Beim 30. WP Meetup Stuttgart erklärte uns Dennis Hipp, wie wir unsere WordPress-Installationen schützen können. Denn knapp 27 % aller Websites werden mit WordPress betrieben und sind daher für Hacker ein attraktives Angriffsziel. Doch nicht nur große Blogs oder Unternehmen-Websites sind betroffen, jeder Blog gerät früher oder später ins Visier von automatisierten Angriffen.
Wie versprochen haben wir für euch nochmals die wichtigsten Punkte zusammengefasst:
1. Hosting
▸ auf aktuelle PHP- und MySQL-Versionen achten
▸ SSL-Verschlüsselung
▸ regelmäßige Backups durch Hoster
2. WordPress-Installation
▸ pro Installation eine eigene Datenbank
▸ individuelle Datenbank-Zugangsdaten verwenden
▸ Datenbank-Präfix wp_ ändern ist nicht nötig
▸ Installation mit SSL-Verschlüsselung (Pflicht für WP Adminbereich!)
▸ kein admin oder leicht zu erratende Namen als Benutzer
3. Updates
▸ automatische Updates für WordPress-Core aktivieren; hierzu folgenden Code in der wp-config.php hinzufügen: define( 'WP_AUTO_UPDATE_CORE', minor );
▸ mindestens 1 mal pro Woche die Aktualisierungen im Dashboard prüfen und Updates zwingend ausführen
▸ ungenutzte Plugins und Themes deinstallieren/löschen
4. Dateieditor
▸ Admin-User können standardmäßig PHP-Dateien im Adminbereich bearbeiten (Sicherheitslücke!); besser: Dateien per SFTP-Zugriff ändern
▸ Ausschalten des Dateieditors mit folgendem Code in der wp-config.php:define( 'DISALLOW_FILE_EDIT', true );
5. Passwörter
▸ zwingend sichere Passwörter wählen (mind. 20 Zeichen mit Groß- und Kleinbuchstaben, Sonderzeichen und Ziffern)
▸ Passwort-Manager helfen beim Merken ;-)
6. Zwei-Faktor-Authentifizierung
▸ zusätzliche Sicherheit beim Login bietet die 2-Faktor-Authentifizierung, also die Kombination zweier unterschiedlicher und insbesondere unabhängiger Komponenten (z. B. Passwort plus durch App generierter Code)
▸ passendes WordPress-Plugin: Two-Factor
7. Backups
▸ regelmäßig Backups ausführen und nicht nur auf den Hoster verlassen; je nach Anwendungsfall täglich, wöchentlich oder monatlich (zur Anleitung)
▸ passende WordPress-Plugins: z. B. BackWPup oder UpdraftPlus
▸ Backups immer auf Vollständigkeit kontrollieren
▸ Backups regelmäßig in lokaler Installation testen (zur Anleitung)
Vielen Dank nochmals an Dennis für den aufschlussreichen Vortrag!
3 Antworten auf „Notizen zu Sicherheit“
vilen Dank, es war eine informative Veranstaltung
> 6. Zwei-Faktor-Authentifizierung
> passendes WordPress-Plugin: Two-Factor
und was macht man bei einer Multisite-Installation?
Gab es da Vorschläge?
Es sollte WordPress-Two-Factor-Plugins geben, die Multisite-kompatibel sind. Leider habe ich davon noch keine ausprobiert.
Hier einige Plugins: https://de.wordpress.org/plugins/search/two+factor+multisite/