Piwik Teil 2Im Teil 2 der Serie WordPress absichern geht um weiterführende Informationen zum Absichern von WordPress. Ich gehe hier davon aus, dass die im Teil 1 genannten Tipps umgesetzt wurden.

Aber noch mal: Achtet darauf, das Euer Hoster die aktuelle Versionen von Webserver, PHP, MySQL mitbringt und auch laufend aktualisiert. Des Weiteren sind SFTP-Verbindungen (verschlüsselte Verbindungen) zum Webserver von Vorteil sowie die Möglichkeit der Erstellung von Backups.

Jetzt aber zu weiteren Sicherheitsmaßnahmen.

SSL-Verschlüsselung

Verschlüsselung der Verbindung ist generell (also nicht nur im Rahmen von WordPress) ein gute Möglichkeit, sicherer an seine Daten zu kommen. Mittels SSL-Verschlüsselung wird die Verbindung zwischen dem Server und eurem Client (Browser) verschlüsselt und somit das mitlesen der Verbindung erschwert.

Es gibt verschiedene Arten von SSL-Zertifikaten. Je nach Art ist auch der Preis für die Zertifikate unterschiedlich. Sofern Bedarf besteht könnt ihr mich gerne Ansprechen.

Liegt ein SSL-Zertifikat vor müsst in der Datei „wp_config.php“ folgende Einträge vornehmen:

define(‚FORCE_SSL_LOGIN‘, true);

Hiermit wird nur das Passwort verschlüsselt übertragen. Mit folgendem Eintrag wird die ganze Verbindung zum Admin-Interface verschlüsselt. Ich würde die Methode bevorzugen.

define(‚FORCE_SSL_ADMIN‘, true);

Verschieben der wp_config.php

Eine weitere Möglichkeit den potenziellen Angreifern das Leben etwas schwerer zu machen ist das verschieben der Datei „wp_config.php“. Grundsätzlich liegt die Datei im Installationspfad von WordPress, also z.B.

/Pfad/zu/Deinem/wordpress/wp_config.php

Ihr könnt nun die Datei „wp_config.php“ eine ebene höher legen:

/Pfad/zu/Deinem/wp_config.php

WordPress sucht automatisch eine Verzeichnisebene höher, falls die Datei nicht im Installationsverzeichnis gefunden wird. Es sind also keine weiteren Eingriffe Eurerseits nötig.

Auch wenn in dieser Datei jetzt nicht unbedingt die wichtigsten Informationen enthalten sind, spricht aus meiner Sicht nichts gegen das Verschieben der Datei.

Security Plugins nützlich ?

Es gibt einige Security Plugins für WordPress die ich hier nur kurz nennen möchte. Es ist keine abschließende Liste, sondern nur die mir bekannten Plugins. Falls Euch weitere Plugnis bekannt sind, könnt ihr die gerne über die Kommentarfunktion nennen.

Grundsätzlich spricht nichts gegen die Verwendung dieser Plugins. Ich verzichte hier mal auf eine Beschreibung, die gibt nun schon haufenweise.
Ich persönlich halte nicht soviel von diesen (oder auch anderen) Security-Plugins. Meiner Meinung nach sind die Grundlagen (Teil 1 dieser Serie) sowie die in diesem Teil genannten SSL-Verschlüsselung und das Verschieben der „wp-config“ schon ausreichenden Maßnahmen um eventuelle Angriffe auf den Blog anzufangen.
Die Plugins erzeugen m.E. nur einen gewissen „Overhead“ und tragen auch nicht zu Geschwindigkeitsrekorden (was die Auslieferung der Webseite betrifft) bei.

Übrigens:
In allen meinen Hosting-Paketen ist die Installation von WordPress problemlos möglich: http://www.hosting-web-design.de/domains-hosting/. Gern helfe ich auch bei der Installation und Einrichtung. Auch SSL- Zertifikate sind bei mir erhätlich.


Artikelserie WordPress absichern
WordPress absichern Teil 1 – Grundlagen
Wordpress absichern Teil 2 – Mehr Sicherheit
WordPress absichern Teil 3 – htaccess