In letzter Zeit häufen sich die Berichte darüber das verschiedene Blogs von Spammer oder Hackern heimgesucht worden sind. Hacker und Spammer haben erkannt, dass auch Blogs wertvolle Ziele seien können um an Daten von Usern zu kommen oder sie als Backlink- Schleuder zu benutzen. Dabei haben die meisten Hacker es noch nicht einmal schwer in  Blogs einzudringen, was an dem niedrigen Sicherheitsstandard liegt, den WordPress von Haus aus mitbringt. Mit den folgenden 6 Plugins erhöht ihr den Sicherheitsstandard eures Blogs ohne viel Aufwand.

Kapitel Verzeichnis:

1. Dateirechte und Passwort Sicherheit
2. Login verbessern/Brute Force Attacken vorbeugen
3. Spam Registrierungen verhindern
4. Spammer von Anfang an ausspeeren
5. Malware aufspüren
6. Grundlegende Sicherheitstipps
7. Backup der WordPress Datenbank
   

1. Dateirechte und Passwort Sicherheit

Viele Blogger machen den Fehler falsche Dateirechte zu vergeben und machen die Dateien damit leicht angreifbar. Abhilfe schafft das Tool WP Security Scan dieses scannt euren Blog durch und checkt:

• Dateirechte
• Datenbank Sicherheit
• Sicherheit des Admin Passworts

Wie man Plugins installiert entnehmt ihr hier.

Scannen

Als ich mit dem Plugin scannte, war bei mir alles im grünen Bereich. So sollte es im Idealfall aussehen.

Es kann aber auch der schlechte Fall eintreten und es sieht so aus.

Dann müsst Ihr natürlich nachbessern indem ihr die vorgeschlagenen Wert übernehmt.

Passwort prüfen

Mithilfe des Passwort Tools könnt ihr euer Passwort auf die Knack-Sicherheit prüfen. Bei mir bestand Verbesserung bedarf. Am besten ihr wählt eine Kombination aus Zahlen, Buchstaben und  Sonderzeichen.

Das Tool unterscheidet zwischen:

• weakest = sehr Schwach
• weak = schwach
• improving = mittel
• strong = gut ( Hier solltest Ihr mindestens liegen!)
• strongest = sehr gut

2. Login verbessern/Brute Force Attacken vorbeugen

Standardmäßig lässt WordPress unbegrenzte Login versuche zu, so kann sich ein Hacker lange austoben bis es geklappt hat. Protokolliert wird dieses vorgehen leider nicht. Abhilfe schafft hier Limit Login dieses Plugin blockiert Benutzer für 20 Minuten, nachdem das Passwort 4 mal falsch eingeben wurde (Diesen Werte kann verändert werden).

Benutzer hat noch 2 Versuche zum einloggen

Benutzer ist für 20 Minuten gesperrt

Einstellungsmenü

3. Spam Registrierung verhindern/blockieren

Wenn ihr einen Blog habt wo Nutzer sich frei registrieren können, kann es passieren das Ihr eine menge von falschen/Spam Registrierungen habt. Klar wer hat nun bock drauf alle diese zu löschen das kostet Zeit, tut man es nicht vermüllt der Blog. Abhilfe schafft das Plugin Saber Simple Anti Bot Registrierung Engine. Und genau so einfach wie genial ist die Funktion von Saber. Es macht es den Bots schwerer sich zu registrieren indem es Captchas und Mathe Aufgaben(wahlweise) einfügt.

Bild-Quelle: essentialblog.cn

ihr könnt Saber komplette anpassen und so die Sicherheitsstufe eures Blogs definieren.

Features sind:

• Aufnahme eines Captcha in das Anmeldeformular
• Die Auswahl der Captcha die Komplexität
• Die Auswahl der Hintergrundfarbe für das Captcha-Bild
• Aufnahme eines Mathematik-Test in das Anmeldeformular
• Auswahl der Mathematik-Test der Komplexität
• Zufalls-oder feste Wahl der Prüfung, um
• Unauffällig Tests zu ermitteln, ob Anmeldung erfolgt durch den Menschen oder nicht
• Registrierung gesperrt, wenn Javascript ist nicht durch den Browser
• Registrierung gesperrt, wenn der Besucher die IP-Adresse findet sich auf Verbot Listen

4. Spammer von Anfang an ausspeeren

Wie der Titel schon sagt geht es darum bekannte Spammer von Anfang an vom Blog auszusperren, sodass diese auch keinen Traffic und Rechenleistung eures Servers in Beschlag nehmen.

Das Plugin Bad Behavior überprüft dazu die Datenbank des Projektes Honey Pot. Honey Pot ist eine Datenbank wo viele Spammer mit IP-Adresse gelistet sind. Wenn nun ein Spammer mit dieser besagten IP-Adresse auf euren Blog will wird er automatisch geblockt und kann somit keinen Schaden mehr anrichten.

Dadurch das diese Datenbank täglich erweitert wird, ist es ein guter und zukunftssicherer Spam Schutz.

5. Malware-Monitoring

Viren und Würmer existieren für WordPress, auch wenn es vielleicht die Entwickler-Gemeinde nicht so richtig war haben will. Mit dem Plugin von Sergej Müller könnt ihr eure aktuelles WordPress-Theme auf Code Veränderungen prüfen. Auch könnt ihr euch von wp-antivirus eine E-Mail zusenden lassen, wenn etwas gefunden wurde.

6. Grundlegende Sicherheitstipps

• Passwörter gut und sicher auswählen (Buchstaben,Zahlen Sonderzeichen)
• WordPress immer aktuelle halten
• Passwörter Regelmäßig ändern
• Plugins aktualisieren
• Nicht zu viele Plugin installieren (Regel je mehr Plugins desto größer Risiko einer Sicherheitslücke und desto langsamer der Blog)

7. Backup der WordPress Datenbank

All eure Artikel, Kommentare und Einstellungen sind in der WordPress-Datenbank gespeichert. Jeder sollte allein deswegen schon regelmäßige Backups seiner WordPress Datenbank machen. Mit dem Plugin WP-DP-Manager könnt ihr eure Datenbank nach einem Zeitplan sichern und euch sogar per Email zuschicken lassen. Außerdem optimiert WP-DP auch eure Datenbank, wenn ihr das wollt.

Weitere Links zum Thema Sicherheit:

• Maximum Security (Ein Pack mit vielen Schutz Tools) – Regierung Notwendig
• Sicherheit ohne Plugins (Nur mit Datenbank und Datei Methoden)
• http://codex.wordpress.org/Hardening_WordPress
• http://codex.wordpress.org/htaccess_for_subdirectories
• http://codex.wordpress.org/Changing_File_Permissions
• http://wordpress-buch.bueltge.de/wordpress-sicherer-machen/30/
• http://wordpress-buch.bueltge.de/wordpress-templates-sicherer-machen/31/
• http://www.linickx.com/archives/342/trouble-shooting-the-wordpress-security-white-paper#comment-9366
• Effektive Sicherheit in WordPress – wp-magazin.ch
• http://www.epiblogger.net/5-wordpress-security-essentials/
• http://www.texto.de/texto/9-quick-tipps-zur-sicherheit-oder-hilfe-mein-blog-wurde-gehackt/
• http://www.askapache.com/wordpress/htaccess-password-protect.html
• http://www.reubenyau.com/protecting-the-wordpress-wp-admin-folder/
• http://www.smallbiztrends.com/2008/02/how-to-protect-your-wordpress-site.html/
• http://www.stopbadware.org
• http://lorelle.wordpress.com/2007/09/10/protecting-your-wordpress-blog/
• http://blogsecurity.net/wordpress/blogwatch/blogwatch/
• WordPress-Administration per SSL absichern