WordPress ist eine beliebte Blog-Software. Das macht sie für Hacker sehr interessant um Blogs anzugreifen. Wenn sie eine Sicherheitslücke in einer Standardinstallation finden, sind andere Systeme nicht mehr so sicher und leicht angreifbar. Hacker können den entdeckten Fehler zu ihrem eigenen Vorteil  weiter nutzen.
Es ist wichtig, sowohl für kommerzielle als auch für private Blogs sich um die Sicherheit zu kümmern. Das liegt daran, dass Hacker bei einem Angriff  unerwünschte Inhalte wie z.B. Werbung oder strafbare Aufrufe veröffentlichen können. Das kann den Ruf eines Blogs beschädigen oder dass  Suchmaschinen den Blog in ihren Ergebnislisten nicht mehr berücksichtigen ebenso kann dies zu rechtlichen Konsequenzen führen.

Was kann man dagegen tun?

Mit wenigen Maßnahmen kann man dem Risiko vorbeugen und Hackern die Arbeit erschweren.

1. WordPress regelmäßig aktualisieren
   Wenn ein neues Update (Aktualisierung) angeboten wird, installieren Sie es. Das gleiche gilt für Standard-Vorlagen und installierten Plugins.
2. Ihre Datenbank regelmäßig speichern
   Archivieren Sie in regelmäßigen Abständen die Datenbank Ihres Blogs. Wenn die Datenbank gelöscht oder beschädigt wird, haben Sie die Möglichkeit die Datenbank wiederherzustellen. Mehr Information über Backups können Sie hier nachlesen
3. Präfix für Tabellen in der Datenbank ändern
   Mit dieser Maßnahme schützen Sie Ihre Datenbank
4. Dateiberechtigung auf dem Server vergeben
   Auf http://codex.wordpress.org/Changing_File_Permissions finden Sie mehr Information über empfohlene Berechtigungsstufen
5. .htacsess Datei anpassen
   Damit kann man empfindliche Dateien wie wp-config.php geschützt werden.
   Die .htaccess-Datei kann den folgenden Code enthalten:
   <files wp-config.php>
Order deny,allow
deny from all
</files>
6. Administrator mit dem Namen „admin“ vermeiden
   Das Erste worauf getestet ist, ob man mit dem Benutzername „admin“  einloggen kann. Deswegen legen Sie sich einen neuen Benutzernamen mit Administrationsrechten an und löschen Sie den User „admin“.
   
7. Sicheres und starkes Passwort für Admin-Account
   Das Passwort muss mindestens aus acht Zeichen (Buchstaben, Ziffern und Sonderzeichen) bestehen. Je komplizierter das Passwort ist, desto schwieriger ist es, es zu entziffern. Vermeiden Sie es personenbezogene Daten als Passwort zu benutzen. Das Passwort für Ihren Admin-Account und für FTP-Account muss unterschiedlich sein. 
8. „ReadMe“-Datei löschen
   Diese Datei enthält Information über verwendete Versionen. Deswegen ist es besser sie nach dem Lesen zu löschen

Kleine Helfer

Es gibt verschiedene Erweiterungen, die sich um die Sicherheit der Blogsoftware kümmern. Diese Plugins verbessern die Sicherheit der installierten Software. Ein Teil dieser Plugins sind Nebenprodukte von Firmen, die sich auf das Consulting über WordPress spezialisieren.

Auf der offiziellen Website von WordPress werden viele Plugins angeboten. Bei einer Eingabe von „Security“ wird eine große Liste von Plugins angezeigt. Man kann z.B. mit Hilfe von einigen Plugins, nach einer bestimmten Anzahl von fehlgeschlagenen Login Versuchen den Zugang zum Anmeldeformular sperren. Andere Plugins  untersuchen das installierte WordPress und informieren den Nutzer über Schwachstellen.