So kannst du deine eigene Website erstellen – Teil 4: Vorkehrungen für eine sichere Website

Hacker, Spammer, Abmahn-Haie, Bot-Netze – alle haben es auf ungesicherte oder zumindest schlecht gesicherte Websites abgesehen. Die meisten, um sich irgendwie zu bereichern und viele aus Spaß am Zerstören. Im digitalen Raum geht es nicht anders zu als in unserer analogen Welt. So, wie du dich vor Einbrechern, Hauswand-Beschmierern, Taschendieben usw. schützen musst, so musst du das in der digitalen Welt auch. Deshalb treffen wir jetzt schon die ersten Vorkehreungen für eine sichere Website.

Wer ist heutzutage schon so leichtsinnig und betreibt seinen Computer ohne aktuellen Virenscanner? Auch unsere Website müssen wir schützen. Einen Virenscanner und andere Sicherheits-Plugins werden wir im „Teil 6 – Nutzlose Plugins entfernen, nützliche installieren“ implementieren. Das Impressum mit dem Disclaimer und die Datenschutzerklärung werden wir in „Teil 10 – Website rechtssicher machen“ nach bestem Wissen und Gewissen (rechts)sicher erstellen.

Wir werden darauf achten, dass der Administrator keine Seiten oder Beiträge etc. veröffentlicht und wir werden WordPress in „Teil 5 – WordPress konfigurieren“ so einrichten, dass wir möglichst immer die Kontrolle behalten.

Und in „Teil 13 – ‚Stolz präsentiert von WordPress‘ entfernen“ werden wir den Fußbereich der Site ändern, damit scannende Systeme möglichst nicht automatisch die geeignetste Angriffsmethode ermitteln können.

Natürlich gehört auch die Sicherung von Dateien zur Sicherheit. In der lokalen Installation solltest du stets dein XAMPP-Verzeichnis komplett sichern (z.B. auf DVD brennen). Auf die Sicherung deiner Installation und deiner Datenbank auf dem Server deines Hosters werde ich zu gegebener Zeit eingehen.

Weitere Tipps für eine sichere Website findest du in dem 2-teiligen Report von Michael Bilger:

Teil 1: http://www.sirmark.de/wordpress/wordpress-absichern-10-tipps-fuer-ein-sicheres-wp-1477.html

Teil 2: http://www.sirmark.de/wordpress/wordpress-absichern-10-tipps-fuer-ein-sicheres-wp-tipp-6-10-1481.html

Heute werden wir die WordPress-Sicherheitsschlüssel installieren und die Benutzer des Systems so einrichten, dass größtmögliche Sicherheit gewährleistet ist. Auch die Passwörter für das System wirst du hoffentlich immer so wählen, dass diese dabei das Attribut „Stark“ von WordPress bekommen.

Melde dich an. Das kannst du immer, indem du im Browser die URL http://localhost/hwv-gey-strass/wp-login eingibst oder auch http://localhost/hwv-gey-strass/wp-admin. Statt „hwv-gey-strass“ natürlich den Namen deiner Website. Und natürlich ist immer Voraussetzung, dass XAMPP aufgerufen und darin Apache und MySQL gestartet wurden.

Wähle dann aus dem Menü am linken Rand „Benutzer“ aus. Im Augenblick bist du der einzige Benutzer.

Wir werden jetzt zwei neue Benutzer anlegen. Zuerst einen Redakteur. Der Redakteur hat bezüglich der Seiten und Beiträge alle Rechte und ist den Mitarbeitern übergeordnet. Er hat aber keine Rechte zum Anlegen/Ändern von Benutzern und keine Rechte, die WordPress-Installation zu ändern oder Komponenten (Plugins) hinzuzufügen oder zu löschen. Dies ist ausschließlich dem Administrator vorbehalten, der alle Rechte besitzt.

„Wozu brauche ich denn einen Redakteur? Ich bin doch der einzige Benutzer. Reicht es nicht, wenn ich als Administrator angelegt bin?“ wirst du fragen. Theoretisch hast du recht. Aber! Seiten und Beiträge, aber auch Medien unter der Autorenschaft des Administrators zu veröffentlichen ist aus Sicherheitsgründen ein absolutes Tabu! Das machst du niemals als Admin, sondern immer als Redakteur! Wir legen also jetzt den Redakteur an.

Klicke dazu links im Menü auf „Neu hinzufügen“. Denk dir einen Benutzernamen (für die Anmeldung in WordPress) aus und ein gutes Passwort. Fülle die Felder aus, die als erforderlich gekennzeichnet sind und wähle unter „Rolle“ den Eintrag „Redakteur“ aus. Beachte, dass sich die eMail-Adresse von der anderer Benutzer unterscheiden muss! Anschließend klicke auf den Button „Neuen Benutzer hinzufügen“.

Wenn du den Mauszeiger unter den neuen Benutzernamen positionierst, erscheint „Bearbeiten“. Klicke darauf, um das Benutzerprofil des Redakteurs zu bearbeiten. Änder den Spitznamen, so dass er vom Benutzernamen des Redakteurs abweicht. Danach wähle bei „Öffentlicher Name“ den neu eingegebenen Spitznamen. Anschließend klickst du weiter unten auf „Profil aktualisieren“ bzw. „Benutzer aktualisieren“. Warum der Aufwand? Ebenfalls aus Sicherheitsgründen. So erscheint offiziell als Autor in den Beiträgen nie der Benutzer-/Anmeldename.

Jetzt legst du einen weiteren Benutzer an. Klicke also links im Menü auf „Neu hinzufügen“. Fülle die Felder aus, die als erforderlich gekennzeichnet sind und wähle unter „Rolle“ den Eintrag „Administrator“ aus. Beachte, dass sich die eMail-Adresse von der der anderen Benutzer unterscheiden muss! Anschließend klicke auf den Button „Neuen Benutzer hinzufügen“. Jetzt gehst du unter dem neuen Benutzer auf „Bearbeiten“, um auch hier „Spitzname“ und „öffentlicher Name“ zu ändern. Anschließend klickst du wieder unten auf „Profil aktualisieren“ bzw. „Benutzer aktualisieren“.

Melde dich nun ab. Das kannst du, indem du das Browser-Fenster schließt und anschließend die URL http://localhost/hwv-gey-strass/wp-login eingibst. Statt „hwv-gey-strass“ natürlich den Namen deiner Website. Du kannst es aber auch einfacher und schneller haben, indem du mit dem Mauszeiger rechts oben auf „Willkommen, Admin“ gehst und in dem nun erscheinenden Menü auf „Abmelden“ klickst.

Abmelden

Im nun erscheinenden Anmelde-Fenster gibst du den Benutzernamen und das Kennwort des gerade neu angelegten Administrators ein. Nach erfolgreicher Anmeldung klickst du links im Menü wieder auf „Benutzer“. Beim Benutzer mit dem Namen „Admin“ gehst du auf „Löschen“. Im folgenden Fenster wählst du die Option „Diesem Nutzer den gesamten Inhalt zuordnen“ und wählst im Feld rechts den öffentlichen Namen des neuen Admins oder des Redakteurs. Anschließend klickst du auf „Löschen bestätigen“

Benutzer löschen

Als nächste Sicherheitsmaßnahme fordern wir über den folgenden Link bei WordPress einen Sicherheitsschlüssel an:

https://api.wordpress.org/secret-key/1.1/salt/

und erhalten beispielsweise folgendes Ergebnis, das wir via „copy and paste“ in unsere Datei wp-config.php einfügen können:

Sicherheitsschlüssel

Wir finden die wp-config.php im Verzeichnis „C:\xampp\htdocs\ hwv-gey-strass“. Statt „hwv-gey-strass“ gibst du natürlich den Namen deiner Website ein bzw. den Namen des Verzeichnisses, unter dem dein WordPress installiert wurde.

Öffne die wp-config.php mit notepad++, das du hoffentlich, wie bereits im Teil 1 empfohlen, installiert hast. Öffne solche Dateien niemals mit Word oder Wordpad!! Nun kannst du per „copy and paste“ die Sicherheitsschlüssel einfügen. Vielleicht hat WordPress bei der Installation bereits Sicherheitsschlüssel in der wp-config.php generiert. Dann kannst du sie jetzt austauschen, wenn du willst.

Sicherheitsschlüssel in wpconfig

Vergiss nicht, die wp-config.php mit deinen Änderungen zu speichern. Vergewissere dich aber vorher ob du alles richtig gemacht hast.

Du hast nun drei Möglichkeiten, dein WordPress aufzurufen:

  1. Als Besucher deiner Website
  2. Als Redakteur
  3. Als Admin

Wir wollen das einmal ausprobieren. Gib in deinen Browser folgende URL ein http://localhost/hwv-gey-strass. Statt „hwv-gey-strass“ natürlich den Namen deiner Website. Falls der Browser dir die Meldung gibt, dass die Seite nicht angezeigt werden kann, dann überprüfe bitte ob du XAMPP und darin Apache und MySQL gestartet hast. Nur so kann der Aufruf der lokalen WebSite funktionieren. Du erhältst etwa folgendes Bild:

Erster Site-Aufruf als Besucher

Das Design der WordPress-Standardseite kann bei dir durchaus anders aussehen. Zum Zeitpunkt der Erstellung des Artikels war die Standardseite das „Theme Twenty Fourteen“. Ein „Theme“ ist eine Vorlage (ein Template), ähnlich einer Word-Vorlage. Ein Theme hat ein bestimmtes Design und diverse Funktionalitäten, auf die der Ersteller der WebSite (also du) einen gewissen Einfluss hat, um die WebSite weitgehend nach seinen Vorstellungen zu gestalten. Auf dem Markt gibt es unzählige WordPress-Themes für die unterschiedlichsten Themengebiete und von unterschiedlichen Firmen (nach „WordPress Themes“ googeln). Die einfacheren sind kostenlos, Premium-Themes musst du bezahlen. Die WordPress-Installation enthält die von den WordPress-Entwicklern selbst erstellten Standard-Themes der vergangenen Jahre. Ich komme in einem der nächsten Folgen darauf zurück.

Gib nun die URL „http://localhost/hwv-gey-strass/wp-admin/“ ein und melde dich als Redakteur an. Du erhältst ungefähr folgendes Bild:

Erster Site-Aufruf als Redakteur

Wenn du dich nun als Administrator anmeldest, bekommst du etwa folgendes Bild:

Erster Site-Aufruf als Admin
Erster Site-Aufruf als Admin

Du siehst, dass der Administrator wesentlich mehr Menüpunkte zur Verfügung hat als der Redakteur, und dass der Besucher keine Möglichkeit des Zugriffs auf das System hat (außer er meldet sich als Redakteur/Administrator an).

Teil 1: Grundsätzliches

Teil 2: Lokale Installation von XAMPP

Teil 3: (Lokale) Installation von WordPress

Teil 4: Vorkehrungen für eine sichere Website

Teil 5: WordPress konfigurieren

Teil 6: Nutzlose WordPress Plugins entfernen, nützliche installieren

Teil 7: WordPress Theme (Template) aussuchen und WordPress Child-Theme erstellen

 

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.