WordPress So sichern Sie die Blog-Maschine ab

WordPress ist als Blog-Software sehr beliebt - schließlich fallen Installation und Bedienung auch Einsteigern leicht. Aber wer tiefer einsteigen, das System sichern und die Vorlagen verändern will, muss sich etwas mehr Mühe geben. Das Fachmagazin "c't" erklärt, wie es geht.

Von Vladimir Simovic


WordPress ist ein weit verbreitetes und komplexes Content Management System (CMS). Das macht es zum attraktiven Ziel für kriminelle Zeitgenossen. Bereits einige einfache Maßnahmen erhöhen die Sicherheit einer WP-Installation deutlich.

Das beginnt bei der Datenbank, in der WP die Seiteninhalte ablegt. Standardmäßig nutzt das System als Tabellenpräfix "wp_"; nach der Installation heißen die Tabellen etwa "wp_options" oder "wp_posts". Angreifer, die versuchen, die SQL-Datenbank zu manipulieren, wissen also, wonach sie suchen müssen. Ein selbst gewähltes Präfix wie "peters_blog_" verbessert die Sicherheit. Das Tabellenpräfix ist in der Konfigurationsdatei (wp-config.php) definiert:

$table_prefix = 'wp_';

Am besten ändern Sie es schon während der Installation, wenn Sie in der Konfigurationsdatei sowieso die Datenbanknamen eintragen müssen. Nach dem Anlegen der Datenbank wird die Änderung schwieriger; dann müssen Sie zusätzlich die bereits angelegten Tabellennamen ändern. Falls Ihr Hoster phpMyAdmin zur Datenbankverwaltung bereitstellt, ist aber auch das nicht besonders schwierig: Sie öffnen die Datenbank und klicken in der Zeile der ersten Tabelle auf das Icon für die Aktion "Struktur" und dann auf das Tab "Operationen", um im Fensterbereich "Tabellenoptionen" die Tabelle umzubenennen. Das wiederholen Sie für jede Tabelle in der Datenbank.

Auch wenn man ab Version 3.0 schon bei der Installation den Namen für das Admin-Konto ändern kann, so würde ich Ihnen dennoch empfehlen, nach der Installation ein neues anzulegen und den Standard-Admin zu löschen. Denn der hat trotz Namensänderung weiterhin die ID 1. Mit dem Erstellen eines neuen Admins generieren Sie auch eine neue ID und dieses Abweichen vom Standard trägt zur Sicherheit bei. Der Neue heißt natürlich nicht "admin" und erhält ein starkes Passwort.

Achten Sie darauf, dass der Benutzername des Admin nicht als Anzeigename im Frontend (Öffentlicher Name) fungiert - das ist leider Standardeinstellung - weil mögliche Angreifer dann den neuen Login-Namen des Administrators erkennen können. Tragen Sie im Profil des Admin-Kontos stattdessen einen Spitznamen als öffentlichen Namen ein.

Über die .htaccess-Datei im WordPress-Verzeichnis können Sie sehr einfach unerlaubte Zugriffe auf die Konfigurationsdatei "wp-config.php" blocken. Einfach folgenden Code in die .htaccess-Datei eintragen, die sich im selben Verzeichnis wie "wpconfig. php" befindet:

# Schützt wpconfig.php

Order deny,allow
deny from all

Die Anmeldung als Admin sollte über eine verschlüsselte SSL-Verbindung erfolgen. Etliche Hoster bieten ihren Shared-Webhosting-Kunden dafür kostenlos einen SSL-Proxy. Läuft WordPress beispielsweise unter der Adresse "http://meinedom.xx" und ist der SSL-Proxy des Hosters unter "https://sslproxy.xx" erreichbar, können Sie sich über "https://ssl-proxy.xx/meinedom.xx/wp-login.php" abhörsicher anmelden.

Falls Ihr Webhoster im Apache das Modul "mod_rewrite" aktiviert hat, empfiehlt es sich, eine Umleitung einzurichten, um nicht immer die lange Anmeldeadresse mit dem Proxy eingeben zu müssen. Das geht über die .htaccess-Datei im Verzeichnis, in dem "wp-login-php" liegt:

# Umleitung zum SSL-Login
RewriteEngine on
RewriteRule admin$ https://ssl-proxy.xx/meinedom.xx/wp-login.php

Dann reicht die Eingabe von "meinedom.xx/admin" für eine gesicherte Anmeldung.

Mehr zum Thema


© SPIEGEL ONLINE 2010
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung der SPIEGELnet GmbH


Die Homepage wurde aktualisiert. Jetzt aufrufen.
Hinweis nicht mehr anzeigen.