WordPress Sicherheit – nicht nur Design zählt

Eine Standard-Installation von WordPress ist für den sicheren Praxisbetrieb ungeeignet

Das Design steht, jetzt ist die Sicherheit an der Reihe. Das hängt ganz von den eigenen Anforderungen und Ansprüchen ab. Einiges lässt sich einfach umsetzen, anderes wird schon aufwendiger. Sicherlich kann man viele Probleme mit Plugins lösen. Plugins sind allerdings oftmals selber das Problem. Daher stellen wir in dem Beitrag eine nicht abschließende Liste an Sicherheitsmaßnahmen vor, die allesamt ohne Plugins funktionieren.

Sicherheit erlangt man nicht durch die Installation unzähliger Security-Plugins, sondern durch eine saubere Konfiguration, stetige Updates und proaktive Maßnahmen zur Absicherung.

unbekannter Autor

1. xmlrpc deaktivieren

Das Deaktivieren der xmlrpc Schnittstelle haben wir bereits in dem vorherigen Beitrag behandelt.

2. Updates zeitnah einspielen (oder auf automatisch setzen)

Sicherlich eines der einfachsten und effektivsten Methoden um Angreifern das Leben schwer zu machen. Einführung war in der WordPress Version 3.7 (https://wordpress.org/support/article/configuring-automatic-background-updates/)

3. Das Ausführen von Scripten im Ordner verhindern

Hier nimmt man die .htaccess in den jeweiligen Verzeichnissen zur Hilfe:

# Disable direct access of any *.php file in current folder
<FilesMatch \.php$>
   Require all denied
</FilesMatch>

Diese Codezeilen z.B. in den Ordner ‚wp-content/upload/‚ hochladen.

4. Admin und User Logins absichern

Sichere Passwörter verwenden und die 2-Faktor Authentifizierung verwenden. Passwortmanager sind an der Stelle sehr hilfreich.

Whitelist für das Backend in der .htaccess Datei:

# Protect wp-login.php
<Files wp-login.php>
   Require host example.org
</Files>

Ein Basic Auth schaltet man mit diesem Snippet vor den Login:

## Auth protect wp-login.php
<Files wp-login.php>
       AuthName "Passwortgeschützter Bereich"
       AuthType Basic
       AuthUserFile /pathto/htpasswd/.htpasswd
       Allow from <IP-Address> # Deine IP Adresse
       Require valid-user
</Files>

Mit der Zeile „Allow from <IP-Address>“, hat man die Möglichkeit diese zusätzliche Authentifizierung für die eigene IP-Adresse auszuschalten.

5. Rest-API absichern

Die Entwickler von WordPress haben eine Seite zu dem Thema mit allen wichtigen Informationen über die API: https://developer.wordpress.org/rest-api/frequently-asked-questions/#can-i-disable-the-rest-api


Zusammenfassung

Die Vergangenheit zeigte, dass WordPress mit Sicherheitslücken zu kämpfen hat. Aus diesem Grund ist WordPress immer wieder Ziel von Angriffen. Eine Absicherung des anfälligen Webhostings ist essentiell. Sie brauchen Hilfe bei der Umsetzung und sind Kunde bei uns? Gerne können wir auch die Absicherungen für Sie vornehmen, sprechen Sie uns darauf an.

Quellen:

Das könnte dich auch interessieren …

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.