11 einfache Tipps um deine WordPress Webseite abzusichern.

Word­Press ist eines der meist genutz­ten Con­­tent-Mana­ge­­ment-Sys­­te­­me welt­weit. Wodurch es für Bots und Hacker auch immer attrak­ti­ver wird.

Ist WordPress sicher? #

In der Regel ja. Natür­lich kommt es auf vie­le ver­schie­de­ne Aspek­te an. Zum einen, wird Word­Press den regel­mä­ßig von dir gepflegt? Wer­den Plug­ins ver­wen­det und wenn ja, sind die­se noch aktu­ell? Glei­ches gilt auch für das The­me. Wur­de eine Fire­wall ein­ge­rich­tet (WAF)? Wie sieht es mit den Pass­wör­tern aus? Vie­le Fra­gen. Meis­tens sitzt das Pro­blem lei­der doch vor dem Bild­schirm. Denn dein Sys­tem ist nur so gut, wie du es auch behan­delst.

Das soll aber jetzt nicht hei­ßen, das es für Word­Press kei­ne Schwach­stel­len gibt. Wie auch dein Betriebs­sys­tem ist auch Word­Press davon betrof­fen. Durch regel­mä­ßi­ge Updates wer­den die­se aber sobald sie erkannt wur­den, geschlos­sen.

Was für Schwachstellen gibt es bei WordPress? #

Hier eine Lis­te von Sicher­heits­schwach­stel­len bei Word­Press:

• Back­doors — Hin­ter­tü­ren
• DDoS Angrif­fe — Deni­al-of-Ser­­vice
• Bru­­te-Force Atta­cken
• Cross-Site-Scrip­­ting (XSS)

Backdoors — Hintertüren

Hier­bei wer­den ver­al­te­te Plug­ins bzw. Sicher­heits­lü­cken in Plug­ins, The­me und Word­Press selbst aus­ge­nutzt, um eine Hin­ter­tür zu dei­ner Word­Press Web­sei­te zu öff­nen.

Meis­tens wer­den dadurch Datei­en ver­än­dert. Es wird ein Schad­code ein­ge­fügt der es ermög­licht, remo­te auf dei­ne Daten zuzu­grei­fen. Meis­tens die­se Ände­run­gen an dei­nen PHP-Datei­en dann wie eine zufäl­li­ge Rei­hen­fol­ge von Zei­chen aus. Das liegt dar­an, dass die PHP Funk­tio­nen zunächst mit Base64 ver­schlüs­selt wer­den. Über Eval kann der String dann ein­fach als PHP Code inter­pre­tiert wer­den.

Sieht erst­mal harm­los aus. Dahin­ter kann sich aber eini­ges ver­ber­gen, zum Bei­spiel ein Skript, das auto­ma­tisch Daten von einem ande­ren Ser­ver zu dir kopiert und aus­führt.

Back­doors las­sen sich schnell behe­ben. Zuerst soll­test du prü­fen, ob es bei dir Schwach­stel­len gibt. Falls ja, soll­test du die betrof­fe­nen Stel­len durch ein Update schlie­ßen. Über das Ändern von Datei­be­rech­ti­gun­gen und durch das Aus­schlie­ßen von PHP-Datei­en aus diver­sen Ord­nern kannst du bereits eine gro­ße Anzahl an Bedro­hun­gen bekämp­fen.

Brute-Force Attacken

So bezeich­net man auto­ma­ti­sier­te Angrif­fe, die ein­fa­che Pass­wör­ter ver­wen­den um Zugang zu dei­ner Web­sei­te zu erhal­ten. Um das zu Unter­bin­den soll­test du unbe­dingt die Anmel­de­ver­su­che für dein Sys­tem beschrän­ken. Auch Blo­ckie­rung der IP-Adres­­sen und die Ver­wen­dung siche­rer Pass­wör­ter hel­fen dabei, das Pro­blem in den Griff zu bekom­men.

Cross-Site Scripting (XSS)

Cross-Site Scrip­ting wird es genannt, sobald ein bös­ar­ti­ges Skript in eine ver­trau­ens­wür­di­ge Web­sei­te oder Anwen­dung inji­ziert wird.

Hier­bei wird der schad­haf­te Code meist über unge­si­cher­te Ein­ga­be­mög­lich­kei­ten (For­mu­la­re) in das Sys­tem ein­ge­fügt. Es han­delt sich hier­bei häu­fig um Skrip­te die im Brow­ser des Besu­chers aus­ge­führt wer­den (Java­Script).

Dabei soll ver­sucht wer­den, Daten des Besu­chers abzu­grei­fen. Dazu zäh­len zum Bei­spiel Kre­dit­kar­ten Infor­ma­tio­nen. Aber auch die Wei­ter­lei­tung auf ande­re Web­sei­ten oder das Ein­spie­len von Wer­bung (Spam) gehört dazu.

DDoS Attacken — Denial-of-Service

Bei einem DDoS Angriff wer­den Feh­ler und Bugs im Code aus­ge­nutzt, um den Ser­ver zu über­las­ten. Dabei wird das Ziel über ver­schie­de­ne Ser­ver unun­ter­bro­chen ange­spro­chen. Man spricht dabei von einem Bot-Netz. Klei­ne­re Web­sei­ten wer­den daher häu­fig infil­triert, um mit­hil­fe die­ser dann einen DDoS-Angriff auf ein grö­ße­res Ziel zu star­ten.

Deine WordPress Sicherheitsanleitung für 2021 #

Damit dei­ne Word­Press Web­sei­te nicht Ziel eines Angrif­fes wird, soll­test du die­sen Sicher­heits­tipps fol­gen.

Keine Standardnamen für Benutzer verwenden

Angrif­fe auf Word­Press wer­den in der Regel auto­ma­ti­siert durch­ge­führt. Das heißt ein Skript (Bot) ver­sucht anhand vor­ge­fer­tig­ter Metho­den Zugriff auf euer Word­Press zu erhal­ten.

Ent­wick­ler die­ser Bots wis­sen natür­lich, das admin der Stan­dard Benut­zer­na­me für Word­Press Admi­nis­tra­to­ren ist.

Also schrei­ben Sie eine Lis­te mit poten­zi­el­len Namen mit denen der Bot sich der Rei­he nach ver­sucht anzu­mel­den.

Das gilt natür­lich auch für Pass­wör­ter. Im Inter­net gibt es unzäh­li­ge Lis­ten von Pass­wort­kom­bi­na­tio­nen, die ein­fach durch­ge­spielt wer­den.

Ob du zum Bei­spiel schon­mal mit dei­ner E‑Mail oder dei­ner Tele­fon­num­mer im Netz gefun­den wur­dest kannst du auf Have I Been Pwned prü­fen.

Bots sind mitt­ler­wei­le so pro­gram­miert, dass Sie auch auf der Web­sei­te nach Namen und E‑Mail-Adres­­sen suchen die Sie dann für das Log­in tes­ten.

Lei­der bie­tet Word­Press kei­ne Mög­lich­keit an, Benut­zer­na­men nach­träg­lich zu ändern. Daher hier zwei Vari­an­ten wie du es ohne Plug­in den­noch hin­be­kommst:

1. Erstel­le einen neu­en Admin-Benut­­zer und lösche dann den alten.
2. Pas­se den Benut­zer­na­men direkt über die Daten­bank an.

Deine wp-config absichern

Die wp-config.php ist mit Abstand die wich­tigs­te Datei auf dei­nem Sys­tem. Daher soll­test du Sie beson­ders beach­ten, wenn es sich um die Sicher­heit dei­ner Word­Press Web­sei­te dreht.

In Ihr fin­den sich die Daten­bank Log­in-Daten und Sicher­heits­schlüs­sel. Die Sicher­heits­schlüs­sel sind für die Ver­schlüs­se­lung dei­ner Coo­kie-Infor­­ma­­tio­­nen zustän­dig.

Bearbeiten von Dateien deaktivieren

Word­Press ver­fügt über einen inter­nen Code-Edi­­tor. Die­ser ermög­licht es dir The­­me- und Plu­g­in-Datei­en über Word­Press zu bear­bei­ten.

Soll­te es einem Angrei­fer gelin­gen, sich bei Word­Press anzu­mel­den, kann er die­se Datei­en eben­falls bear­bei­ten. Häu­fig bekommst du dann davon erst gar nichts mit.

Um das gan­ze zu ver­hin­dern, musst du ledig­lich die fol­gen­de Zei­le in dei­ner wp-config.php ein­fü­gen:

define('DISALLOW_FILE_EDIT', true);

Das gan­ze sieht dann so aus:

Die wp-config.php verschieben

In der Regel befin­det sich die wp-config.php im Stamm­ver­zeich­nis dei­ner Web­sei­te. Du kannst Sie aber in ein belie­bi­ges ande­res Ver­zeich­nis ver­schie­ben, das nicht über WWW zugäng­lich ist.

Um dei­ne wp-config.php Datei zu ver­schie­ben, kopierst du ein­fach den kom­plet­ten Inhalt in eine ande­re Datei. Die­se spei­cherst du dann in einem Ver­zeich­nis dei­ner Wahl ab.

Anschlie­ßend schreibst du fol­gen­de Zei­le in dei­ne wp-config.php:

<?php
require_once('/pfad/zu/deiner/datei.php');

Das ver­hin­dert, dass dei­ne PHP per Zufall her­un­ter­ge­la­den wer­den kann, wenn es zu einem Hos­­ting-Feh­­ler kommt. Das kann zum Bei­spiel pas­sie­ren, wenn PHP nicht ein­ge­rich­tet wur­de oder durch einen Feh­ler nicht mehr rich­tig funk­tio­niert. Anstatt die Datei zu inter­pre­tie­ren, wird die­se dann vom Ser­ver als Down­load ange­bo­ten. Durch die­sen Feh­ler kann dann die Datei geöff­net und dei­ne Daten aus­ge­le­sen wer­den.

Sicherheitschlüssel für WordPress aktualisieren

Die Sicher­heits­schlüs­sel ver­bes­sern die Ver­schlüs­se­lung der in den Coo­kies von Benut­zern gespei­cher­ten Infor­ma­tio­nen. Sie bestehen aus einer Rei­he von Zufalls­zei­chen.

Bei der Instal­la­ti­on von Word­Press wer­den die­se auto­ma­tisch gene­riert. Es kann aber nütz­lich sein, die­se zum Bei­spiel nach einem Umzug dei­ner Web­sei­te zu erneu­ern.

Hier­für bie­tet Word­Press dir ein kos­ten­lo­ses Tool an, mit dem du die Sicher­heits­schlüs­sel gene­rie­ren kannst. Öff­ne ein­fach den Link und erset­ze damit die Sicher­heits­schlüs­sel in dei­ner wp-config.php Datei.

Dateiberechtigungen anpassen

Über die Datei­be­rech­ti­gun­gen kannst du fest­le­gen, wer auf die Datei bzw. den Ord­ner zugrei­fen kann. Datei­be­rech­ti­gun­gen las­sen sich mit einem FTP-Cli­ent wie z.B. File­Zil­la ändern.

Ver­bin­de dich mit dei­nem FTP-Cli­ent zu dei­nem Ser­ver und navi­gie­re zum Word­Press Ver­zeich­nis. Mit dem Kli­cken der rech­ten Maus­tas­te auf eine Datei/ einen Ord­ner öff­nest du das Con­text Menü.

Ganz unten in der Lis­te an Optio­nen fin­dest du dann den Ein­trag Datei­be­rech­ti­gun­gen. Kli­cke dar­auf um die Datei­at­tri­bu­te zu ändern.

Dort kannst du nun bequem die Berech­ti­gun­gen fest­le­gen. Ach­tung: Durch das Ver­än­dern der Datei­be­rech­ti­gun­gen kannst du dei­ne Web­sei­te beschä­di­gen. Du soll­test daher die Ände­run­gen nur durch­füh­ren, falls du dich damit aus­kennst.

In der Word­Press Doku­men­ta­ti­on fin­dest du die Richt­li­ni­en für die Datei­be­rech­ti­gun­gen.

Dem­entspre­chend soll­test du für die wp-config.php die Datei­be­rech­ti­gun­gen auf 440 oder 400 set­zen.

Das Ausführen von PHP für Verzeichnisse deaktivieren

Du kannst für ein­zel­ne Ver­zeich­nis­se das Aus­füh­ren von PHP Datei­en ver­hin­dern. Eines der Ver­zeich­nis­se, in denen PHP Datei­en nichts ver­lo­ren haben, ist zum Bei­spiel /wp-con­­ten­­t/u­­ploa­d­s/.

Mit­hil­fe einer .htac­cess Datei kön­nen wir das Aus­füh­ren von PHP-Datei­en deak­ti­vie­ren:

1. Erstel­le eine neue .htac­cess Datei im Ver­zeich­nis /wp-con­­ten­­t/u­­ploa­d­s/ dei­ner Word­Press Instal­la­ti­on. Hin­weis: Die .htac­cess Datei wirkt sich dann auch auf alle Unter­ord­ner in dem Ver­zeich­nis aus.
   
2. Füge dort fol­gen­den Inhalt ein

<Files *.php> 
deny from all 
</Files>

Damit hast du nun alle PHP Datei­en im Ver­zeich­nis unbrauch­bar gemacht.

Anzahl der Login-Versuche einschränken

Als Nächs­tes soll­test du unbe­dingt ein Limit für Anmel­de­ver­su­che fest­le­gen.

Angrei­fer ver­su­chen häu­fig durch die Ein­ga­be ver­schie­de­ner Benut­zer­na­men und Pass­wort­kom­bi­na­tio­nen Zugriff zum Sys­tem zu erhal­ten. Falls du hier kein Limit setzt, kön­nen Angrei­fer im Sekun­den­takt ver­su­chen dei­ne Pass­wör­ter zu erra­ten.

Hier­für kannst du ein Sicher­heits-Plu­g­in wie Sucu­ri ver­wen­den oder aber Limit Log­in Attemps Rel­oa­ded.

Du kannst direkt die Stan­dard­ein­stel­lun­gen ver­wen­den. Falls du eine sta­ti­sche IP-Adres­­se besitzt, kannst du die­se direkt hin­ter­le­gen.

Hier­mit stellst du sicher das nach 3 feh­ler­haf­ten Anmel­dun­gen von einer IP-Adres­­se, die­se für wei­te­re Log­ins für 20 Minu­ten gesperrt wird. Zusätz­lich dazu, wird die IP-Adres­­se für 24 Stun­den gesperrt, falls er inner­halb von 24 Stun­den bereits 4‑mal gesperrt wur­de.

Als Extra, kannst du dich auch per E‑Mail benach­rich­ti­gen las­sen, sobald eine Sper­rung erfolgt ist.

WordPress Datenbank-Präfix ändern

Word­Press bekommt bei der Instal­la­ti­on stan­dard­mä­ßig ein Daten­­­bank-Prä­­fix zuge­ord­net. Die­ser lau­tet, sofern man ihn nicht geän­dert hat wp_.

Die­ses Prä­fix könnt Ihr bei der Instal­la­ti­on von Word­Press anpas­sen und indi­vi­du­ell ver­ge­ben.

Am ein­fachs­ten ist es daher, den Prä­fix direkt bei der Instal­la­ti­on zu ver­än­dern. Es kann aber auch nach­träg­lich erfol­gen. Hier­für müss­ten sowohl die Daten­bank als auch die wp-config.php ange­passt wer­den.

Da das ver­än­dern das Prä­fix die Sei­te beschä­di­gen kann, soll­test du das nur durch­füh­ren, wenn du Erfah­run­gen mit Daten­ban­ken und der Pro­gram­mie­rung hast. Andern­falls soll­test du einen Fach­mann beauf­tra­gen.

Directory Indexing und Directory Browsing deaktivieren

Angrei­fer durch­su­chen in der Regel Ver­zeich­nis­se auf dei­nem Ser­ver um mög­li­che Angriffs­zie­le und Schwach­stel­len zu fin­den. Obwohl mitt­ler­wei­le vie­le Web­hosts das Direc­to­ry Index­ing und Direc­to­ry Brow­sing stan­dard­mä­ßig deak­ti­vie­ren, gibt es noch den ein oder ande­ren Exo­ten.

Tes­te ein­fach, ob bei dei­ner Word­Press Web­sei­te das Direc­to­ry Index­ing akti­viert ist, in dem du den Pfad auf­rufst: /wp-includes/

Falls du nun so eine Ansicht erhältst wie unten, soll­test du unbe­dingt wei­ter­le­sen.

Damit poten­zi­el­le Angrei­fer das nicht sehen kön­nen, öff­nest du ein­fach die .htac­cess Datei im Haupt­ver­zeich­nis von Word­Press (dort befin­dest sich z.B auch die wp-config.php Datei).

Füge fol­gen­de Zei­le ein um das Direc­to­ry Index­ing und Direc­to­ry Brow­sing zu deak­ti­vie­ren:

Options -Indexes

Tes­te nach dem Spei­chern und hoch­la­den erneut die URL. Jetzt soll­te anstatt dem Ver­zeich­nis ein 403 Feh­ler (For­bidden) ange­zeigt wer­den.

XML-RPC Schnittstelle deaktivieren

Die XML-RPC Schnitt­stel­le ist stan­dard­mä­ßig akti­viert, wird aber heut­zu­ta­ge kaum noch ver­wen­det. Mitt­ler­wei­le wur­de Sie durch die in Word­Press ein­ge­führ­te REST-API ver­drängt.

Mitt­ler­wei­le wird sie über­wie­gend ver­wen­det um Bru­te Force Angrif­fe, und DDoS-Angrif­­fe durch­zu­füh­ren.

Du soll­test daher unbe­dingt prü­fen, ob die Schnitt­stel­le bei dir noch akti­viert ist. Hier­für ver­wen­dest du am bes­ten den Word­Press XML-RPC Vali­da­ti­on Ser­vice.

Füge bei der Adres­se ein­fach den Link zu dei­ner Web­sei­te ein und ergän­ze es mit xmlrpc.php.

Falls bei dir XML-RPC aktiv ist, bekommst du fol­gen­de Nach­richt ange­zeigt:

Jetzt soll­test du aktiv wer­den. Um XML-RPC zu deak­ti­vie­ren, ste­hen dir ver­schie­de­ne Optio­nen zur Ver­fü­gung.

XML-RPC über einen Filter deaktivieren

Hier­für öff­nest du die Functions.php aus dei­nem Child-The­­me und fügst die fol­gen­de Zei­le ein:

add_filter( 'xmlrpc_enabled', '__return_false' );

XML-RPC über .htaccess deaktivieren

Öff­ne die .htac­cess Datei wel­che sich im Haupt­ver­zeich­nis von Word­Press befin­det. Dort fügst du fol­gen­de Zei­len ein:

<Files xmlrpc.php> 
Order Allow,Deny 
Deny from all 
</Files>

Dadurch wird der Zugriff auf die Datei ver­bo­ten.

Regelmäßige Backups der Webseite und Datenbank

Du soll­test dei­ne Web­sei­te und dei­ne Daten­bank regel­mä­ßig auf einem exter­nen Ser­ver sichern.

Ein Back­up auf dem eige­nen Ser­ver reicht häu­fig nicht aus. Gera­de wenn man exis­tie­ren­de Plug­ins ver­wen­det, wis­sen Bots wo Back­ups gespei­chert wer­den. Häu­fig kommt es dann vor, das die Siche­run­gen gelöscht oder eben­falls befal­len wer­den.

Ein exter­nes Back­up ist für essen­zi­el­le Berei­che daher unab­ding­bar. Hier­für kannst du zum Bei­spiel das Updraft­Plus Word­Press Back­up Plug­in ver­wen­den.

Über das Dash­board kannst du dann direkt mit Jetzt sichern dein ers­tes Back­up dei­ner Datei­en und Daten­bank star­ten.

Dar­über hin­aus kannst du auch noch wei­te­re Ein­stel­lun­gen fest­le­gen.

Neben der Häu­fig­keit der Siche­run­gen und der Auf­be­wah­rung von Back­ups kannst du auch einen Online-Spei­­cher kon­fi­gu­rie­ren, auf dem die Daten gespei­chert wer­den sol­len.

Falls du also nicht immer wie­der manu­ell Siche­run­gen her­un­ter­la­den möch­test, soll­test du einen Online­spei­cher kon­fi­gu­rie­ren.

Ger­ne kannst du auch direkt über uns einen War­tungs­ver­trag für dei­ne Word­Press Web­sei­te abschlie­ßen. Neben Back­ups und War­tung über­neh­men wir auch die Aktua­li­sie­rung dei­ner Web­sei­te und sor­gen für Sicher­heit.

Debug-Modus deaktivieren

Der Debug-Modus soll­te nur dann akti­viert wer­den, wenn es ein Pro­blem mit dei­ner Web­sei­te gibt. Sobald er akti­viert wird, wer­den zusätz­li­che Infor­ma­tio­nen für Ent­wick­ler aus­ge­ge­ben. Dar­un­ter kön­nen sich auch sen­si­ble Daten befin­den. Die­se kön­nen dann wie­der von poten­zi­el­len Angrei­fern abge­grif­fen wer­den, um Sicher­heits­lü­cken zu fin­den.

Um den Debug Mods zu deak­ti­vie­ren, musst du die fol­gen­de Code­zei­le in dei­ner wp-config.php Datei abän­dern:

define('WP_DEBUG', false);

Was der Debug-Modus ist und wie du ihn ver­wen­dest, kannst du in unse­rem Bei­trag So akti­vierst du den Debug Modus in Word­Press nach­le­sen.

Regelmäßiges aktualisieren von WordPress, Themes und Plugins

Eine wei­te­re Mög­lich­keit um dei­ne Word­­Press-Sicher­heit zu ver­bes­sern, ist es, Plug­ins, The­mes und Word­Press selbst, regel­mä­ßig zu aktua­li­sie­ren.

Bei der Aktua­li­sie­rung wer­den auch häu­fig Erwei­te­run­gen für die Sicher­heit und Feh­ler­be­he­bun­gen ein­ge­fügt.

Lei­der muss ich immer wie­der sehen, dass vie­le Kun­den mit ver­al­te­ten Word­Press Ver­sio­nen zu uns kom­men. Meist mit ein­fa­chen Begrün­dun­gen wie “dann läuft die Sei­te nicht mehr” oder “unse­re Ände­run­gen in Word­Press sind dann weg”.

Dabei soll­ten Ände­run­gen nie­mals an Word­Press, Plug­ins oder The­mes durch­ge­führt wer­den. Hier­für sind Hooks und Child-The­­mes gedacht.

Dar­über hin­aus ent­hal­ten Word­Press Updates meist unver­zicht­ba­re Sicher­heits­patches.

Hin­weis: Vor einem Update soll­test du immer ein Back­up dei­ner Web­sei­te und dei­ner Daten­bank erstel­len.

Wie man WordPress aktualisiert

Sobald ein Update für Word­Press zur Ver­fü­gung steht, wirst du über das Dash­board infor­miert.

Alter­na­tiv kannst du Word­Press auch manu­ell her­un­ter­la­den und mit SFTP auf dei­nen Ser­ver laden. Wich­tig: Das Über­schrei­ben von Datei­en oder Ord­ner, wenn man es nicht rich­tig macht, kann dei­ne Web­sei­te beschä­di­gen.

Wie man WordPress-Plugins aktualisiert

Word­­Press-Plu­g­ins las­sen sich eben­falls ein­fach aktua­li­sie­ren. Kli­cke auf das Update-Icon auf dem Dash­board und wäh­le anschlie­ßend die Plug­ins aus, die du aktua­li­sie­ren möch­test. Bestä­ti­ge den Pro­zess mit einem Klick auf die Schalt­flä­che Plug­ins aktua­li­sie­ren.

Falls du Pre­mi­um Plug­ins über einen Dritt-Anbie­­ter bezo­gen hast, kann es sein, dass sich die­ses nicht über Word­Press aktua­li­sie­ren lässt. Du soll­test die Plug­ins daher immer manu­ell auf ein Update prü­fen.

Hier­zu kannst du die Datei­en in der Regel manu­ell vom Her­stel­ler her­un­ter­la­den und manu­ell mit SFTP auf dei­nen Ser­ver hoch­la­den. Die Datei­en für die Plug­ins befin­den sich in /wp-con­­ten­­t/­­plu­g­ins.

Um die Sicher­heit für dei­ne Word­Press Web­sei­te zu erhö­hen, soll­test du bei der Aus­wahl von Plug­ins immer prü­fen, wann die­se zuletzt aktua­li­siert wur­den. Plug­ins die nicht regel­mä­ßig oder bereits län­ge­re Zeit nicht mehr aktua­li­siert wur­den, soll­test du mei­den.

Sicherheit durch Obskurität (Security through obscurity)

Auch bekannt als Sicher­heit durch Unklar­heit. Man ver­sucht durch das Geheim­hal­ten von Infor­ma­tio­nen die Sicher­heit zu erhö­hen. Ob der Ein­satz sinn­voll ist oder nicht, ist umstrit­ten. Nichts­des­to­trotz kann man das Prin­zip auch bei Word­Press anwen­den.

Verbergen der WordPress Version

Je weni­ger die Per­son über dein Sys­tem weiß, umso bes­ser. Daher soll­test du die Word­Press Ver­si­on, die du ver­wen­dest, aus­blen­den.

Das lässt sich ganz ohne Plug­in bewerk­stel­li­gen. Füge hier­zu ein­fach in die functions.php Datei dei­nes Child-The­­mes (wp-content/themes/child-theme/functions.php) fol­gen­des ein:

function removeWordPressVersion() { 
   return ''; 
} 
add_filter('the_generator', 'removeWordPressVersion');

Das war es auch schon. Nun dürf­te die Word­Press Ver­si­on nicht mehr ange­zeigt wer­den.

WordPress Login-URL ändern

Eine wei­te­re Mög­lich­keit, das Prin­zip der Unklar­heit in Word­Press ein­zu­bin­den, ist das ver­schlei­ern der Log­in URL.

Alle Bots, Hacker und poten­zi­el­len Angrei­fer ken­nen den Pfad zur Log­in-Datei von Word­Press. Mit­tels Bru­­te-Force Atta­cken ver­su­chen Sie dann sich anzu­mel­den. Natür­lich ist das Ver­än­dern der URL kei­ne Lösung, son­dern ein klei­ner Trick. Sobald die Angrei­fer wis­sen, das dei­ne Log­in-URL geän­dert wur­de, wer­den Sie das anpas­sen.

Um den Pfad zu dei­ner Log­in-Sei­­te zu ändern kannst du auf das Plug­in WPS Hide Log­in zurück­grei­fen.

Fazit #

Wie du siehst, lässt sich Word­Press bereits mit klei­nem Auf­wand opti­mie­ren, um die Sicher­heit zu erhö­hen. Durch das Wäh­len alter­na­ti­ver Benut­zer­na­men, siche­rer Pass­wör­ter und dem Durch­füh­ren regel­mä­ßi­ger Updates kannst du dafür sor­gen das dei­ne Web­sei­te im Betrieb bleibt.

Haben wir etwas ver­ges­sen oder hast du den ulti­ma­ti­ven Tipp wie du dei­ne Word­Press Web­sei­te absi­cherst? Dann lass es uns ger­ne in den Kom­men­ta­ren wis­sen.