Notizen zu Sicherheit

Beim 30. WP Meetup Stuttgart erklärte uns Dennis Hipp, wie wir unsere WordPress-Installationen schützen können. Denn knapp 27 % aller Websites werden mit WordPress betrieben und sind daher für Hacker ein attraktives Angriffsziel. Doch nicht nur große Blogs oder Unternehmen-Websites sind betroffen, jeder Blog gerät früher oder später ins Visier von automatisierten Angriffen.

Security-Präsentation beim 30. WP Meetup Stuttgart

Wie versprochen haben wir für euch nochmals die wichtigsten Punkte zusammengefasst:

1. Hosting
▸ auf aktuelle PHP- und MySQL-Versionen achten
▸ SSL-Verschlüsselung
▸ regelmäßige Backups durch Hoster

2. WordPress-Installation
▸ pro Installation eine eigene Datenbank
▸ individuelle Datenbank-Zugangsdaten verwenden
▸ Datenbank-Präfix wp_ ändern ist nicht nötig
▸ Installation mit SSL-Verschlüsselung (Pflicht für WP Adminbereich!)
▸ kein admin oder leicht zu erratende Namen als Benutzer

3. Updates
▸ automatische Updates für WordPress-Core aktivieren; hierzu folgenden Code in der wp-config.php hinzufügen: define( 'WP_AUTO_UPDATE_CORE', minor );
▸ mindestens 1 mal pro Woche die Aktualisierungen im Dashboard prüfen und Updates zwingend ausführen
▸ ungenutzte Plugins und Themes deinstallieren/löschen

4. Dateieditor
▸ Admin-User können standardmäßig PHP-Dateien im Adminbereich bearbeiten (Sicherheitslücke!); besser: Dateien per SFTP-Zugriff ändern
▸ Ausschalten des Dateieditors mit folgendem Code in der wp-config.php:
define( 'DISALLOW_FILE_EDIT', true );

5. Passwörter
▸ zwingend sichere Passwörter wählen (mind. 20 Zeichen mit Groß- und Kleinbuchstaben, Sonderzeichen und Ziffern)
▸ Passwort-Manager helfen beim Merken 😉

6. Zwei-Faktor-Authentifizierung
▸ zusätzliche Sicherheit beim Login bietet die 2-Faktor-Authentifizierung, also die Kombination zweier unterschiedlicher und insbesondere unabhängiger Komponenten (z. B. Passwort plus durch App generierter Code)
▸ passendes WordPress-Plugin: Two-Factor

7. Backups
▸ regelmäßig Backups ausführen und nicht nur auf den Hoster verlassen; je nach Anwendungsfall täglich, wöchentlich oder monatlich (zur Anleitung)
▸ passende WordPress-Plugins: z. B. BackWPup oder UpdraftPlus
▸ Backups immer auf Vollständigkeit kontrollieren
▸ Backups regelmäßig in lokaler Installation testen (zur Anleitung)

Vielen Dank nochmals an Dennis für den aufschlussreichen Vortrag!

Veröffentlicht von

https://www.trtco.de

Jens arbeitet als Berater für Online-Marketing und digitale Strategien in einer Werbeagentur im Stuttgarter Westen. Internetprojekte setzt er dabei am liebsten mit WordPress um.

2 Kommentare Schreibe einen Kommentar

  1. > 6. Zwei-Faktor-Authentifizierung
    > passendes WordPress-Plugin: Two-Factor
    und was macht man bei einer Multisite-Installation?
    Gab es da Vorschläge?

Schreibe einen Kommentar