Roman bloggt.

Vor einigen Tagen haben Caschy und Monika von Texto über das Wordpress Plug-In Limit Logins berichtet, um den Zugriff und die Nutzung von Wordpress sicherer zu machen. Folgend nun einige Kniffe meinerseits, um noch mehr Sicherheit an Bord zu holen und um sich vor ungewünschten Zugriff zu schützen.

1. Schutz von wp-config.php

Sofern man bei seinem Webspace die Möglichkeit hat eine .htaccess anzulegen und diese zu nutzen, sollte man folgenden Eintrag hinzufügen:

# protect wpconfig.php
<files wp-config.php>
Order deny,allow
deny from all
</files>

2. Die wp-config.php erweitern

In der Konfigurationsdatei von Wordpress finden sich folgende Felder die ausgefüllt bzw. verändert werden sollten. Dies wird meist sehr gern vergessen.

• Security keys: Seit der Version 2.7 bietet Wordpress die Sicherheitsschlüssel an. Diese Schlüssel werden einmalig eingerichtet und dienen zur Verschlüsselung von Kennwörtern.
• Table prefixes: Die Tabellen Präfixe lassen sich leider nur bei einer Neuinstallation von Wordpress einrichten. Setzt man einen neuen Blog auf, sollte man hier das Standard Präfix “wp_” abändern oder erweitern. Dies erschwert den Zugriff auf die Datenbanktabellen mittels möglicher XSS-Exploits.Wichtig! Das Präfix nicht bei einer bereits laufenden Installation abändern!
• Sobald der Server über eine SSL-Verschlüsselung verfügt, sollte man für den Adminbereich die SSL-Verschlüsselung auch aktivieren. Dies geschieht wieder in wp-config.php. Hier muss die folgende Zeile hinzugefügt werden:define(‘FORCE_SSL_ADMIN’, true);

  Bietet der Server keine SSL-Unterstützung, so wird der Adminbereich nicht geladen.

3. Ein neuen Admin-Account anlegen

Es ist sicherer, einen neuen Benutzer anzulegen und diesem volle Adminrechte zu geben, als den von Haus aus eingerichteten “admin” Benutzer. Denn dieser hat die ID 1 und den Benutzernamen “admin” und bietet bereits eine gewisse Angriffsfläche.

4. Starkes Kennwort verwenden

Natürlich sollte man auch ein starkes Kennwort verwenden. Wordpress hat sogar extra einen Hinweis unter das Kennwortfeld geschrieben. Diesen sollte man dann auch beherzigen.

5. Stets aktuell bleiben

Wichtig ist es auch, stets die neuesten Updates und Patches der Plugins, aber auch der gesamten Wordpress-Installation einzuspielen. Denn alte Versionen werden nicht nur wegen neuen Features gepatcht, sondern viel mehr, weil Bugs behoben werden sollen, die von Angreifern genutzt werden könnten.

1. Wordpress Plug-In: Twitter It! *ENGLISH VERSION* Aufmerksame Leser werden den Button “Twittern!” oberhalb jedes Beitrags bereits entdeckt haben. Die...
2. Twitter It! Version 4 ist erschienen! Durch eine Bitte aus den USA habe ich mich mal wieder mit meinem WordPress Plug-In...
3. MySQL Snippet: Datenbank importieren Manchmal hat man keinen phpMyadmin zur Hand oder man möchte eine Datenbank importieren, die...
4. Typo3 – RealURL korrekt einrichten Hin und wieder arbeite ich mit dem sehr mächtigen und umfangreichen CMS Typo3. Einmal konfiguriert,...
5. MediaPortal – Der Plugin-Manager MediaPortal ist bereits von Haus aus ein mächtiges Tool. Es können Filme, Bilder und Musik...