Wordpress Security Test

Inhaltsverzeichnis

Wordpress Security Check

Auf Basis von Wordpress laufen heutzutage die meisten bekannten Websites und Blogs, denn das CMS ist einfach zu bedienen und dank Plugins und Snippets auch simpel zu erweitern. Doch auch wenn Wordpress von Haus aus recht sicher ist, stellt die norme Verbreitung auch immer wieder eine Gefahr dar. Oft reicht eine kleine Sicherheitslücke in einem der verwendeten Plugins oder Themes schon aus, damit Angreifer die Kontrolle über die eigene Homepage übernehmen können oder Schadcode integrieren. Immer wieder erwischt es dabei auch sehr populäre und weit verbreitete Plugins, die plötzlich mit Sicherheitslücken zu kämpfen haben oder grundsätzlich unsicher programmiert wurden. Vielen Nutzern ist das meist nicht so ganz klar, erst nach und nach kontrollieren die Anbieter der Wordpress Security Plugins den Code und entlarven so immer wieder kritische Lücken. Ein Online Security Test für Wordpress zeigt nun an, ob eure Installation unsicher ist und potenziell gefährdet sein könnte.

Wordpress Security Scan

Der Service nennt sich wpRecon und ist im Grunde ein oberflächlicher Security Check. wpRecon überprüft also keine Details, sondern geht vielmehr die Standards durch. Wird die Versionsnummer der verwendeten Wordpress-Version korrekt verschleiert? Ist ein auslesen der Nutzer möglich (User enumeration)? Ist das Directory Indexing deaktiviert? Solche und weitere Standards zeigt wpRecon einfach übersichtlich an, weil genau solche Dinge sich sehr einfach und schnell prüfen lassen. Mit diesem einfachen Wordpress Security Scan wisst ihr also schon einmal, ob ihr zumindest die Standards in Sachen Sicherheit erfüllt, denn einige Dinge sollten selbst von blutigen Anfängern eingehalten werden. Mir persönlich gefällt das Design und die simple Anordnung von wpRecon recht gut, außerdem ist der Dienst frei zugänglich und schnell erreichbar, weshalb nichts gegen einen kleinen Security Check spricht. Macht den Test einfach mal und schaut was dabei herauskommt. Ergibt der Test Auffälligkeiten, lest weiter, um herauszufinden wie ihr diese beheben könnt.

Wordpress Security Snippets und Plugins

Viele von euch werden nach dem Test von wpRecon die ein oder andere Sicherheitslücke präsentiert bekommen. Damit es potenzielle Angreifer nicht zu einfach haben, Details über eure Installation herauszufinden, ist es aber wichtig, dass solche Standards eingehalten werden und Wordpress so gut es geht verschleiert wird. Ein paar Snippets helfen dabei. So lassen sich zum Beispiel recht schnell und einfach sämtliche nicht benötigten Header-Einträge von Wordpress entfernen. Auch die XML-RPC Schnittstelle, die in der Vergangenheit schon für DDoS-Attacken missbraucht wurde, sollte, wenn ihr sie nicht benötigt, komplett deaktiviert werden.

Schlussendlich müssen auch Zugriffe via .htaccess geblockt werden. Die perfekte Vorlage, die alle wichtigen Standards enthält, findet ihr hier. Weitere Hinweise zur Wordpress Security via .htaccess gibt es dagegen hier. Am Ende könnt ihr auch noch eine Firewall installieren, allerdings macht dies in vielen Fällen gar keinen Sinn. Wer trotzdem auf Nummer sicher gehen möchte, sollte sich mal das kostenlose NinjaFirewall Plugin genauer anschauen. Mit all den Snippets und Tricks, sollte eure Wordpress-Installation nun bedeutend sicherer sein, zumindest aber grundlegende Standards erfüllen.

Christian Pust
WordPress & Onlinemarketing Experte mit über 15 Jahren Erfahrung. Entwickler & CEO von Trackboxx – der Google Analytics Alternative.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Das könnte dich auch interessieren

Du benötigst Unterstützung bei deinem WordPress Projekt?

Dein Ansprechpartner
Christian