WordPress vor Hackern schützen Teil 1

Es kann jedem passieren und wenn es passiert kann es mehr als mühsam werden. Wenn WordPress gehackt wird sind unter Umständen alle Daten verloren und man ist nicht mehr Herr seiner eigenen Seite. Damit dies erst gar nicht passiert gibt es einige Möglichkeiten sich zu schützen.

WordPress immer aktuell halten

Natürlich ist WordPress dann am sichersten wenn die aktuelle Version benutzt wird. Hier gibt es 3 Punkte zu beachten:

  • WordPress Core (Grundinstallation)
  • Themes
  • Plugins

Es gibt viele Möglichkeiten WordPress zu aktualisieren. Am einfachsten funktioniert es über das Dashboard und über den Reiter Plugins.

Back Up

Sollte die WordPress Installation jemals das Ziel eines Hacker Angriffs geworden sein so ist es wichtig nach der mehr oder weniger erfolgreichen Abwehr die alte Installation wieder herstellen zu können. Es gibt die Möglichkeit das Back Up klassisch über den FTP Server zu machen und dort alle Dateien zu sichern und zusätzlich natürlich auch über phpMyAdmin die Datenbank zu sichern oder man benutzt eines der vielen Back Up Plugins.

Meine persönliche Empfehlung ist Updraft Plus. Dieses Plugin verfügt über eine Vielzahl an Funktion. Es ist Möglich automatisierte Back Ups zu erstellen, man kann sich entscheiden ob nur die Dateien oder auch die Datenbank mitgesichert werden soll und auch wohin das Back Up gespielt werden soll. Updraft Plus bietet mehrer Cloud Dienste wie zum Beispiel Dropbox, als Speicherplatz an.

WordPress Version ausblenden

Je mehr ein Angreifer über das Ziel weiß, desto einfach hat er es. In der header.php von WordPress wird dieVersionsnummer ausgeliefert. Wenn man auf der Startseite mit der rechten Maustaste auf “Seitenquelltext anzeigen” geht findet man folgende Zeile:

<meta name=”generator” content=”WordPress 4.1.1″ />

Hieraus kann ein Angreifer die Versionsnummer ablesen und darauf hin, dann ganz gezielt nach einem Exploit für diese Versionsnummer suchen. Daher macht es Sinn diese Zeile zu verstecken. Dies ist allerdings nicht wie anzunehmen in der header.php möglich da dort mittels “wp_head(); ” die Versionsnummer automatisch vom WordPress Core generiert wird. Um die Versionsnummer zu verstecken muss man in die functions.php gehen und folgenden code eintragen:

————————————————————————————–

function wp_remove_version() {

return  ‘ ‘ ;

}

add_filter (‘the_generator’, ’wp_remove_version’) ;

—————————————————————————————

 Tabellenpräfix ändern

Je mehr man die Standardeinstellungen von WordPress verändert desto schwieriger macht man es Angreifern, dies gilt auch für die Tabellennamen. Es macht daher Sinn den Tabellenpräfix welcher in der Regel bei WordPress “wp_” ist, zu ändern. Am schnellsten funktioniert das über phpMyAdmin.

Man benötigt natürlich die Zugangsdaten, welche aber vom Provider zur Verfügung gestellt werden müssen. Kleiner Tipp, wer sich über das Kontrollpanel seines Providers in phpMyAdmin einloggt muss in der Regel die Benutzerdaten nicht wissen.

 

Einfach ein Häkchen bei “Alle Auswählen” setzen und im Dropdown Menü “Tabellenpräfix ersetzen” auswählen und danach ändern. Das Ganze muss natürlich auch dem guten alten WordPress mitgeteilt werden. Dazu muss die config.php aufgerufen werden, entweder direkt unter WordPress oder per ftp und einem Texteditor. Dort muss der Tabellen Präfix geändert werden. Dieser kann beliebig gewählt werden muss jedoch mit dem zuvor geänderten übereinstimmen.

 

Im letzten Schritt müssen noch 2 SQL Befehle abgesetzt werden um in der Tabelle “Options” und “Usermeta” den alten Präfix mit dem Neuen zu ersetzen.

 

Im Screenshot sind die zwei SQL Befehle ersichtlich womit das alte Präfix “wp_” mit dem neuen Präfix “tpr_” ersetzt wird. Sinn der Sache ist es, dass Anfreifer es Besipielsweise mit einer SQL Injection weit aus schwieriger haben wenn das Tabellen Präfix nicht bekannt ist.

Im zweiten Teil werde ich erklären wie man einen Sicherheitsschlüssel in die config.php einbaut, die Dateibearbeitung im Dashboard ausschaltet und eine SSL Verschlüsselung für den Admin Bereich Festlegt.

Sollte Ihr Fragen habt könnt ihr gerne ein Kommentar dalassen.

Schreibe einen Kommentar