleme bei selbst den einfachsten Möglichkeiten, WordPress ein Stück sicherer zu machen. Ich habe folgende drei Schritte gerade bei einer neuen WordPress-Installation gemacht und der Mehraufwand lag bei unter einer Minute.

1. salt – der Sicherheitsschlüssel

Bei der ansonsten sehr einfachen Installation von WordPress muss nur eine Datei bearbeitet werden, die wp-config-sample.php im Hauptverzeichnis. Wenn Sie diese in wp-config.php umbenennen und die Angaben für die Datenbank bearbeiten, dann scrollen Sie einmal nach unten. Dort befindet sich folgender Block:

define('AUTH_KEY',         'put your unique phrase here');
define('SECURE_AUTH_KEY',  'put your unique phrase here');
define('LOGGED_IN_KEY',    'put your unique phrase here');
define('NONCE_KEY',        'put your unique phrase here');
define('AUTH_SALT',        'put your unique phrase here');
define('SECURE_AUTH_SALT', 'put your unique phrase here');
define('LOGGED_IN_SALT',   'put your unique phrase here');
define('NONCE_SALT',       'put your unique phrase here');

Diese Angaben sind für die Verschlüsselung von Cookies. Unter https://api.wordpress.org/secret-key/1.1/salt/ können Sie sich einen zufällig generierten Block mit Schlüsseln erzeugen lassen. Der Link steht auch in der Datei selbst. Einfach kopieren und einfügen.

Datenbanktabellen-Präfix

Ebenfalls in der wp-config.php befindet sich die Angabe des Datenbankpräfixes. Diesen zu ändern ist nicht nur notwendig, wenn sich mehrere WordPress-Installationen eine Datenbank teilen, sondern sollte sicherheitshalber auch vorgenommen werden, um direkte Angriffe auf die Datenbank zu erschweren. Einmal geändert, muss man sich diesen Präfix auch selten merken. Außer vielleicht, es liegen wirklich sehr viele WordPress-Tabellen in nur einer Datenbank. Aber kann sollte der Präfix einfach nach etwas sinnvollem aus dem Projekt benannt sein.

Sichere Zugänge

Nachdem Sie Zugang zur Datenbank haben, fragt WordPress nach einem Nutzernamen und einem Passwort.

Bloß kein „admin“

Ich erlebe es immer wieder und nutze es bei lokalen und Testprojekten auch, aber admin ist kein sicherer Nutzername, weil er sicherlich der am häufigsten vergebene ist. Zwar muss der Angreifer erst das Passwort kennen um ernsthaften Schaden anrichten zu können, aber wenn schon beim Nutzernamen kein Problem besteht, dann ist es nur allzu einfach. Die meisten Menschen haben „normale“ Namen, also können diese auch für den Nutzernamen verwendet werden.

Die Sicherheit kann niemals höher sein als das Passwort stark ist.

Sichere Passwörter

Es ist schon zu viel über sichere Passwörter geschrieben worden, aber gerade hat mir ein Kunde sein Passwort für sämtliche sensiblen Bereiche seines Hostings gegeben. Das Passwort war nicht nur immer identisch, sondern gehörte wohl zu den ersten 1000 Vokabeln in einem jeden Deutschkurs und steht daher wohl ganz oben auf der Liste von Hack-Bots. Sicherere Passwörter lassen sich schon allein mit wildem Rumgehacke auf der Tastatur erzeugen. Anleitungen, wie man ein sicheres Passwort erzeugt, dass man sich auch merken kann, gibt es zu Hauf im Internet. Bitte seien Sie da lieber etwas vorsichtiger.

 
 Share on Facebook Share on Twitter Share on Reddit Share on LinkedIn
No Comments  comments 

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.