Bei WordPress dreht sich vieles um die Sicherheit, da es in der Vergangenheit immer wieder Lücken im Programmcode gab, durch die man ungehindert in ein Blog eindringe konnte. Natürlich ist ein Programm nie perfekt, aber gerade bei WordPress kann man dank einigen Hilfsmitteln ein sehr sicheres System erhalten.
Und bekanntermassen sind Plugins der einfachste Weg, WordPress zu verändern. Einige Plugin-Autoren haben sich besonders ins Zeug gelegt, um WordPress effektiv sicherer zu machen.

Nicht zu vergessen: Wenn WordPress nicht alleine auf dem Server ist, lohnt es sich, andere Software ebenso auf Sicherheitslöcher zu überprüfen, weil dadurch WordPress auch geschädigt werden könnte.

Hilfsmittel und Plugins

BlogSecurity / WP Scanner

Ein Plugin allein kann längst nicht alles. Deshalb beginne ich hier auch mit einem aussenstehenden Sicherheits-Werkzeug. Es nennt sich WP Scanner und stammt von BlogSecurity, wo regelmässig auch Sicherheitslücken von WordPress und dessen Plugins (WP Contact Form Plugin) aufgedeckt werden. Um das eigene Blog zu scannen, muss lediglich dieser Kommentar in die header.php eingefügt werden: <!-- wpscanner -->

WP Scanner starten

Blogwatch (Sicherheitslücken in WordPress)

WP Security Scan

Dieses Plugin prüft einerseits die Passwortstärke und Dateirechte (chmod) und verschleiert andererseits die Versionsnummer im Quellcode. Aber das ist noch nicht alles, in Zukunft soll auch Cross Site Scripting verhindert werden.

Zum Download

Anonyme WordPress Plugin Updates

Dank diesem kleinen Leckerli ist es möglich, die Informationen zu verschleiern, die normalerweise beim automatischen Plugin Update an WordPress.org gesendet werden. Das betrifft die URL, die Versionsnummer und die Liste aller aktiver Plugins. Für Sicherheits-Freaks mit Abstand die beste Lösung!

Zum Download

BackUpWordPress

Bestimmt kennst du den Spruch “Backup early, Backup often“. Nun, mit genau diesem Plugin lassen sich diese Wort in die Tat umsetzen. Alleine im EasyMode lässt sich praktisch alles einrichten, was man für optimale Backups braucht. Noch besser: Nicht nur die Datenbank, sondern gleich die ganze Ordnerstruktur wird gesichert.

Zum Download

AskApache Passwortschutz

Mit diesem Plugin lassen sich alle Verzeichnisse wie wp-admin/ und wp-content/ durch .htaccess und .htpasswd Dateien schützen. Keine Angst, das Passwort muss man nur einmal eingeben, dafür ist WordPress dann auch richtig gut geschützt!

Zum Download

WP Introdusion Detection System

WP Introdusion Detection System, kurz WPIDS, schützt WordPress vor schädlichen Code Injections und ist auf dem bekannten PHPIDS aufgebaut. Jeder verdächtige Seitenaufruf wird in der Datenbank gespeichert und – falls gewünscht – per E-Mail an den Administrator gesendet. Zusätzlich können Angreifer für eine gewisse Zeit ausgesperrt werden, was bestimmt die nützlichste Funktion ist, die dieses Plugin zu bieten hat.

Zum Download

Login LockDown

Login LockDown macht nichts weiter, als IP-Adressen und Timestamp bei fehlgeschlagenen Anmeldeversuchene zu speichern. Nach einer gewissen Anzahl Fehlversuchen einer einzelnen IP wird die Login-Funktion abgeschaltet und der Angreifer hat keine Chance mehr.

Zum Download

Sicherheitsplugins im Dreierpack

Das Weblog Herself’s Webtools hat gleich drei hervorragende WordPress Plugins geschrieben:

  • Bot Block Plugin – Domains, Email- und IP-Adressen von der Registration ausschliessen.
  • WordPress Security Plugin – Eine optimale Ergänzung zum WP Security Scan. Blockiert Cross Site Scripting und bietet eine Blacklist um Useragents und IP-Adressen von verdächtigen Bots auszusperren.
  • Tripwire Plugin – Zeigt alle Dateien an, die in den vergangenen x Tagen geändert wurden, wobei man x selbst definieren kann.

Zum Download aller Plugins (einzeln)

Weiterführende Links