This post is also available in: enEnglish

Mit Plesk WordPress sofort sicherer machen

Für unsere Hosting-Kunden tun wir einiges, um WordPress Websites sicherer zu machen:

  • Wir sperren automatisch Bots und Besucher von IP-Adressen aus, die verdächtige Aktivitäten an den Tag legen.
  • Zugriffe mit bösartigen Query Strings werden vom Server abgeblockt.#
  • Auf Wunsch ziehen wir, kostenpflichtig, eine weitere Sicherheits-Barriere zwischen Website und Internet ein, eine sogenannte Web Application Firewall.
  • In Absprache mit Ihnen übernehmen wir regelmäßig Backups und Updates.

Doch es gibt auch einige Dinge, die Sie sofort selbst erledigen können: Eingeloggt in Ihren technischen Kundenbereich (Plesk Admin) für Ihre Website/s können Sie als Kunde unseren Plesk WordPress Security Check vornehmen – der längst nicht so bekannt ist wie er das verdient hat.

Gängige Sicherheitslücken grundsätzlicher Natur, die es in vielen WordPress-Installationen gibt, können von Ihnen auf diesem Wege sofort eliminiert werden.

Im Folgenden möchten wir kurz erläutern, was der Security Check für Sie tun kann.

Sie finden den Security Check unter „WordPress“ im Hauptmenü:

Lots-of-Ways-Plesk-Kundenbereich-Wordpress

Diese Empfehlungen liefert der WordPress Security Check:

Empfehlenswerte Einstellungen Plesk WordPress Security Toolkit
WordPress Login Screen mit User Name Admin

Benutzername des Administrators

Wird WordPress installiert, gibt es einen Benutzer mit Administratorrechten und dem Anmeldenamen‘ admin‘. Eine schlechte Idee. Denn das wissen auch Hacker. Angreifer müssen lediglich das Passwort zum Nutzer „Admin“ erraten, um als Administrator auf das System zuzugreifen. Und da dieses „Raten“ nicht manuell stattfindet, sondern mit Hilfe leistungsfähiger Skripte, führt es ohne besondere Schutzmaßnahmen früher oder später zum Erfolg.

Die Sicherheitsprüfung von Plesk prüft, ob es einen Benutzer mit Administratorrechten und dem Anmeldenamen ’admin‘ gibt. Ist dies der Fall, so werden sie gewarnt und sollten das ändern.

Normalerweise gar nicht so leicht – Sie müssten in der Datenbank Änderungen vornehmen und an alles Mögliche denken. Plesk kann diese Sicherheitsoptimierung jedoch automatisch für Sie erledigen:

  • Es wird neuer Benutzer mit einem zufälligen Login-Namen und Passwort sowie dem gleichen Profil und den gleichen Eigenschaften wie der Administrator angelegt.
  • Die Beiträge und Links des Administrators werden dann dem neuen Benutzer zugewiesen.
  • Das vorherige Administratorkonto mit dem verräterischen Namen wird entfernt.

Datenbankpräfix

Wenn das Standardpräfix Ihrer WordPress-Datenbank ‚wp_‘ lautet, so entspricht das dem Standard „ab Werk“. Das ist ein Sicherheitsnachteil. Plesk prüft, ob das Präfix für Datenbanktabellennamen nicht‘ wp_‘ ist. Sollte das bei Ihnen jedoch der Fall sein, so erledigt Plesk für Sie auf Wunsch Folgendes:

  • Der Wartungsmodus wird eingeschaltet
  • Alle Plugins werden deaktiviert
  • Das Präfix in der Konfigurationsdatei wird geändert
  • Das Präfix in der Datenbank wird geändert, die Plugins werden reaktiviert
  • Die Permalink-Struktur wird aktualisiert
  • Der Wartungsmodus wieder ausgeschaltet
PHP myAdmin SQL Datenbank Interface

Sicherheit der Konfigurationsdatei

Die Datei ‚wp-config.php‘ enthält Zugangsdaten für die Datenbank etc. Wer Zugriff auf diese Datei hat kontrolliert eine WordPress Website sofort uneingeschränkt.

Nach der Installation von WordPress kann diese Datei ausgeführt werden. Muss sie auch. Doch wenn aus irgendeinem Grund die Verarbeitung von PHP-Dateien durch den Webserver deaktiviert ist, können Hacker auf den Inhalt der wp-config.php zugreifen. Dann ist Schluss mit Lustig.

Plesk prüft, ob ein unbefugter Zugriff auf die wp-config möglich ist.

Auf Wunsch werden Sicherheitsprobleme mit der ‚wp-config.php‘ sodann automatisch behoben.

Sicherheit der Konfigurationsdatei wp-config.php

Berechtigungen für die Verzeichnissuche

Wenn die Verzeichnissuche eingeschaltet ist, können Hacker Informationen über Ihre Website abrufen. Die Bad Guys blättern munter durch Ihre Verzeichnisse, schauen, welche Plugins Sie verwenden und was sonst noch so an verwertbaren Daten auf Ihrem Webserver herumliegt. Das möchten Sie nicht. Daher wird mit dieser Funktion des Security Check die Verzeichnissuche deaktiviert.

Berechtigungen für Dateien und Verzeichnisse

Nach der Installation von WordPress können Dateien und Verzeichnisse zu freizügige Berechtigungen haben. Plesk prüft für Sie, ob die Berechtigungen für die Datei‘ wp-config‘ auf 600, für andere Dateien auf 644 und für Verzeichnisse auf 755 gesetzt sind. Sollte dies nicht der Fall sein, so setzt das Sicherheits-Skript die entsprechenden Rechte automatisch.

Sicherheitsschlüssel

WordPress verwendet Sicherheitsschlüssel (AUTH_KEY, SECURE_AUTH_KEY, LOGGED_IN_KEY und NONCE_KEY), um eine bessere Verschlüsselung der in den Cookies eines Benutzers gespeicherten Informationen zu gewährleisten. Ein guter Sicherheitsschlüssel ist

  • lang (60 Zeichen oder mehr)
  • zufällig kompiliert.

Die Sicherheitsüberprüfung checkt, ob die Sicherheitsschlüssel eingerichtet sind und mindestens Buchstaben und Zahlen enthalten. Wenn die Sicherheitsüberprüfung fehlschlägt und Sie sich entscheiden, die Sicherheit der WordPress-Installation zu erhöhen, werden sichere Sicherheitsschlüssel generiert und für Ihre WordPress-Installation hinzugefügt.

WordPress Sample Salt Keys

Sicherheit des Ordners wp-content

Das Verzeichnis ‚wp-content‘ kann unsichere PHP-Dateien enthalten. Normalerweise können die PHP-Dateien in diesem Verzeichnis ausgeführt werden. Plesk verhindert auf Wunsch, dass Dateien in ‚wp-content‘ ausgeführt werden. Es wird in der Serverkonfigurations-Datei die Ausführung von PHP-Dateien im Verzeichnis ‚wp-content‘ untersagt. Beachten Sie, dass benutzerdefinierte Anweisungen in den Dateien ‚.htaccess‘ oder ‚web.config‘ dies überschreiben könnten.

Sicherheit des Ordners wp-includes

Gleiches gilt für ‚wp-includes‘. Dateien in diesem Pfad sind nach der WordPress-Installation zunächst ausführbar. Das muss aber nicht so bleiben. Plesk kann die Ausführung von PHP-Dateien im Verzeichnis ‚wp-includes‘ verbieten. Beachten Sie jedoch auch hier, dass benutzerdefinierte Anweisungen in den Dateien ‚.htaccess‘ oder ‚web.config‘ dies überschreiben könnten.

WordPress-Ordner wp-includes
WordPress-Ordner wp-content

XML-RPC-Pingbacks ausschalten

XML-RPC-Pingbacks können verwendet werden, um DDoS-Angriffe auf andere WordPress-Websites zu starten. Diese Sicherheitsmaßnahme deaktiviert XML-RPC-Pingbacks für die gesamte WordPress-Website. Sie deaktiviert auch Pingbacks für zuvor erstellte Beiträge mit aktivierten Pingbacks.

BBOT69 - Unknown xmlrpc php