Sicher bloggen
WordPress mit wenigen Kniffen vor Angriffen schützen

Frank Bültge, t3n Nr. 17 (11/2009) | 5 Kommentare |
3 tweets  tweet this!
 |  Teilen

t3n Magazin kaufen!

WordPress erfreut sich großer Popularität und rückt damit auch in das Visier von Menschen, die sich unbefugt Zutritt verschaffen wollen. Wie bei jeder Open-Source-Software können Entwickler wie auch Angreifer gleichermaßen den Code einsehen. Die Gefahr von Spam-Links, einer Zerstörung des Blogs und anderen Angriffen ist daher hoch – könnte man meinen. Doch wie dieser Artikel zeigt, sind die Möglichkeiten, WordPress abzusichern, sehr vielschichtig.

Es gibt viele Wege, um eine WordPress-Installation abzusichern. In diesem Artikel werden lediglich jene beleuchtet, die mit geringem Aufwand in WordPress realisiert werden können. Eine Gewichtung ist dabei nur schwer möglich und im Einzelfall immer abhängig von den unterschiedlichen zur Verfügung stehenden Möglichkeiten. Hat man beispielsweise die Option, auf die Konfiguration des Servers zuzugreifen, kann bereits im Vorfeld ein hohes Maß an Sicherheit erreicht werden. Hier soll es lediglich um Sicherheitseinstellungen innerhalb von WordPress gehen.

WordPress sicher installieren

WordPress ist für seine einfache und unkomplizierte Installation bekannt. Diese Tatsache hat unter anderem zur Popularität der Software beigetragen, sorgt aber ebenso dafür, dass viele Einstellungen auf unterschiedlichsten Installationen gleich sind. Dies ermöglicht es Hackern, auf diverse Ausgangspositionen aufzusetzen und sich unbefugten Zutritt zu verschaffen.

Bereits bei der Installation von WordPress sollte man deshalb einige Punkte beachten, die dazu beitragen, dass das eigene Blog weniger Gemeinsamkeiten mit einer Default-WordPress-Installation hat. Eine Installation, die vom Standard abweicht, erschwert potenziellen Eindringlingen den unauthorisierten Zugang. In diesem Zusammenhang sollte man einige Punkte beim Aufsetzen einer neuen Installation von WordPress beachten.

Alle Tipps beschränken sich auf die Möglichkeiten der Basisinstallation ohne Erweiterungen. Es existieren allerdings auch einige nützliche Plugins für mehr Sicherheit in WordPress, die besonders für weniger versierte Nutzer eine Alternative darstellen.

Tabelle-Präfix

Der Zugang zur Datenbank wird in der Datei wp-config.php konfiguriert. In dieser Datei wird auch das Tabellen-Präfix definiert, mit dem WordPress bei der Installation alle erforderlichen Tabellen anlegt. Standardmäßig handelt es sich hierbei um das Präfix „wp_“. Sie sollten immer ein fiktives Präfix vergeben, das nicht dem Standard entspricht. Außerdem sollten Sie darauf achten, dass Sie ausschließlich Zahlen, Buchstaben und Unterstriche verwenden, denn andere Zeichen werden nicht unterstützt.

Authentication Unique Keys

Ebenfalls in der Datei wp-config.php haben Sie die Möglichkeit, vier Sicherheitsschlüssel zu definieren, die die Sicherheit von WordPress erhöhen. Die Schlüssel erzeugen Sie entweder manuell oder über einen Generator von wordpress.org [1]. Die vier Schlüssel sind verschiedenen Cookies zugeordnet und werden an unterschiedlichen Stellen genutzt, um die Sicherheit von WordPress zu erhöhen, daher ist es auch wichtig, dass jede Installation unterschiedliche Schlüssel hat. Die relevanten Schlüssel sind folgende:

AUTH_KEY Wird genutzt für unsichere Verbindungen via http.
SECURE_AUTH_KEY Mit dieser Konstante lässt sich eine gesicherte Verbindung über https realisieren.
LOGGED_IN_KEY Hält fest, ob sich ein Nutzer eingeloggt hat; nicht administrativer Cookie.
NONCE_KEY Kommt unter anderem bei $_POST-Abfragen von WordPress zum Einsatz und kann durch Erweiterungen mit der Funktion wp_nonce() genutzt werden.

Wird eine bestehende Installation von WordPress aktualisiert, sollten die Schlüssel entsprechend ergänzt werden, hier am Beispiel von AUTH_KEY:

PHP

define('AUTH_KEY', 'put your unique phrase here'); // Hier gehört eine beliebige, möglichst zufällige Phrase rein

Listing 1

» weiterlesen

1 2 3 4

Ähnliche News und Artikel

Beitrag mit anderen teilen:

  • Twitter
  • Facebook
  • FriendFeed
  • t3n Social News
  • del.icio.us
  • MisterWong.DE
  • Digg
  • Identi.ca
  • Technorati
  • RSS
  • E-mail this story to a friend!

5 Antworten zu “Sicher bloggen: WordPress mit wenigen Kniffen vor Angriffen schützen”

  1. #1 Frank schrieb am 06. November 2009 um 11:48

    Zum Theme "Username ändern" möchte ich noch ergänzen, da ich hier im Artikel einen Eintrag in der Datenbank vergessen habe; eventuell kann man das im Artikel nachpflegen.

    UPDATE `wp_users` SET `ID` = '815' WHERE `wp_users`.`ID` = 1;
    UPDATE `wp_usermeta` SET `user_id` = '815' WHERE `wp_usermeta`.`user_id` = 1;
    UPDATE `wp_posts` SET `post_author` = '815' WHERE `wp_posts`.`post_author` = 1;
    UPDATE `wp_links` SET `link_owner` = '815' WHERE `wp_links`.`link_owner` = 1;

  2. #2 nützliche Tweets: 06.11.2009 | preisbiene Blog schrieb am 07. November 2009 um 08:49

    [...] WordPress mit wenigen Kniffen vor Angriffen schützen » #Blog #Wordpress [...]

  3. #3 Wie sichere ich mein Wordpress-Blog vor Angriffen? | Guru 2.0 schrieb am 09. November 2009 um 10:18

    [...] Heft 17 dazu ein informativer und guter Artikel erschienen. Nun könnt ihr euch den Text auch im Online-Archiv durchlesen und hoffentlich danach [...]

  4. #4 Florian Endres schrieb am 09. November 2009 um 13:16

    Die Änderung wurden eingetragen. Der Code ist nun so, wie von Frank in den Kommentaren angemerkt.

  5. #5 Sicher bloggen: WordPress mit wenigen Kniffen vor Angriffen schützen | MartinBaron.net °°° Personal Homepage schrieb am 03. Februar 2010 um 17:50

    [...] Sicher bloggen: WordPress mit wenigen Kniffen vor Angriffen schützen » t3n Magazin. [...]

3 Tweets:

  • Möchten Sie auch hier erscheinen? Dann hier Re-Tweeten

Du hast eine Ergänzung oder Frage zum Artikel? Teile sie jetzt mit!