WordPress Sicherheit: Als Anfänger WordPress sicherer machen!

wordpress-sicherheitYep, als Anfänger WordPress sicherer machen und dadurch die WordPress Sicherheit deines Blogs deutlich erhöhen.

Bis Anfang Juni, habe ich täglich mehrere Dutzend(!!) E-Mails mit folgender Betreffzeile erhalten.

[Wordfence Alert] www.cleveronlinegeldverdienen.de/wordpress User locked out from signing in

Übersetzung: wordpress Benutzer wurde von der Anmeldung ausgesperrt.

Bekommst du auch solche Hinweise per Mail zugeschickt?

Oder vielleicht solche:

[Wordfence Alert] www.cleveronlinegeldverdienen.de/wordpress Admin Login

Übersetzung: wordpress Admin Anmeldung

Kennst du solche Hinweise?

And last but not least, ein etwas “ungefährlicherer” Hinweis:

[Clever Online Geld Verdienen] Spam-Benachrichtigung

Hast du schon einmal so einen Hinweis-Mail bekommen?

Spätestens dann, solltest du dich wirklich mit dem Thema WordPress Sicherheit bzw., wie du WordPress sicherer machen kannst, intensiver befassen!

WordPress Sicherheit: Wie kann ich WordPress sicherer machen?

10 Methoden werde ich in diesem Blogartikel vorstellen, die ich, bei meinen Recherchen im Web gefunden habe und hier auf dem Clever Online Geld Verdienen Blog (als Anfänger) umsetzen konnte.

  1. Username “admin” ändern,
  2. sichere Passwörtern wählen,
  3. Tabellen-Präfix ändern,
  4. Sicherheitsschlüssel verwenden,
  5. wp-config.php: Zugriffe verhindern,
  6. wp-login.php: mit Passwort schützen,
  7. fehlerhafte Anmeldungen limitieren,
  8. Fehlerhinweise bei Anmeldung unterdrücken,
  9. Generator-Meta-Tag entfernen,
  10. WordPress aktuell halten.

Und Sicherheit fängt bereits beim WordPress installieren an!

#1. Username “admin” ändern

Zwingend erforderlich!

Bei einer Standard WordPress Installation wurde früher der Benutzer “admin” automatisch vom System vergeben und angelegt.

Ab der WordPress Version 3.0 kannst du bereits während der WordPress Installation den Standard-Benutzernamen “admin” ändern. Und das solltest du auch tun!

Warum?

Das habe ich bereits in der Schritt-für-Schritt-Anleitung “WordPress installieren – immer noch kinderleicht! (Teil 2)” erwähnt.

Denn, wenn dein Benutzername bereits bekannt ist, müssen sich die Angreifer nur noch auf dein Passwort konzentrieren. Allein durch das Ändern des Standard-Benutzernamen “admin” erhöhst du die WordPress Sicherheit!

Der erste Schritt zu “WordPress sicherer machen” wäre erfolgreich ausgeführt.

Wie wichtig dieser Schritt ist, zeigt der nachfolgende Screenshot einer Hinweis-Mail, mit der Nachricht, dass ein Benutzer mit dem Usernamen “admin” versucht hatte, sich anzumelden.

admin-alert-by-wordfence

Kommt dir das eventuell bekannt vor?

Oder, vielleicht ist es dir genauso wie mir ergangen – vor lauter Euphorie und “lass mich auch mit”, hatte ich diesen wichtigen Schritt bzw. Empfehlung, bei der allerersten WordPress Installation einfach nicht beachtet.

Was für ein Anfängerfehler! :-)

Bei einer bestehenden WordPress Installation mit dem Benutzernamen “admin”, hast du folgende Möglichkeiten den Benutzernnamen “admin” zu ändern.

  1. Einen neuen Benutzer mit Administrator-Rechte hinzufügen und anschließend den Benutzer “admin” löschen.
  2. Benutzernamen “admin” direkt in der Datenbank mit phpMyAdmin ändern.
  3. Mit Hilfe von Plugins.

Auf gehts!

  • 1. Benutzer “admin” löschen

Über die Menüleiste auf der linken Seite deines WordPress Dashboards kannst du einen neuen Benutzer hinzufügen. Bewege deine Maus auf “Benutzer” und klicke anschließend auf “Neu hinzufügen” (siehe Screenshot Punkt 1.).

Bei Punkt 2. kannst du deinen neuen Benutzernamen und E-Mail-Adresse (beide erforderlich!) eingeben.

Tippe deinen Vornamen, Nachnamen und Webseite bei Punkt 3. ein. Diese Eingabe ist freiwillig.

Dein persönliches Passwort muss du bei Punkt 4. eingeben.

Klicke auf das Roll-/Klappmenü bei Punkt 5. und wähle die Rolle – Administrator – für deinen neuen Benutzerkonto aus.

Aktiviere deinen neuen Benutzerkonto und klicke auf den “Neuen Benutzer hinzufügen”-Button bei Punkt 6.

wordpress-neuer-benutzer-hinzufuegen

Jetzt muss du dich von deinem “admin”-Benutzerkonto abmelden und anschließend in deinem neu erstellten Benutzerkonto (hier: benutzername-neu) anmelden.

Wieder über die Menüleiste, kannst du unter “Benutzer”, alle Benutzer anzeigen lassen (siehe vorherigen Screenshot, Punkt 1).

Auf dem nachfolgenden Screenshot, kannst du die beiden Benutzerkonten “admin” und “benutzername-neu” erkennen. Auch siehst du, dass beide Administratoren-Rechte besitzen und das mit dem Benutzerkonto “admin” 26 Artikel erstellt wurden.

wordpress-benutzername-admin-loeschen

Fahre mit deiner Maus über “admin” und klicke anschließend auf “löschen”.

WordPress fragt nun, was mit den Artikeln und Links des Benutzer “admin” geschehen soll (siehe nachfolgenden Screenshot).

Wähle die untere Option aus und setzte alle Beiträge und Verknüpfungen zu deinem neuen Benutzerkonto (hier: “benutzername-neu”). Falls du mehrere Benutzer hast – wähle noch deinen neu erstellten Benutzer “benutzername-neu” aus (Punkt 7.).

Bestätige und klicke auf den “Löschen”-Button (Punkt 8).

wordpress-benutzer-loeschen

Das Benutzerkonto “admin” wurde erfolgreich gelöscht und alle Artikel dem Benutzer “benutzername-neu” übertragen.

Notiz am Rande:

Für mich, ist diese Variante zwar sehr einfach und schnell zu realisieren, aber, unter Umständen nicht wirklich effektiv genug WordPress sicherer zu machen.

Denn, die Standard-ID’s #1 und #2, die beim Erstellen des Benutzernamen “admin” und “benutzername-neu” vom System automatisch angelegt wurden, werden auch sehr häufig von Hackern verwendet. Siehe auch nachfolgenden Screenshots.

wordpress-admin-user-id

phpmyadmin-user-id-neu

Eine effektivere, jedoch etwas aufwendigere Methode, ist, Benutzernamen “admin” und die zugehörige “ID #1″, direkt in der Datenbank mit Hilfe von phpMyAdmin zu ändern.

  •  2. Benutzernamen “admin” mit phpMyAdmin ändern

phpmyadmin-loginphpMyAdmin? MySQL-Datenbank? Hemmungen? Vielleicht auch Bedenken?

Ohh nooo!

Vielleicht stehst du jetzt an dem Punkt – soll ich es wirklich wagen? Schaffe ich das?

Was ist wenn es schief läuft, wen kann ich fragen?

Ich hab mich an phpMyAdmin wirklich mit großer Vorsicht herangetastet.

Die Angst war einfach viel zu groß, dass ich es nicht gebacken kriege. Angst das hinterher nichts mehr funktioniert – auch wenn ich es zuerst Lokal ausprobieren würde.

Aber, ich hab’s geschafft! Und ich zeige dir, wie ich es erfolgreich umgesetzt habe. :-)

Logge Dich in den Administrationbereich Deiner Datenbank ein.

Ich zum Beispiel, hab mich über das Kunden Administrations System (kurz: KAS) meines Webhosters ALL-INKL.COM* zu phpMyAdmin eingeloggt.

Der nachfolgende Screenshot zeigt die Datenbank meines WordPress Tutorial und wird höchstwahrscheinlich optisch von deiner Datenbank abweichen!

In den folgenden Tabellen (Screenshot, Punkt 9.) muss du die User ID #1 deines “admin” Benutzerkonto ändern.

  • wp_users
  • wp_usermeta
  • wp_posts
  • wp_links

Mit einem Klick auf “Anzeigen” (Screenshot, Punkt 10.), kannst die jeweiligen Tabellen bearbeiten. Klicke zum Beispiel bei wp_users auf “Anzeigen” um die User ID #1 deines “admin” Benutzerkonto zu ändern.

wordpress-sicherer-machen-phpmyadmin-datenbank

Es werden jetzt alle Benutzer untereinander aufgelistet, die auf deinem Blog/Datenbank vorhanden ist.

In der zweiten und dritten Spalte von links, siehst du die ID und daneben den user_login, der bei der Anmeldung zum WordPress Backend benötigt wird.

Klicke auf den “Stift” (Screenshot, Punkt 11.) um endgültig die Werte für den Benutzer “admin” zu ändern.

admin-user-id-bearbeiten

Links oben, Spalte “Feld” siehst du in den ersten zwei Zeilen die ID und den user_login. Rechts oben werden die dazugehörigen Werte “1″ und “admin” (Screenshot, Punkt 12.) angezeigt.

Diese Standard-Werte solltest du jetzt ändern!

admin-user-werte-aendern

Als ID würde ich zum Beispiel, mindestens eine dreistellige Nummer auswählen!

Hast du deine Änderungen abgeschlossen?

Klicke danach auf den “OK”-Button und speichere deine neuen Werte.

Geschafft! :-)

  • wp_users

Du hast deine erste Tabelle erfolgreich geändert. Gratuliere! Jetzt warten nur noch drei weitere Tabellen.

  • wp_usermeta
  • wp_posts
  • wp_links

Bei wp_usermeta muss du den user_id = 1, bei wp_posts den post_author = 1 und bei wp_links den link_owner = 1 ändern.

Wiederhole einfach die folgenden Schritte wie ich sie vorher Schritt-für-Schritt und mit Hilfe von Screenshots gezeigt habe.

  1. Tabelle anzeigen (Screenshot, Punkt 10.);
  2. Auf den “Stift” klicken (Screenshot, Punkt 11.);
  3. Nun die Werte bei user_id, post_author oder den link_owner ändern;
  4. Auf den “OK”-Button klicken und Änderungen speichern.

Das war’s! :-)

  • 3. Benutzer “admin” mit Hilfe von Plugins ändern

Um ehrlich zu sein, habe ich mit dieser Methode keinerlei Erfahrung und habe auch nicht nach den entsprechenden Plugins im Internet gesucht.

Jetzt bist du an der Reihe! Bitte beantworte die folgende Frage und beeinflusse meinen eventuellen nächsten Blogartikel.

Benutzername "admin" ändern mit Plugin. Bitte Plugins vorstellen weil, ...

View Results

Loading ... Loading ...

Vielen Dank für deine ehrliche Meinung! :-)

Notiz am Rande:

Ist der Benutzername “admin” geändert, solltest du mit deiner neuen Kennung keine Blogartikel veröffentlichen. Im WordPress Backend, unter “Benutzer” >> “Dein Profil” >> “Spitzname” bzw. “Öffentlicher Name” kannst du einen Namen auswählen, der öffentlich angezeigt werden soll/darf.

#2. Sichere Passwörter wählen

WordPress bietet dir von Anfang an, also schon während der Installation, automatisch ein Tool, welches dir anzeigt, wie sicher dein gewünschtes Passwort ist.

Also, nutze sie!

Du bekommst auch den Hinweis, dass Dein Passwort mindestens 7 Zeichen lang sein soll. Und, um es noch sicherer zu machen, sollst du auch die Groß- und Kleinschreibung, Ziffern und Symbole wie ! ” ? $ % ^ & ) nutzen.

Wie gut die Chance ist, dass dein ausgewähltes Passwort einen Angriffsversuch übersteht, zeigt dir WordPress farblich an.

wordpress-sicherheit-passwort

Der Artikel “Selecting a Strong Password” beschreibt, wie du zum Beispiel starke bzw. sicherere Passwörter erstellen kannst.

Über die Menüleiste “Benutzer” >> “Dein Profil” >> “Neues Passwort” >> “Profil aktualisieren” kannst du deinen aktuellen Passwort ändern.

#3. Tabellen-Präfix ändern

Erinnerst du dich an die vorherigen Tabellen in der wir Schritt für Schritt die User ID geändert haben?

  • wp_users
  • wp_usermeta
  • wp_posts
  • wp_links

Sehr sehr viele Experten und Blogs raten, das Tabellen-Präfix – wp_ – unbedingt zu ändern! Und das habe ich – von Anfang an.

Aber, nach dem ich den vorherigen Satz fertig geschrieben habe, kam in mir die Frage, warum eigentlich?

Und auf der Suche nach Antworten, bin ich auf diesen Blogbeitrag, und später auf  diese XING-Diskussion, gestoßen.

Äußerst interessant!

Notiz am Rande:

Die Meinungen über das Ändern des Tabellen-Präfix, bezogen auf die WordPress Sicherheit bzw. WordPress sicherer machen, sind sehr unterschiedlich.

Meine ehrliche Meinung, ich werde bei meinen zukünftigen Projekten weiterhin das Tabellen-Präfix ändern. Ich finde, dass jede Abweichung von den WordPress Standard-Einstellungen die Sicherheit erhöhen kann, auch wenn es nur ein weiteres Hindernis für Hacker ist.

Wie ist deine Meinung?

Ich freue mich auf jeden Fall, auf dein großartiges Kommentar. :-)

Während einer WordPress Neu-Installation kannst du das Datenbanktabellen-Präfix ganz easy ändern. Hierzu muss du in der wp-config-Datei runter scrollen bis es heißt: “WordPress Datenbanktabellen Präfix” (siehe Screenshot).

wp-config-datei-praefix-aendern

Ändere das Standard-Datenbanktabellen-Präfix in einen beliebigen Präfix um, wie zum Beispiel: wp123deu oder wp9a8b7c usw.

Du brauchst diesen Wert auch nur einmalig zu zuweisen, du brauchst es dir also nicht zu merken!

Aber wie ist es bei einer bestehenden WordPress Installation aus?

Nun ja. Es ist ein wenig aufwendiger.

  • Schritt #1: Tabellen-Präfix in der wp-config-Datei ändern;
  • Schritt #2: Tabellen-Präfix direkt in der Datenbank ändern;

Schritt #1 kennst du bereits. Damit dein Blog auch weiterhin einwandfrei funktioniert, müssen diese auch direkt in der Datenbank (Schritt #2) geändert werden.

Hinweis: Bei dieser Schritt-für-Schritt-Anleitung verwende ich phpMyAdmin Version 4.0.4.1!

Logge Dich also wieder in deinen Administrationbereich Deiner Datenbank ein (falls du dich vorher ausgeloggt hast).

Der nächste Screenshot zeigt dir die Datenbank meines WordPress Tutorial und wird höchstwahrscheinlich von deiner Datenbank abweichen. Du kannst die 11 Standard-Tabellen erkennen.

Setze den Haken bei “Alle auswählen” (Screenshot Punkt 13.), klicke auf das Klappmenü (Screenshot Punkt 14.) und wähle “Tabellenprefix ersetzen”.

datenbanktabellen-praefix-aendern

Jetzt wirst du aufgefordert zwei Eingaben zu machen.

Einmal, das Standard-Tabellen-Präfix bei “Von” und dein neu ausgewähltes Tabellen-Präfix (hier: wp123deu) bei “Zu” einzugeben. Siehe auch Screenshot Punkt 15.

tabellenpräfix-ersetzen

Klicke auf “Abschicken” (Screenshot Punkt 16.) und der Standard-Tabellen-Präfix wird umgeschrieben.

Die 11 Standard-Tabellen haben jetzt das Präfix wp123deu.

  • aus wp_users wurde wp123deuusers;
  • aus wp_usermeta wurde wp123deuusermeta;
  • aus wp_posts wurde wp123deuposts;
  • aus wp_links wurde wp123deulinks;
  • usw.

tabellenpräfix-neu

Bei meinen Recherchen zu “WordPress Datenbank Tabellen-Präfix ändern mit phpMyAdmin” wurde als letzter Schritt noch empfohlen, in den beiden Tabellen wp123deuoptions und wp123deuusermeta das Tabellen-Präfix zu ändern.

Nach eingehender Prüfung habe ich festgestellt, dass in der Tabelle wp123deuusermeta folgende Änderungen automatisch erledigt wurden.

  • wp123deucapabilities;
  • wp123deuuser_level;
  • wp123deudashboard_quick_press_last_post_id;

In der Tabelle wp123deuoptions kann ich keine Veränderung bzw. Felder mit dem alten Tabellen-Präfix wp_ erkennen.

Mein WordPress Tutorial Blog läuft einwandfrei. Ich kann mich Abmelden und wieder Anmelden. Neue Post erstellen und veröffentlichen.

Hat das eventuell etwas mit der aktuellen Version 4.0.4.1 von phpMyAdmin zu tun?

Weißt du’s?

Schreibpause

Um ehrlich zu sein, habe ich niemals daran gedacht, dass dieser Blogartikel “WordPress Sicherheit: Als Anfänger WordPress sicherer machen!” sooo lang sein würde. Fast 1.900 Wörter habe ich bis hier geschrieben und bin gerade mal bei Methode #3. Puhhh! :-)

Ich glaube dass dies mein längster Blogartikel ist, den ich bis dato geschrieben habe. An dieser Stelle werde ich eine Schreibpause einlegen. Es ist für mich auch eine neue Erfahrung!

Wie kommt es bei meinen Lesern an?

Welches ist für dich die optimale Länge für einen Blogartikel?

View Results

Loading ... Loading ...

Vielen Dank für deine Unterstützung. Bis zum nächsten Teil von ”WordPress Sicherheit: Als Anfänger WordPress sicherer machen!”.

Gruß,
Alejandro.

Hinweis: Die Realisierung der oben genannten Methoden zu “WordPress Sicherheit und WordPress sicherer machen” basieren auf meine persönlichen Erfahrungen und individuellen Einflüssen wie zum Beispiel WordPress Version 3.5.2, phpMyAdmin Version 4.0.4.1 etc.

Für ein einwandfreies Funktionieren, Vollständigkeit der Informationen oder eventuell für verloren gegangene Daten kann keine Haftung übernommen werden. :-)

 

Über Alejandro

Aktuell interessiert er sich für die Themen: Online Geld verdienen, Bloggen, Internet Marketing, WordPress, SEO und online Business. Du findest Ihn auch bei Facebook - besuch die Fanpage und bleibe im Dialog.

Dein Kommentar inspiriert und motiviert.

Ich freue mich auf dein großartiges Kommentar!