55 WordPress-Tipps: So gelingt Ihr Webauftritt

Von Vladimir Simović

WordPress ist eines der meistverwendeten Content-Management-Systeme, wenn es um die Umsetzung von Blogs, Onlineshops und anderen Internetpräsenzen geht. Frei verfügbar und schnell installiert lässt es sich gut an die eigenen Bedürfnisse anpassen. Dieses Buch liefert Ihnen genau hierfür realitätsnahe und praxiserprobte Anregungen und Anleitungen. In 55 Tipps erfahren Sie, wie Sie mehr aus Ihrer WordPress-Installation herausholen. Der Autor schöpft dabei aus der Erfahrung langjähriger Arbeit an Dutzenden von WordPress-Projekten. Er verrät Ihnen unter anderem, wie Sie WordPress noch besser vor Angriffen schützen, eine Installation schneller machen oder Ihren Administrationsbereich komfortabler gestalten.

• Sprache: Deutsch
• Herausgeber: entwickler.press
• Erscheinungsdatum: 2. Sept. 2016
• ISBN: 9783868026887

Buchvorschau

Sicherheit und Antispam

Das Wichtigste zuerst. In diesem Abschnitt finden Sie Tipps, wie Sie Ihre WordPress-Installation noch sicherer machen und wie Sie Kommentarspam bekämpfen.

Sinnvolle Sicherheitsmaßnahmen

WordPress ist das beliebteste Redaktionssystem¹, mit dem mehr als ein Viertel der Websites betrieben wird. Somit hat WordPress einen Anteil von knapp 60 Prozent am Markt der Content-Management-Systeme.

Durch die hohe Verbreitung, einer hohen Anzahl an Erweiterungen² und einsatzbereiter Layouts³ ist WordPress ein lohnenswertes Ziel für potenzielle Angreifer. In der Standardinstallation und ohne Plug-ins ist WordPress eine relativ sichere Sache. Mit wenigen, einfachen Schritten, die ich im Folgenden nennen werde, können Sie Ihre eingerichtete Installation zusätzlich absichern und es einem Angreifer so noch schwerer machen, in Ihr System einzudringen.

Tipp 1: Individuelles Tabellenpräfix

Die Erhöhung der Sicherheit fängt schon während des Installationsprozesses an. Alles, was Sie von der breiten Masse abhebt, dient auch Ihrer Sicherheit, da Sie eine kleinere Angriffsfläche für automatisierte Attacken bieten.

Die Standardeinstellung für das Präfix in den Datenbanktabellen ist wp_. Daraus ergibt sich später zum Beispiel die Tabelle wp_options, in der die Optionen der Installation gespeichert werden.

Abbildung 1: Eingabe des Tabellenpräfixes während der Installation.

Ich würde Ihnen empfehlen, hier ein individuelles Präfix zu wählen, das ungefähr wie folgt aussehen könnte: projekt_name_. Es ist eine kleine Maßnahme, schnell durchgeführt, erhöht aber dennoch den Schutz gegen automatisierte Datenbankattacken⁴.

Übrigens: Wenn Sie mehrere WordPress-Installationen innerhalb einer Datenbank unterbringen wollen, dann muss jede Installation ein unterschiedliches Tabellenpräfix bekommen.

Tipp 2: Individueller Benutzername und starkes Passwort

Tipp 2 in Bezug auf die Sicherheit ist ebenfalls in wenigen Sekunden umgesetzt. Gönnen Sie sich einen individuellen Benutzernamen und ein starkes Passwort.

Abbildung 2: Auswahl des Benutzernamens und des Passworts während des Installationsvorgangs. Ein guter Passwortgenerator ist in die Installationsroutine integriert

Während des kurzen Installationsprozesses werden Sie unter anderem auch gebeten, einen Benutzernamen und ein Passwort für den ersten Nutzer bzw. den Administrator zu bestimmen.

Da Sie dieser Schritt keine extra Zeit oder Mühe kostet, entscheiden Sie sich bitte für einen individuellen Benutzernamen. Nehmen Sie bitte nicht admin, Administrator, Webmaster, Demo, Test oder Ähnliches.

Ein individueller Name muss jetzt keine exotische Buchstabenkombination sein. Ihr Vorname oder Spitzname ist schon ausreichend, um Sie von der Masse abzuheben. Ich gehe jetzt einfach davon aus, dass Sie mit Vornamen nicht Administrator oder mit Spitznamen Test heißen.

Kritiker⁵ dieser Maßnahme würden jetzt unter anderem einwenden, dass versierte Angreifer in recht kurzer Zeit Ihren Benutzernamen erraten können und dass viele Themes sowieso durch die Verlinkung des jeweiligen Autors im URL den jeweiligen Benutzernamen verraten. Diese Kritiker haben zwar in der Sache Recht, aber dennoch ist es hilfreich, einen individuellen Benutzernamen zu wählen. Aus eigener Erfahrung kann ich sagen, dass ich auf www.perun.net täglich zwischen einer Handvoll bis zu mehreren Dutzend Log-in-Versuche mit dem Benutzernamen admin registriere. Sehr häufig sind auch Log-in-Versuche mit dem Benutzernamen Administrator, Webmaster, Demo und Test zu verzeichnen.

In Abbildung 3 sehen Sie einen eher kleinen Ausschnitt, der knapp ein Zehntel der tatsächlichen Liste zeigt. Das sind alles automatisierte Versuche, in die WordPress-Installation zu gelangen. Daher lohnt es sich in der Praxis auf jeden Fall, sich einen individuelleren Benutzernamen auszusuchen.

Bezüglich des zweiten Arguments der Kritiker, also bei Themes, die durch die Autorenverlinkung den jeweiligen Benutzernamen verraten, habe ich in Tipp 4 eine Maßnahme parat, die dabei hilfreich ist und zusätzliche Sicherheitsaspekte berücksichtigt.

Abbildung 3: Benutzername „admin" im Visier

Tipp 3: Log-in-Versuche begrenzen

Eine äußerst sinnvolle und auch schnell eingerichtete Sicherheitsmaßnahme ist die Einschränkung der Log-in-Versuche für einen festgelegten Zeitraum. Damit erschwert man die automatisierten Angriffe auf die Installation (engl. Brute Force⁶), mit denen der Angreifer versucht, die richtige Kombination aus Benutzernamen und Passwort zu erraten.

Um Log-in-Versuche zu beschränken, gibt es mehrere Lösungen bzw. Plug-ins, mit denen man dies realisieren kann. Ich persönlich empfehle hierfür Login LockDown⁷, da es sich sehr einfach einrichten lässt.

Nach der Aktivierung der Erweiterung können Sie die Einstellungen anpassen (Abb. 4).

Abbildung 4: Die ersten drei Anpassungsmöglichkeiten in den Einstellungen von Login LockDown

In Abbildung 4 sehen Sie die drei ersten Punkte, die Sie für dieses Plug-in anpassen können. Der erste Wert bezieht sich auf die Anzahl der Log-in-Versuche, die notwendig ist, damit Login LockDown aufmerksam wird. Der zweite Wert bezieht sich auf den ersten Wert und betrifft die Anzahl der Minuten, in denen die Anzahl der Log-in-Versuche zu einem Verdacht führt. In Abbildung 4 führen drei Log-in-Versuche innerhalb von fünf Minuten dazu, dass das Plug-in den jeweiligen Nutzer oder besser gesagt seine IP sperrt. Wie lange die Sperrung dauert, hängt vom dritten Wert ab und dieser ist hier mit 120 Minuten angegeben.

Welchen Wert Sie hier wählen, bleibt Ihnen überlassen, aber ich würde Ihnen empfehlen, die Werte nicht zu tief und auch nicht zu hoch anzusetzen. Setzen Sie die Anzahl der missglückten Log-in-Versuche zum Beispiel auf den Wert 2 oder 1, dann ist die Wahrscheinlichkeit hoch, dass Ihre Blogautoren sich des Öfteren bei Ihnen melden, weil sie ausgesperrt wurden. Setzen Sie den Wert dagegen zu hoch an, dann schmälern Sie die Schutzwirkung des Plug-ins.

Ein Wert von 3 bis 5 für Log-in-Versuche, 4 bis 5 Minuten für den zweiten Wert und eine Sperrzeit von 90 bis 120 Minuten sind in meinen Augen eine gute Kombination