WordPress sicher installieren/ machen

Die Zeiten ändern sich.

Dieser Beitrag scheint älter als 16 Jahre zu sein – eine lange Zeit im Internet. Der Inhalt ist vielleicht veraltet.

Immer wieder bekomme ich Fragen zum Thema Sicherheit einer WordPress-Installation, vorrangig via E-Mail. Ebenso werde ich darauf hingewiesen, dass das Thema in meinem Buch „WordPress – Weblogs einrichten und administrieren“ keinen Raum fand.

Dem muss ich leider zustimmen und der Kritik nehme ich mich gerne an.
Deshalb habe ich nun den Entwurf auf dem SVN geholt und stark vereinfacht auf das zugehörige Blog gesetzt.

Da ich glaube, dass ich eine ganze Reihe von Sicherheitsaspekten dort hinterlegt habe und in kurzer Form erläutere, möchte ich den Lesern dieses privaten Blogs hier den Artikel „WordPress sicher machen“ nicht vorenthalten.

WordCamp08

In diesem Zusammenhang noch ein kleiner Hinweis in eigener Sache. Auf Einladung der Organisatoren, werde ich auf dem WordCamp08 einen kleinen Vortrag zum Thema Sicherheit halten, allerdings vorrangig im Bezug auf WordPress Plugins. Nicht viel, nichts besonderes, aber vielleicht für den einen oder anderen interessant, da ich einige Möglichkeiten zeigen möchte, wie man Plugins recht sicher gestallten kann – ohne große Aufwand. Viele Ansätze kann man dabei auf die Erstellung von Themes ebenfalls einsetzen.

Sollte der eine oder andere leider nicht auf dem WordCamp erscheinen können, ich werden die Präsentation im Anschluss sicher hier hochladen und einige Punkte dazu erläutern.

Von Frank Bültge

bueltge.de [by:ltge.de] wird von Frank Bültge geführt, administriert und gestaltet. Alle Inhalte sind persönlich von mir ausgewählt und erstellt, nach bestem Gewissen und Können, was die Möglichkeit von Fehlern nicht ausschließt.

15 Kommentare

  1. Hab es gerade überflogen…hätte ich besser nicht lesen sollen, da ich mir nun ernsthaft Gedanken über meinen Blog mache…trotzdem danke für den ausführlichen Post, werde mich die Tage mal hinsetzen und das Zeug anwenden.

  2. Ein sehr interessantes Thema, welches es verdient sicherlich bekannter gemacht zu werden. Würde einen Download sehr begrüßen, doch ist bei dem Wordcamp eigentlich eine Seite für den Download aller Sitzungen etc. angedacht, sodass es auch Leuten, die gerne kommen wollten, aber verhindert sind, die Möglichkeit haben, ebenfalls am Content teilzuhaben?

  3. Zum Thema WordPress&Sicherheit kann man wahrscheinlich ein eigenes Buch schreiben. im Agenturblog steht ebenfalls ein Artikel mit 8 guten Ratschlägen. Mir fallen auf Anhieb noch ein paar mehr ein. Oft wird z.B. die Möglichkeiten von .htaccess gerne vernachlässigt. Auch wenn es bei .htaccess vornehmlich um den Server/Webspace an sich geht, kann man damit bestimmte Bereiche von WP gesondert schützen.

  4. Hallo Ralf,
    den Zugriff per .htaccess einschränken, auch das erkläre ich im Artikel. Das Einschränken empfehle ich auch für die Bereiche wp-includes und wp-content. Allerdings bin ich kein Fan von IP-Beschränkugn auf wp-admin, da ich von vielen unterschiedlichen Standorten auf mein Backend zugreife, denn ich bin viel unterwegs und mag den Vorteil eines CMS – von überall darauf zugreifen.

  5. Passwortabfragen oder IP-Filter per .htaccess sind da ja nur rudimentäre Dinge. Ich habe mir z.B. eine .htaccess geschrieben die sicherstellt (oder sicherstellen soll), dass niemand von außen auf die Dateien zugreifen kann. Somit habe ich schon mal sehr viele potentielle Sicherheitslöcher vorab geblockt.

    Aber wie gesagt, WP und Sicherheit. Da kann man wahrscheinlich ein eigenes Buch drüber schreiben. Oder ein Blog 😉

  6. Es gibt keinen Fahrplan, aber ich hoffe am Samstag. Ich will pünktlich sein, mal sehen, was die Autobahn her gibt, da ich im optimalen Fall 4h unterwegs bin.

  7. Es ist doch immer wieder verblüffend, an was man so sicherheitstechnisch so alles denken muß! Vielen Dank für die -auch für Laien- verständlichen Anleitung!
    p.

  8. Hallo,

    was ich mir künftig direkt in den Core-Files wünschen würde, wäre eine Möglichkeit, die Ordner-Präfixe zu ändern (wp-admin, wp-includes, wp-content). Momentan sind die Pfade aller Dateien ja weitestgehend klar – zumindest für wp-includes ist das unnötig, da dieser Ordner im Frontend nicht benötigt wird. Für den Ordner wp-admin gilt das gleiche, solange keine Benutzeregistrierung möglich ist.

Kommentare sind geschlossen.