WordPress ist kostenlos und populär. Doch die hohe Verbreitung macht das CMS für Hacker attraktiv! In diesem Security-Tutorial erkläre ich dir, wie du WordPress bei der Installation härtest.
Inhalt
Verwende ein SSL-Zertifikat
Für WordPress und erst recht für einen Shop benötigst du immer ein SSL-Zertifikat.
- Manche Provider bieten ein kostenloses SSL-Zertifikat im Hostingpaket an
- Nutze die Gelegenheit, um dir später die den Umzug von HTTP auf HTTPS zu ersparen
- Installiere WordPress sofort auf eine HTTPS-Domain
Erzwinge HTTPS
Kontrolliere bei der Installation von WordPress, ob du im Kundencenter des Providers alles richtig eingestellt hast, insbesondere die Weiterleitung aller HTTP-Anfragen auf HTTPS. Probiere es aus! Du musst bei der Eingabe der Installations-URL sofort auf eine HTTPS-Seite umgeleitet werden, auch wenn du HTTP eingegeben hast. An diesen beiden Merkmalen erkennst du eine verschlüsselte Seite:
- Grünes Schlösschen
https://statthttp://
Funktioniert die Weiterleitung von HTTP auf HTTPS nicht, dann kontaktiere deinen Provider. Das macht vor der Installation ein bisschen Arbeit, erspart aber nachher ein ganze Menge Ärger. 😉
MySQL und PHP – neueste Versionen
Bei guten Providern kannst du für MySQL und PHP zwischen unterschiedlichen Versionen wählen. Stelle hier die aktuellen Versionen ein, also MySQL 5.6 und PHP 7. Die älteren Versionen sind nur für die Fehleranalyse gedacht!
Datenbank-Prefix ändern
Bei der Installation von WordPress musst du die Zugangsdaten zur Datenbank in die Datei config.php eintragen. Dabei hast du die Möglichkeit, das Datenbank-Prefix zu ändern. Voreingestellt ist wp_ verwende zum Beispiel wukw7_. Weil Hacker mit Standardkonfigurationen ein leichtes Spiel haben, erhöht ein individuelles Prefix die Sicherheit.
Noch ein Tipp zum sicheren Upload deiner WordPress-Dateien auf den Server des Providers: Verwende SFTP statt FTP in deinem FTP-Client. Das geht mit FileZilla und auch mit FireFTP. Nachtrag: FireFTP wird nicht mehr weiterentwickelt, sicherer ist FileZilla.
Sicheres Passwort
Bei der Passwortvergabe für WordPress verwendest du natürlich NICHT 1234 oder Admin oder deinen Shopnamen! WordPress nimmt dich hier bei der Hand und blendet die Sicherheitsstufe ein. Stark ist die richtige.
Installation aufräumen
Die Datei wp-config-sample.php hat keine Funktion, außer den Hackern zu verraten, welches CMS aufgesetzt ist.
Also weg mit der wp-config-sample.php.Aber die wp-config.php bleibt auf dem Server, denn da sind ja die Zugangsdaten für deine Datenbank gespeichert! Löschen kannst du auch die Readme-Dateien und die Lizenzinformationen. Es genügt wenn du diese Dateien lokal gespeichert hast!