Vier wp-config.php Hacks um WordPress sicherer zu machen

Dies ist der zweite Teil unserer dreiteiligen Reihe über Hacks in der wp-config.php Datei von WordPress. Im letzten Teil haben wir drei Erweiterungen kennengelernt, die WordPress und die Arbeit damit beschleunigen. Heute erfahren wir mehr zum Thema WordPress und Sicherheit. Wer den ersten Artikel verpasst hat, kann ihn hier noch einmal nachlesen > wp-config.php Hacks um WordPress zu beschleunigen

Und wieder: Zu allererst wp-config.php sichern!

1.  Zugriff auf die wp-config.php einschränken

Dieser Tipp bezieht sich weniger auf eine direkte Änderung der wp-config.php Datei, sondern vielmehr darauf diese vor böswilligen Angriffen zu schützen. Immerhin sind in der wp-config.php alle Zugangsdaten zur Datenbank und manchmal sogar die FTP-Daten in Klarform hinterlegt; also ein lohnendes Angriffsziel für Hacker. Damit diese Zugriffe verhindert werden können, muss der folgende Code in die htaccess-Datei im Stammverzeichnis der WordPress Installation eingetragen werden:

#Schutz der wp-config.php
<files wp-config.php>
order allow, deny
deny from all
</files>

2. Erzwinge das SSL Protokoll für das Login in den Administrationsbereich

Ist SSL auf dem eigenen Server installiert kann WordPress angewiesen werden, eine gesicherte Verbindung aufzubauen um sich in das Backend der WordPress Installation einzuloggen. Dazu diese Zeile in die wp-config.php einfügen:

define( 'FORCE_SSL_LOGIN', true );

Für die schwer paranoiden Webmaster unter den Lesern (was wirklich in Ordnung ist) kann mit der nächsten Codezeile WordPress angewiesen werden, jeden Seitenaufruf im WordPress Backend mit einer verschlüsselten Verbindung anzuzeigen:

define( 'FORCE_SSL_ADMIN', true );

Mehr Informationen über das Setup von SSL in WordPress kann man im Codex unter Administration Over SSL finden.

3. Nachträgliche Änderung des Tabellen Präfix

SQL Injections“ sind eine beliebte Methode, um Webseiten zu hacken, bzw. zu zerstören oder mit Schadcode zu infizieren. Standardinstallationen von WordPress machen es den Angreifern immer dann besonders einfach, wenn während der Installation von WordPress das Standard Tabellen-Präfix „wp_“ nicht umgeändert wurde. Dadurch kann man sofort auf die Tabellennamen der WordPress Installation schließen und diese unter Umständen umschreiben oder direkt ganz löschen. Wird eine neue WordPress Installation aufgesetzt, kann das Tabellenpräfix also entweder in der Eingabemaske der Installation angegeben werden, oder mittels folgender Zeile in der wp-config.php definiert werden:

$table_prefix = 'meintolleswordpressblog_';

Aber Vorsicht! Soll eine bereits bestehende WordPress Webseite ein neues Tabellenpräfix erhalten, reicht es nicht aus nur die wp-config.php zu ändern! Das würde zu Verbindungsfehlern mit der Datenbank führen. Entweder ändert man die Tabellenbezeichnung und bestimmte Werte innerhalb dieser Tabellen zu Fuss mittels phpMyAdmin oder man nutzt ein Plugin für diesen Job. Zu empfehlen wäre DB Prefix Change.

4. Füge eigene Sicherheitsschlüssel ein

Jede WordPress Installation hat vorgegebene Sicherheitsschlüssel bereits in der wp-config.php stehen. Diese Schlüssel sind lange, kryptische Zeichenfolgen, die die Verschlüsselung von Passwörtern noch einmal mehr absichern sollen. Es empfiehlt sich solche Sicherheitsschlüssel durch eigene Schlüssel zu ersetzen. Dabei sollten in diesen Schlüssel Buchstaben, Zahlen und Zeichen vorkommen. Wer sich nicht die Arbeit machen möchte einen eigenen 64stelligen Sicherheitsschlüssel zu erstellen, kann gerne auf dieser Seite einen eigenen Schlüssel generieren lassen und per Kopieren/Einfügen in die eigene wp-config.php einfügen.

Ähnliche Artikel:

Tags: , , ,

Kommentar hinterlassen




CommentLuv badge