5 Schritte zum Sichern Ihres WordPress-Blogs
Durch diese Grundschritte wird die Sicherheit Ihres WordPress-Blogs deutlich erhöht.
1) Nicht das Adminkonto verwenden
Das Standard-Benutzerkonto, das bei jeder Installation von WordPress erstellt wird, ist das Adminkonto. Bedauerlicherweise ist dieser Umstand dem Rest der Welt, zu dem auch Hacker gehören, ebenso bekannt, und auf Ihre Website kann mühelos ein Wörterbuchangriff gestartet werden, um Ihr Passwort zu erraten. Wenn ein Hacker Ihren Benutzernamen kennt, ist die halbe Schlacht bereits gewonnen. Deshalb ist es höchst empfehlenswert, den Benutzernamen des Adminkontos zu löschen oder zu ändern.
Um das Adminkonto zu entfernen, gehen Sie wie folgt vor:
- Erstellen Sie ein neues WordPress-Benutzerkonto. Verwenden Sie einen ganz einmaligen Benutzernamen.
- Weisen Sie dem Konto die Administratorrolle zu.
- Melden Sie sich von WordPress ab, und melden Sie sich mit dem neu erstellten Konto wieder an.
- Löschen Sie das Adminkonto.
2) Geheimschlüssel verwenden
Ein Geheimschlüssel ist ein Hashing-Salt, das für Ihr Passwort verwendet wird und es sogar noch stärker macht. Geheimschlüssel werden in Ihrer wp-config.php-Datei bestimmt. Besuchen Sie einfach https://api.wordpress.org/secret-key/1.1 und lassen Sie sich einen Satz zufällig erstellter Geheimschlüssel erstellen. Kopieren Sie die 4 Geheimschlüssel in Ihre wp-config.php-Datei, und speichern Sie sie. Sie können diese Schlüssel jederzeit hinzufügen oder ändern. Das Einzige, was dabei geschieht, ist, dass alle derzeitigen WordPress-Cookies ungültig gemacht werden und Ihre Benutzer sich erneut anmelden müssen.
3) HTAccess-Schutz
Mit einer .htaccess-Datei können Sie Ihr wp-admin-Verzeichnis nach IP-Adressen sperren. Das bedeutet, dass nur von Ihnen angegebene IP-Adressen auf die URLs Ihres Admin-Dashboards zugreifen können. Das verhindert jeden Versuch, das Back-End Ihres WordPress anzugreifen. Erstellen Sie dazu einfach im wp-admin-Verzeichnis eine Datei namens .htaccess und fügen Sie Ihrer Datei folgenden Code hinzu, der xxx.xxx.xxx.xxx durch Ihre IP-Adresse ersetzt:
AuthUserFile /dev/null
AuthGroupFile /dev/null
AuthName "Admin"
AuthType Basic
order deny,allow
deny from all
allow from xxx.xxx.xxx.xxx
4) SSL-Anmeldung und Adminzugriff erzwingen
SSL (https) ist eine Methode zur Verschlüsselung von Daten, die von einer Website übertragen werden. Um auf einfache Weise die WordPress-Administration über SSL zu aktivieren (und zu erzwingen), müssen zwei Konstanten in der wp-config.php-Datei bestimmt werden. Bevor Sie diese Funktion verwenden, stellen Sie sicher, dass SSL auf Ihrem Server ordnungsgemäß eingerichtet ist:
define('FORCE_SSL_LOGIN', true);
define('FORCE_SSL_ADMIN', true);
5) Sicherheits-Plug-ins von WordPress installieren
Die Installation der nachfolgend empfohlenen Plug-ins dient dazu, Ihre Website vor Hackern und anderen Personen, die den Inhalt missbrauchen wollen, zu schützen:
- WP Security Scan – scannt Ihre Ordner-/Dateiberechtigungen und überprüft deren Korrektheit.
Es zeigt außerdem, basierend auf Ihrer Konfiguration, andere sicherheitsrelevante Hinweise an. - WordPress Exploit Scanner – durchsucht Ihre Quelldateien und den Inhalt von Datenbanken nach schädlichem Code.
- WordPress File Monitor – überwacht alle Quelldateien Ihrer WordPress-Installation und benachrichtigt Sie per E-Mail, wenn die Dateien geändert werden.
- Login Lockdown – sperrt alle Benutzer, die zu viele fehlgeschlagene Anmeldeversuche unternommen haben.
Ich hoffe, diese Info hilft!
SEO für WordPress ohne Plugins
WordPress jQuery Lightbox prettyPhoto ohne Plugin
WordCamp Deutschland 03.07.2010 in Berlin
Free WordPress-Theme Magazeen
Kommentare
Tom - am 31. Januar 2011 -
Ich weiß nicht ob sie immer gebraucht werden, aber ich hab 8 Schlüssel.
https://api.wordpress.org/secret-key/1.1/salt/
Aydin - am 15. April 2011 -
danke für hilfe ich habe an diese seite viel spas und viell gelert