Wie kann ich mein WordPress absichern?

Uns haben viele Anfragen erreicht, wie man WordPress besser absichern kann. Wir empfehlen hierzu die Trennung der Zugriffrechte für Apache und FTP. In diesem Artikel erklären wir Ihnen, wie das in nur wenigen Schritten umsetzbar ist.

Folgende Dinge benötigen Sie im Verlauf dieser Anleitung:

- Logindaten Adminpanel
- FTP Programm (wir nutzen hier Filezilla)

Installation WordPress:

Zuerst installieren Sie Ihr WordPress zum Beispiel über unser Adminpanel-Feature '1Click'.
Sie finden das unter Paket-Verwaltung=> 1Click Install.

Wir nutzen hier im Beispiel den Ordner 'sichereswp' als Ziel für diese Installation, vergeben ein Passwort für die neue WordPress-Datenbank und wählen eine Domain.

Und klicken dann ganz unten auf der Seite auf 'Installieren'.

Im nächsten Schritt können wir WordPress noch per Direktaufruf über die Domain erreichbar machen. Wie das funktioniert, haben wir in diesem Artikel erklärt: Wie ändere ich den Pfad meiner 1Click Install-Applikation?

 

Absicherung von WordPress:

Jetzt beginnen wir mit der zusätzlichen Absicherung von WordPress.
Hierzu erstellen wir zunächst im Adminpanel einen neuen Zusatz-FTP Benutzer.
Sie finden das im Adminpanel unter Paket-Verwaltung => Zusatz FTP Benutzer und klicken rechts oben auf 'FTP-Benutzer anlegen'.

Der Benutzername wird vom System vergeben und setzt sich aus Ihrem Standard Benutzernamen und einer Buchstaben – Zahlen Kombination zusammen. In unseren Beispiel nennen wir diesen jetzt einfach xxxxf5

Die Felder dort füllen wir dann wie folgt aus:

Nach wenigen Minuten ändern sich nun die Rechte unseres WordPress-Ordners auf den neu angelegten Zusatz-FTP Benutzer. Damit ist die Absicherung bereits vollzogen. Der Apache bzw. PHP können dann nicht mehr per Standard in Dateien und Ordner schreiben.

Anpassen der Dateizugriffsrechte:

Damit die WordPress-Installation korrekt funktioniert und der Apache bzw. PHP die dafür notwendigen Schreibrechte besitzt, müssen wir für WordPress noch eine Änderung an den Dateizugriffsrechten vornehmen. Dafür verbinden wir uns jetzt per FTP (mit Filezilla) mit dem Webpaket und navigieren zu der soeben erstellten WordPress-Installation. Bitte achten Sie hierbei darauf, dass Sie sich mit dem zuvor erstellten Zusatz-FTP Benutzer anmelden müssen! In unserem Beispiel wäre das wie oben beschrieben dann xxxxf5

Wie man sich per FTP über Filezilla verbindet, haben wir hier beschrieben: Wie kann ich per FTP (SFTP, FTPES) auf meinen Account zugreifen?

Beachten Sie hierbei bitte, dass Sie als Verbindungssicherheit (Servertyp) FTPS benutzen, da Zusatz-FTP Benutzer kein SSH haben und somit kein SFTP verwenden können!

Wechseln Sie anschließend durch Doppelklick in den Ordner 'wp-content':

Sie sehen hier einige Ordner. Ändern müssen wir hier zumindest die Zugriffsrechte für die Ordner 'cache' und 'uploads': 

 

Je nach Wordpress-Installation kann es vorkommen, dass der Ordner "cache" nicht vorhanden ist oder dazu erst Plugins nachinstalliert werden müsssen.

Diese klicken Sie bitte jeweils nacheinander mit der rechten Maustaste an und wählen 'Dateiberechtigungen':

Im darauf neu erscheinenden Fenster ändern wir in der Zeile 'Numerischer Wert' den Eintrag von 755 auf 775 und klicken dann unten rechts auf 'OK': 

Anschließend können Sie sich sich wieder vom FTP Server abmelden. Die mindest notwendigen Arbeiten sind jetzt abgeschlossen. Bitte beachten Sie, dass nach der oben beschriebenen Absicherung von WordPress die automatischen Updates im Administrationsbereich von WordPress nicht mehr funktionieren. Sie können hierbei jedoch an der selben Stelle manuelle Updates durchführen, wobei Sie lediglich Ihre FTP-Daten angeben müssen.

Noch ein Hinweis in eigener Sache:

Der beschriebene Weg macht die Installation sicherer, bietet aber trotz allem keinen 100%igen Schutz vor Angriffen oder sonstigem Missbrauch. Es können womöglich nach wie vor Lücken in Scripten ausgenutzt werden oder aber auch durch gestohlene FTP Zugangsdaten ungewollte Änderungen vorgenommen werden.

Auch kann es vorkommen, dass Sie nicht mehr wie gewohnt mit Plugins oder Themes arbeiten können, da diese die nötigen Zugriffsrechte auf Ordner und Dateien nicht mehr besitzen. Sie müssen daher gegebenenfalls prüfen, wie Sie nach oben beschriebenem Weg weitere Ordner und Dateien in Bezug auf die Zugriffsrechte anzupassen haben.

 

Kontaktadresse

WebhostOne GmbH
- Kundenservice -
Mumpferfährstraße 68
D-79713 Bad Säckingen

Direktlinks

© 2018 WebhostOne GmbH
Cookies erleichtern die Bereitstellung unserer Dienste. Mit der Nutzung unserer Dienste erklären Sie sich damit einverstanden, dass wir Cookies verwenden.
Weitere Informationen Ok Ablehnen