Newsticker

Alle Webspace-Tarife erhalten doppelt so viel Webspace und einen verbesserten Spam- und Virenschutz.

News

25 Jahre Erfahrung

Seit über 25 Jahren entwickeln wir für unsere Kunden besonders effiziente Lösungen. Durch Fachwissen, umfassende Projekterfahrung und exzellente Kontakte zu Herstellern, sind wir auch  für Sie der richtige Partner.
WordPress Tipps & Tricks
Freitag, den 02. Januar 2009 um 15:48 Uhr

Hier finden Sie einige Tipps und Tricks für WordPress. Achten Sie darauf, dass Sie die aktuelle Version installieren. Neben dem hohen Speicherverbrauch ist die Anfälligkeit für Angriffe von Hackern ein großes Manko, meistens aber wegen einer nicht richtig betreuten WordPress Installation. Jedes CMS ist nur so sicher, wie das schlechteste Plugin welches installiert wurde.

 

  • Installation.
    Bei der Imstallation sollten Sie nicht alle Standardwerte einfach übernehmen. Den Tabellenpräfix "WP_" sollten Sie unbedingt abändern, z.B. in "z50_" Eigentlich wird diese Möglichkeit genutzt um weitere WordPress Installationen vorzunehmen, wenn zu eine MySQL Datenbank vorhanden ist. Wenn Sie aber vom Standard abweichende Werte benutzen, machen Sie es dem Angreifer schwerer, Daten in der Datenbank zu speichern.
  • Erster Aufruf.
    • Als ersten sollten Sie einige User anlegen, die später wieder gelöscht werden. Erst dann legen Sie den eigentlich Adminzugang an, mit dem Sie arbeiten. Als Username sollten Sie nicht "admin" oder "administrator" nehmen, sondern einen unauffälligen Namen. Sie können auch alle erstellten Artikel einem anderen User zuordnen, der keine Adminrechte hat. Somit bleibt der Admin unsichtbar. Im Adminbereich sollten Sie das Anzeigen der Benutzernamen abschalten. Wenn es nicht absolut notwendig ist, sollten Sie darauf verzichten, eine Eigenregistrierung durch einen Benutzer zuzulassen.
    • Als zweites sollten Sie den "Upload" Ordner verschieben. Es bietet sich der Ordner "wp-uploads" an im root Ordner. Wenn Sie es Benutzern erlauben sollten, über einen FTP Zugang Daten hochzuladen, können sie nur diesen Ordner angeben. Beachten Sie, dass durch das Hochladen einer PHP-Datei jeder User die Möglichkeit hat, Ihre wp-config Datei auszulesen, und damit auch Zugang zum Adminbereich erhalten kann.
  • Adminereich schützen.
    • Natürlich ist der Administrationsbereich durch die Kombination aus Benutzername und Passwort geschützt. Ein sicherere Schutz ist dies aber nicht. Sicherer ist es, den Ordner "wp-admin" über unsere Weboberfläche mit einem Passwort zu schützen. Dabei wird eine .htaccess Datei angelegt, die den Ordner zusätzlich schützt. Sollten Sie eine feste IP-Adresse haben, so können sie auch diese angeben und damit auch ohne Passwort den Adminbereich schützen. Passwort und IP-Adresse können Sie natürlich auch zusammen verwenden.
  • So wenig Benutzer wie möglich.
    • Nicht mehr aktive Autoren, Gäste oder auch Testaccounts sollten gelöscht werden. Das gilt natürlich nicht nur für WordPress.
  • Plugins Verzeichnis sichern.
    Unsere Server sind so eingestellt, dass leere Ordner nicht angezeigt werden. Durch eine Änderung in der php.ini können Sie dies aber ändern, was wir nicht empfehlen. Sollten Sie aber diese Änderung vornehmen, legen Sie eine leere "index.html" Datei in den Plugin Ordner. So bleibt der Inhalt und die installierten Plugins vor den Augen nicht autorisierter Betrachter verborgen und bieten somit kein direktes Angriffsziel. Da die Ordner aber frei zugänglich sein müssen, beachten Sie bitte den nächsten Tipp.
  • So wenig Plugins wie möglich verwenden.
    Jeder kann ein Plugin für WordPress schreiben und auch veröffentlichen. Davon lebt WordPress und macht es zu einem flexiblen und universellen Tool. Da es aber keine "Kontrollstelle" für diese Plugins gibt, stehen und fällt eine WordPress Installation mit den installierten Plugins. Verwenden Sie daher so wenig Plugins wie möglich, da auch die Performance darunter leidet. Durch ein Sicherheitsleck in einem Plugin, erhält ein Angreifer die Möglichkeit Ihre WordPress Installation zu hacken.
  • WordPress regelmässig updaten.
    Mit jeder Version wird WordPress sicherer. Eine Homepage mit einer veralteten Versionsnummer zu betreiben kann schnell dazu führen, dass die Seite gehackt wird. Sobald Sicherheitslücken publiziert werden, ist mit Updates der Software zu rechnen. Diese sollten umgehend eingespielt werden. Eine Übersicht von Updates finden Sie unter:
    Newsfeed WordPress.org
  • Versionsnummer unsichtbar machen.
    Damit die Versionsnummer nicht sichtbar ist, sollte man diese Info aus dem Header der Homepage entfernen. Beachten Sie, dass dieser Schritt nach jedem Update geprüft werden muss. Lösche Sie dazu einfach in der Header.php Datei die Zeile:
    <meta name=”generator” content=”WordPress <?php bloginfo(’version’); ?>” /> <!-– leave this for stats -->
  • Backup.
    Am besten täglich oder wöchentlich, auf alle Fälle nach dem Anlegen eines weiteren Artikel sollten Sie Ihre Daten sichern. Sie können die Datenbank mit einem Cronjobs automatisch sichern oder aber über die "Export Funktion" von WordPress alle Inhalte kopieren. Der sichereste Weg ist es, beide Möglichkeiten zu verwenden. Der Vorteil liegt darin, dass durch die Export Funktion eine besondere Datei angelegt wird, die es möglich macht, alle geschriebenen Texte wieder zu importieren.


Sie sollten WordPress stets im Auge behalten und alle Auffälligkeiten einer gründlichen Prüfung unterziehen. Dazu gehört es, die eigene Seite über einen Suchdienst zu checken. Ein plötzlicher Ausschluss vom Index kann ein Hinweise dafür sein, dass WordPress bereits von Dritten geändert wurde. Es gibt auch einige Plugins, mit denen man die eigenen Seite überprüfen kann. Lesen Sie dazu WordPress als CMS nutzen.


Sollten Sie Probleme bei einen der Punkte haben ihn zu installieren/aktivieren, nehmen Sie mit uns Kontakt auf, wir nehmen dann die Einstellungen nach Absprache für Sie vor.