WordPress ist ein sehr populäres System in der Blogosphäre. Doch mit zunehmender Verbreitung kommen auch diejenigen zum Vorschein, die diese Beliebtheit ausnutzen wollen. Damit Script-Kiddies und Kriminelle gar nicht erst zum Problem werden, gibt’s hier unseren Security Leitfaden für mehr WordPress Sicherheit.
Keine freien Themes verwenden
Verzichten Sie darauf, nach „free wordpress themes“ zu suchen und sich auf der erstbesten Website ein schönes Theme herunterzuladen. Oft genug holt man sich damit Schadcode ins Haus, den man getrost als Virus bezeichnen darf. Wem die Themes aus dem WordPress-Verzeichnis nicht ausreichen, der kauft sich ein neues Theme ein.
Was nicht da ist, kann nicht missbraucht werden
Grundsätzlich gilt: Plugins und Themes, die nicht genutzt werden, werden gelöscht. Auch deaktivierter Code ist schließlich immer noch auf dem Server verfügbar und könnte geändert werden, ohne dass Sie es mitbekommen. Bei der nächsten Aktivierung ist der Schaden dann angerichtet.
Regelmäßig aktualisieren
Was bei Windows und Linux gelernt wurde, gilt auch für WordPress: die Software braucht regelmäßige Updates. Damit Sie keines mehr verpassen, gibt es den WP Updates Notifier. Wer mehrere Blogs verwaltet, schaut sich ManageWP an.
Scanner für das Theme
Das Plugin TAC untersucht regelmäßig den Theme-Code und meldet Auffälligkeiten, z.B. unerwartete Links im Footer oder Header. Dazu ergänzt man WP AntiVirus, für die tägliche Untersuchung des Templates auf eingeschleusten Code. Und wer ganz sicher gehen will, registriert sich bei Bluemonitor.net und lässt seine Site – kostenfrei – von außen scannen.
Sicherheit auf dem Server
Mit dem Better WP Security Plugin holt man sich ein Schwergewicht an Bord. Es blockt Brute-Force-Angriffe, verändert die Standard-URLs, forciert SSL-Logins und entfernt verräterische Versionsnummern aus dem ausgelieferten HTML-Code des Blogs. Vor dem Einsatz dieses Plugins ist ein Blick in den Installations-FAQ und ein Backup der Datenbank empfehlenswert.
Inspiriert durch einen Beitrag von Bastian Grimm auf der London Affiliate Conference 2013.