Als Datenbank getriebenes Content Management System speichert WordPress die Inhalte von Beiträgen, Seiten aber auch Konfigurationseinstellungen von Themes und Plugins in einer Datenbank. Dort sind ebenfalls wichtige Informationen wie Anmeldedaten gespeichert, die Datenbank deshalb ein beliebtes Ziel von Angreifern und Hackern.
Mit automatisierten Skripten oder SQL Injektion wird versucht die Sicherheitsmechanismen der Datenbank zu umgehen und Kontrolle darüber sie erlangen. Im harmloseren Fall um Spam Kommentare zu veröffentlichen, im schlimmeren Fall um Zugriff zur Webseite zu bekommen und sie Teil eines Bot-Netzwerkes werden zu lassen.
Es ist deshalb sehr wichtig Schutzvorkehrungen zu treffen. Glücklicherweise bietet WordPress von Haus aus eine Möglichkeit Angriffe dieser Art zu erschweren. In einer Standardinstallation von WordPress befinden sich zwölf Tabellen mit dem Präfix wp_. Leider sind sich viele Anwender dessen nicht bewusst und erleichtern Angreifern damit das Leben.
Methode Eins: Bei der Installation von WordPress
Der Aufwand ist am geringsten, wenn du den Datenbankpräfix bereits bei der Installation von WordPress in eine kryptische Zeichenkette änderst. Wichtig ist: Du darfst nur Buchstaben, Zahlen und Unterstriche verwenden.
Für den Fall, dass du bereits eine Website mit WordPress betreibst, gibt es folgende Vorgehensweise: Du kannst das Präfix im Nachgang zu ändern.
Methode Zwei: Ändern von Hand
Erster Schritt: Vorbereitungen
Ich empfehle dringend vor dieser Änderung ein volles Backup der Webseite anzulegen! Ein geeignetes PlugIn dafür ist z.B. Duplicator, dass nicht nur Sicherung einer Seite sondern auch Migration von einer Testumgebung auf eine Live-Seite ermöglicht. Es ist auch eine gute Idee die Website Besucher auch eine temporäre Wartungsseite umzuleiten.
Zweiter Schritt: Ändern des Standard Tabellen Präfix
Öffne die Datei wp-config.php in einem Texteditor und ändere das Präfix in eine zufällige Zeichenkette bestehend aus Buchstaben, Zahlen und Unterstrichen. Folgende Zeile musst Du anpassen:
$table_prefix = 'wp_'; ändere z.B in $table_prefix = '4gh6_'; um. Speichere die Datei ab.
Dritter Schritt: Alle WordPress Datenbank Tabellen umbenennen
Meistens bieten Hosts die Möglichkeit die WordPress Datenbank mit phpMyAdmin zu administrieren. Falls du dir nicht sicher bist wie du Zugriff zu diesem Tool bekommst gibt es bei deinem Host sicher einen Eintrag in der Dokumentation oder du fragst beim Support nach.
In der Basisinstallation werden von WordPress zwölf Tabellen angelegt. Falls du weitere Plugins installiert hast befinden sich mit großer Wahrscheinlichkeit weitere Tabellen in der Datenbank. Am einfachsten geht dies mit dem Tool phpMyAdmin. Zuerst wählst Du in der Seitenleiste links die entsprechende Datenbank, dann wählst Du alle Tabellen aus und wählst im Menü „markierte“ die Option „Tabellenprefix ersetzen“.
In älteren Versionen von phpMyAdmin ist diese Funktionalität nicht vorhanden. Mit folgenden SQL Anweisungen kannst Du die Standardtabellen umzubenennen. Wähle wieder Deine WordPress Datenbank links in der Seitenleiste aus und gehen dann oben auf den Tab „SQL“.
RENAME table 'wp_commentmeta' TO '4gh6_commentmeta';
RENAME table 'wp_comments' TO '4gh6_comments';
RENAME table 'wp_links' TO '4gh6_links';
RENAME table 'wp_options' TO '4gh6_options';
RENAME table 'wp_postmeta' TO '4gh6_postmeta';
RENAME table 'wp_posts' TO '4gh6_posts';
RENAME table 'wp_terms' TO '4gh6_terms';
RENAME table 'wp_term_relationships' TO '4gh6_term_relationships';
RENAME table 'wp_term_taxonomy' TO '4gh6_term_taxonomy';
RENAME table 'wp_usermeta' TO '4gh6_usermeta';
RENAME table 'wp_users' TO '4gh6_users';Du musst die Anweisung deines Präfixes entsprechend anpassen und um alle zusätzlichen Tabellen deiner Plugins erweitern.
Vierter Schritt: Anpassen der usermeta-Tabelle
Als nächstes müssen wir die usermeta-Tabelle nach allen Vorkommnissen des alten Präfixes durchsuchen und umbenennen. Im noch geöffneten SQL Fenster ist dies mit dieser Anweisung möglich:
UPDATE 4gh6_usermeta SET meta_key = REPLACE(meta_key, 'wp_', '4gh6_');Die Abfragen finden alle Vorkommnisse des alten Präfix, zusätzlich zu allen meta_keys die möglicherweise von Plugins erstellt wurden. Gleichzeitig werden alle gefundenen meta_keys in das neue Präfix umbenannt.
Fünfter Schritt: Anpassen der options-Tabelle
In der options-Tabelle befinden sich ebenfalls Instanzen des alten Präfixes.
UPDATE 4gh6_options SET option_name = REPLACE(option_name, 'wp_', '4gh6_');Auch hier werden alle options gefunden die mit dem alten Präfix beginnen und in den neuen Präfix umbenannt. Das war es, jetzt hast einen neuen Tabellen Präfix erstellt!
Sechster Schritt: Testen ob alles funktioniert
Rufe die Webseite auf und logge dich im WordPress Backend ein. Lege einen Testbeitrag und eine Testseite an und klicke dich durch die Webseite um zu prüfen, ob noch alles funktioniert.
Methode Drei: Ändern mit einem Plugin
Wer sich nicht zutraut die Änderungen manuell vorzunehmen kann auch auf das Plugin WP Prefix Changer zurückgreifen. Damit werden alle beschriebenen Schritte voll automatisch in Sekundenschnelle erledigt.
Fazit
Das Absichern der WordPress Datenbank durch ein komplexes Präfix macht es Angreifern schwieriger sich durch schadhaften Code, SQL Injektion oder automatisierten Skripten Zugriff zu verschaffen. Am einfachsten geht das vor der Installation von WordPress, aber auch bestehende Webseiten können entweder manuell oder mithilfe eines Plugins abgesichert werden.