WordPress-Sicherheit-Serie
- Teil 1 – WordPress aktualisieren
- Teil 2 – WordPress gegen Angriffe abhärten
- Teil 3 – WordPress Backups einfach anlegen
Verzeichnisse und Dateien vor Zugriff schützen mittels .htaccess
In der Regel laufen WordPress-Websites auf einem Apache-Server. Solch ein Server hat meist eine Konfigurationsdatei namens .htaccess. Über diese Datei bestimmen Sie z. B., dass eine 404-Fehlerseite angezeigt werden soll, wenn der Server eine angeforderte Webseite nicht finden kann.
Wenn Ihr Webpaket das mod_rewrite-Modul unterstützt, dann sorgt die .htaccess-Datei dafür, dass die lesbaren Links funktionieren. Sie können über die .htaccess-Datei aber auch Dateien und Verzeichnisse vor unberechtigten Zugriffen schützen. Das erlaubt nicht jeder Webhoster. Sollte die folgende Anleitung nicht funktionieren, fragen Sie bitte beim Support nach, ob die Funktionen für den Schutz von Verzeichnissen und Dateien unterstützt werden. Und so schützen Sie Dateien und Verzeichnisse:
1. Die .htaccess-Datei liegt im Hauptverzeichnis. Laden Sie die Datei herunter und benennen Sie die Datei um, damit Sie eine Sicherheitskopie haben. Dann laden Sie die Datei einfach noch einmal herunter. Wird die Datei nicht angezeigt, könnte es sein, dass Ihr FTP-Programm versteckte Dateien nicht anzeigt. FileZilla befehlen Sie über den Menüpunkt Server › Auflistung versteckter Dateien erzwingen – siehe 1,
die .htaccess-Datei anzuzeigen.
2. Öffnen Sie die heruntergeladene .htaccess-Datei in einem Texteditor wie Windows Editor, Note-pad, Textedit oder z. B. dem kostenlosen Editor Atom. Word oder andere Textverarbeitungen taugen dazu nicht.
3. Fügen Sie die folgenden Befehle 2 unterhalb der existierenden Befehle ein, um die wp-config.php- und .htacces-Datei zu schützen. Sie finden das Code-Schnipsel aber auch hier. Speichern Sie die Datei unbedingt als reine .txt-Datei ab.
4. Laden Sie Ihre bearbeitete .htacess-Datei auf den Server hoch.
5. Testen Sie, ob WordPress weiter funktioniert. Fertig!
Tritt ein Fehler auf, können Sie jederzeit auf Ihre Sicherheitskopie zurückgreifen.
Sicherheits-Plug-ins: die Qual der Wahl
Es gibt zahlreiche hochwertige Erweiterungen, die WordPress auf Sicherheitslücken durchleuchten und das System absichern. Zwei hervorragende Plug-ins sind All In One WP Security und Sucuri Security. Beide Erweiterungen sind auch für Anfänger verständlich und übersichtlich aufgebaut und helfen Ihnen schrittweise, WordPress wie einen Tresor abzusichern.
Egal, welches Sicherheits-Plug-in Sie nutzen, alle Plug-ins gibt es auch in einer Premium-Version, die noch mehr Sicherheit verspricht. Wenn Sie aber WordPress stets aktualisieren und sichere Passsätze nutzen, dann reicht die Grundvariante.
Beschränken Sie Ihre Wahl aber auf ein Sicherheits-Plug-in. Ansonsten kann es Probleme geben, wenn die Erweiterungen um die Vorherrschaft kämpfen. Für dieses Buch habe ich mich für Sucuri Security entschieden, denn es hat nur eine Funktion nicht, die noch wichtig wäre: eine Absicherung gegen Brute Force-Attacken.
- Installieren Sie Sucuri Security wie alle anderen Plug-ins auch.
- Anschließend benötigen Sie noch einen kostenlosen API Key, einen Schlüssel, damit sich das Plug-in mit den Services von Sucuri verbinden kann. Klicken Sie dazu einfach auf Generate API Key – siehe 1.
- Geben Sie Ihre Email im erscheinenden Pop-up ein und setzen die Häkchen bei DNS Lookups, Terms of Service und Privacy Policy.
- Wenn Sie jetzt auf Submit – siehe 4 – klicken, verbindet Sucuri das Plugin mit Ihrer WordPress-Installation.
WordPress abhärten mit Sucuri Security
Sicherheits-Plug-ins sind umfangreiche Erweiterungen. Das gilt auch für Sucuri Security, das Sie mit zahlreichen neuen Menüpunkten begrüßt – siehe 1. Darum kann ich in diesem Buch nicht sämtliche Funktionen ausführlich durchsprechen. Da die Sonderfunktion Firewall – siehe 2 – eine Premium-Funktion ist, überspringe ich sie. Wichtig sind die beiden Menüpunkte Scanner – siehe 3 – und Hardening – siehe 4.
Der Scanner durchleuchtet WordPress automatisch in den Standardeinstellungen einmal pro Tag. Dann sucht Sucuri nach veränderten Dateien, bösartigen Scripten, merkwürdigen Umleitungen oder SEO-Spam. Sie können den Scanner auch manuell starten, indem Sie zu untersuchende Dateien auswählen – siehe 5 – und anschließend auf Submit – siehe6 – klicken.
Im nächsten Schritt härten Sie mit Hardening – siehe 4 – WordPress ab. Die Funktion Hardening überprüft, ob wichtige Dateien gegen Einsicht geschützt sind oder ob z. B. Ob die readme.html-Datei gelöscht wurde. Diese verrät Angreifern im schlimmsten Fall, welche WordPress-Version Sie gerade nutzen.
Um WordPress weiter abzusichern, genügt in der Regel ein Klick auf die jeweilige Schaltfläche Apply Hardening – siehe 7 –, und das Plug-in stopft das Sicherheitsloch. Härten Sie jetzt Ihre WordPress-Website ab, indem Sie einen Punkt nach dem anderen abarbeiten. Wie oben bereits erwähnt, müssen Sie nur auf die Firewall-Funktion verzichten, wenn Sie nicht zusätzlich Geld ausgeben wollen.
Es kann sein, dass Sucuri Security Ihnen kontinuierlich Warn-Emails schickt, wenn Sie viel mit WordPress arbeiten. Diese Emails können nervig sein. Sie lassen sich aber unkompliziert über Alerts – siehe 8 – abstellen.
Interessant ist nur noch der Menüpunkt Post-Hack – siehe 8. Dieser hilft Ihnen, WordPress nach einer Attacke schneller zu säubern. So »resetten« Sie z. B. alle Benutzer-Log-in-Passwörter, resetten Plug-ins oder setzen die Security Keys neu.
Ansonsten empfehle ich Ihnen, die sinnvollen Voreinstellungen so zu belassen.
Datenbank und Dateien automatisch sichern
Auch ein Server kann mal Schluckauf haben, abstürzen und Daten versehentlich zerstören. Oder ein Programmierer liefert ein fehlerhaftes Plug-in aus. Egal, wann es passiert: Der Verlust von Daten ist äußerst schmerzlich. Darum sichern Sie Ihre Datenbank, hochgeladene Bilder, Plug-ins und Themes am besten kontinuierlich.
Dabei hilft Ihnen das UpdraftPlus WordPress Backup Plugin. Außerdem bietet die Erweiterung die Funktion Wiederherstellen, mit der Sie aus einer Sicherungskopie einen älteren Zustand Ihrer WordPress-Site wiederherstellen können.
Manuelle Sicherungskopien legen Sie nach der Installation mit zwei Klicks an.
- Installieren, aktivieren und rufen Sie das Plug-in über Einstellungen › UpdraftPlus Sicherungen auf.
- Klicken Sie auf Jetzt sichern – siehe 1.
- Klicken Sie jeweils auf (…) – siehe 2 – und wählen Sie die zu sichernden Elemente aus.
- Klicken Sie auf die Schaltfläche Jetzt sichern – siehe 3.
- Die Erweiterung erstellt jetzt eine Sicherungskopie und zeigt den Fortschritt in Form eines Balkens an. Fertig!
Ihre Sicherungen finden Sie immer über die Schaltfläche Backup/Restore – siehe 4. Über diesen Menüpunkt können Sie auch Sicherungen wiederherstellen.
Automatisierte Sicherungskopien erstellt UpdraftPlus über den Menüpunkt Einstellungen – siehe 5. Konfigurieren Sie den Sicherungsplan – siehe 6 –nach Belieben. Beachten Sie nur, dass die Sicherungskopien Webspace benötigen. Je mehr Sicherungskopien aufbewahrt werden, desto mehr Webspace belegt das Plug-in. Benutzen Sie z. B. Dropbox – siehe 7 – oder Google Drive, können Sie auch Sicherungskopien in der Cloud ablegen. Das funktioniert äußerst komfortabel, besonders mit Dropbox.
Schreibe einen Kommentar