Einleitung

Die ein­fache Hand­habung von Word­Press macht es wohl zum beliebtesten Open-Source-CMS. Aber ger­ade diese Ein­fach­heit birgt auch ein hohes Fehler­po­ten­tial.
Einige der häufigsten Fehler sind im Folgenden sind einige davon aufgelistet.

Der Untertitel

Im Backend unter Einstellungen > Allgemein ist als Untertitel nach der Installation standardmässig Just Anoth­er Word­Press Site, oder beim deutschen Setup Eine weitere WordPress-Website eingetragen. Es gibt Templates welche diesen Untertitel anzeigen, und es gibt Welche die machen das nicht. Somit fällt das nicht gross auf und man denkt es gibt keinen Grund da was zu Ändern. Aber doch, es gibt sogar einen sehr guten Grund, und der heisst Google. Der Untertitel wird nämlich bei den meisten Suchmaschinen mit indiziert und im Suchergebnis angezeigt. Probieren Sie es aus, suchen Sie danach, sie werden erstaunt sein über die Anzahl gefundener Fehltritte.

‘Admin’ als Benutzername

Admin ist als Benutzername genau so ungeeignet wie 1234 als Passwort. Bei der Installation schlägt WordPress zwar vor den ersten Benutzer Admin zu nennen (und verleiht ihm auch gleich maximale Rechte), aber deswegen muss man das ja nicht auch so machen. Potentiellen Angreifern (und davon gibt es genug) sollten Sie es so schwer wie möglich machen und nicht den naheliegensten Benutzernamen für den Administrator wählen.

Als Administrator Beiträge verfassen

Damit ein Angreifer auch nicht so einfach den Benutzernamen des Administrators herausfinden kann, sollte er auch nirgends auf der Webseite stehen. Das heisst, verfassen als Administrator keine Beiträge. Verwenden Sie dafür einen Benutzer mit maximal Redakteur-Rechten. Verwenden Sie den Administrator ausschliesslich für Unterhaltsarbeiten im Backend.

Login-Maske nicht gegen Bruteforce-Attacken schützen

Bruteforce-Attacken bedeuten einen brutalen Angriff auf die Seite. Hier wird versucht mit beliebigen User/Passwort-Kombinationen Zugriff auf das Backend zu erhalten. Nach der Installation von WordPress lautet die URL zum Backend immer domainname.tld/wp-admin. Das macht es einem Angreifer sehr einfach ihren Login zu finden. Abhilfe schafft z.B. das Plugin Rename wp-login.php. Damit benennen Sie die Loginseite neu. Versucht es also jemand mit der Standardseite, bekommt er lediglich den Fehler 404 zu sehen.

Tabellenpräfix

Während des Setup bei der Installation von WordPress wird man nach dem Tabellenpräfix gefragt. WordPress gibt standardmässig wp_ vor. Mit dem Präfix wird sichergestellt, dass es keine Komplikationen mit bereits bestehenden Tabellen bei Namensgleichheit gibt. Auch hier gilt, ändern Sie das Präfix VOR der Installation der Datenbank. Das nachträgliche Ändern ist möglich, jedoch mit mehr oder weniger Aufwand. Auch hier gilt, mit geänderten Werten erschwert man es einem Angreifer, der z.B. über Schwachstellen in Plugins ein SQL-Injection versucht.

Standardwerte für Salt & Keys

Salt & Keys sind Standartwerte welche es einem Angreifer erschweren sollen eine Session (eingeloggter User) zu übernehmen. Damit sollen User und Geräte eindeutig identifiziert werden können. Der Auto-Installer der aktuellen Version erzeugt diese Werte automatisch. Dennoch ist es nicht falsch, dies nach der Installation zu überprüfen. Die Werte werden im Stammverzeichnis in der Datei wp-config.php gespeichert. WordPress bietet einen Dienst an, um diese Werte neu zu definieren. Sie werden nach dem Zufallsprinzip berechnet und sind über 60 Stellen lang. Diese Werte können Sie jederzeit ersetzen. Dies hat lediglich zur Folge, dass angemeldete User abgemeldet werden und sie sich neu einloggen müssen.

Hier ghet es zum WordPress Salt & Keys Dienst.

Themes und Plugins aus dubiosen Quellen

Grundsätzlich kann in ein Theme oder ein Plugin beliebig Schadcode implementiert werden um es z.B. einem Angreifer zu ermöglichen im Hintergrund Ihre Seite zu übernehmen. Grundsätzlich ist jedes Schadenszenario möglich, auch dass Besucher Ihrer Seite ebenfalls mit Schadcode infizieren.

Sie sollten also Themes und Plugins nur von Anbietern installieren denen Sie vetrauen. Gute umfangreiche Software kostet Geld. Wird solche kostenlos angeboten, sollten Sie genau hinsehen bevor Sie etwas installieren. Themes und Plugins von der offiziellen WordPress Seite können Sie vertrauen. t3n.de listet 30 empfohlene Temlates om responsiven Design auf, also auch geeignet für das Handy.

Deaktivierte Plugins im Ordner lassen

Installierte Plugins die mittlerweile wieder deaktiviert sind und welche sie definitiv nicht weiter verwenden, sollten Sie auch wieder löschen, denn auch deaktivierte Plugins können über vorhandene Schwachstellen eine Gefahr darstellen.

Permalink Struktur unverändert lassen

Nach der Installation erzeugt WordPress URLs zu seinen Unterseiten mittess GET-Variablen wie domain.tld?p=123. Solche URL sind wenig aussagekräftig und wirken sich auch negativ auf das Suchmaschinenranking aus. Unter der Voraussetzung das Ihr Provider .htacces und mod_rewrite erlaubt (Hostpoint.ch macht das), können Sie unter Einstellungen > Permalinks anpassen.

Zu viele (schlechte) Plugins

Jedes Plugin erhöht die Serverlast und die Ladezeit Ihrer Webseite. Sie sollten also nicht mehr Plugins installieren wie für Sie nötig und sinnvoll. Es ist aber nicht in erster Linie die Anzahl der Plugins, sondern deren Qualität (s. … aus dubiosen Quellen)

Ein wichtiger Grundsatz bei der Installation von Plugins ist Diese immer einzeln zu installieren und das Verhalten der Seite zu testen. So können frühzeitig Probleme erkannt werden. Da muss dann aber auch nicht bedeuten dass Ihr neustes Plugin schlecht ist, es kann genau so gut bedeuten, dass es sich nicht mit einem Anderen verträgt. In einem solchen Fall müssen Sie für ein Plugin eine Alternative finden oder darauf verzichten.

Auf Caching verzichten

WordPress ist ein Datenbankbasiertes System. Bei jedem Seitenaufruf wird aus diversen Quellen die Seite für die Anzeige zusammengestellt. Für jede Seite und für jeden Besucher. Dateien laden, Datenbankabfragen, Anforderungen von externen Seiten. Bei wenigen Besuchern mag das ja noch vertretbar sein, aber je mehr Besucher Ihre Seite bekommt, um so grösser die Belastungen.
Mit Caching speichern Sie das fertige Dokument zwischen und können es bei Anforderung direkt an dem Brpwser des Besuchers schicken. Ein Plugin das dies erledigt ist z.B WP Super Cache.

Auf Backups verzichten

Kein System bietet 100%-ige Sicherheit. Auch können Ihnen Fehler unterlaufen und Sie sind auf ein Backup angewiesen. Sorgen Sie also dafür, dass die Dateistruktur und die Datenbank regelmässig gesichert wird. Sie können das mit PHPmyAdmin und einem FTP Programm erledigen, oder mit dem teils kostenpflichtigen Plugin BackWPub.

Aktualisierungen vergessen

WordPress stellt regelmässige Updates für den Core zur Verfügung. Auch Plugins und Templates erhalten Updates, welche Sie sehr einfach über das Backend installieren können. Sie sollten diese Updates nicht ignorieren. Sie bieten nicht nur sicherheitsrelevante Verbesserungen, sondern oft auch zusätzliche Funktionalität. Auch wenn diese Updates in der Regel problemlos verlaufen, so empfiehlt es sich doch vorher immer ein komplettes Update aller Daten zu erstellen.

Manueller Go-Live

Wenn Sie Ihre Webseite auf einem lokalen Server entwickeln werden Sie das Ganze irgendwann auf einen Online-Server kopieren müssen. Nun können Sie Datenbank und Dateien manuell kopieren, oder den Dublicator dazu verwenden. Dieser liefert Ihnen gleich auch die Installationsroutine für den Server mit.

Mediathek über FTP befüllen

Wenige Bilder über das Backend hochzuladen mag ja noch gehen, bei grösseren Mengen stösst die Web Oberfläche an ihre Grenzen. Da WordPress die Bilder im Verzeichnis wp-content/uploads speichert, bietet es sich an, die Bilder da direkt mittels FTP hochzuladen. Aber so einfach ist das nicht. Sie werden die Bilder nicht in der Mediathek finden, weil zu jeder Datei in der Datenbank ein Eintrag erstellt werden muss. Das können Sie nachträglich mit Add From Server erledigen.