Du hast deinen AdBlocker an?

Es wäre ein Traum, wenn du ihn für t3n.de deaktivierst. Wir zeigen dir gerne, wie das geht. Und natürlich erklären wir dir auch, warum uns das so wichtig ist. Digitales High-five, deine t3n-Redaktion

t3n 17

Sicher bloggen: WordPress mit wenigen Kniffen vor Angriffen schützen

    Sicher bloggen: WordPress mit wenigen Kniffen vor Angriffen schützen

WordPress erfreut sich großer Popularität und rückt damit auch in das Visier von Menschen, die sich unbefugt Zutritt verschaffen wollen. Wie bei jeder Open-Source-Software können Entwickler wie auch Angreifer gleichermaßen den Code einsehen. Die Gefahr von Spam-Links, einer Zerstörung des Blogs und anderen Angriffen ist daher hoch – könnte man meinen. Doch wie dieser Artikel zeigt, sind die Möglichkeiten, WordPress abzusichern, sehr vielschichtig.

Es gibt viele Wege, um eine WordPress-Installation abzusichern. In diesem Artikel werden lediglich jene beleuchtet, die mit geringem Aufwand in WordPress realisiert werden können. Eine Gewichtung ist dabei nur schwer möglich und im Einzelfall immer abhängig von den unterschiedlichen zur Verfügung stehenden Möglichkeiten. Hat man beispielsweise die Option, auf die Konfiguration des Servers zuzugreifen, kann bereits im Vorfeld ein hohes Maß an Sicherheit erreicht werden. Hier soll es lediglich um Sicherheitseinstellungen innerhalb von WordPress gehen.

WordPress sicher installieren

WordPress ist für seine einfache und unkomplizierte Installation bekannt. Diese Tatsache hat unter anderem zur Popularität der Software beigetragen, sorgt aber ebenso dafür, dass viele Einstellungen auf unterschiedlichsten Installationen gleich sind. Dies ermöglicht es Hackern, auf diverse Ausgangspositionen aufzusetzen und sich unbefugten Zutritt zu verschaffen.

Bereits bei der Installation von WordPress sollte man deshalb einige Punkte beachten, die dazu beitragen, dass das eigene Blog weniger Gemeinsamkeiten mit einer Default-WordPress-Installation hat. Eine Installation, die vom Standard abweicht, erschwert potenziellen Eindringlingen den unauthorisierten Zugang. In diesem Zusammenhang sollte man einige Punkte beim Aufsetzen einer neuen Installation von WordPress beachten.

Alle Tipps beschränken sich auf die Möglichkeiten der Basisinstallation ohne Erweiterungen. Es existieren allerdings auch einige nützliche Plugins für mehr Sicherheit in WordPress, die besonders für weniger versierte Nutzer eine Alternative darstellen.

Tabelle-Präfix

Der Zugang zur Datenbank wird in der Datei wp-config.php konfiguriert. In dieser Datei wird auch das Tabellen-Präfix definiert, mit dem WordPress bei der Installation alle erforderlichen Tabellen anlegt. Standardmäßig handelt es sich hierbei um das Präfix „wp_“. Sie sollten immer ein fiktives Präfix vergeben, das nicht dem Standard entspricht. Außerdem sollten Sie darauf achten, dass Sie ausschließlich Zahlen, Buchstaben und Unterstriche verwenden, denn andere Zeichen werden nicht unterstützt.

Authentication Unique Keys

Ebenfalls in der Datei wp-config.php haben Sie die Möglichkeit, vier Sicherheitsschlüssel zu definieren, die die Sicherheit von WordPress erhöhen. Die Schlüssel erzeugen Sie entweder manuell oder über einen Generator von wordpress.org [1]. Die vier Schlüssel sind verschiedenen Cookies zugeordnet und werden an unterschiedlichen Stellen genutzt, um die Sicherheit von WordPress zu erhöhen, daher ist es auch wichtig, dass jede Installation unterschiedliche Schlüssel hat. Die relevanten Schlüssel sind folgende:

AUTH_KEY Wird genutzt für unsichere Verbindungen via http.
SECURE_AUTH_KEY Mit dieser Konstante lässt sich eine gesicherte Verbindung über https realisieren.
LOGGED_IN_KEY Hält fest, ob sich ein Nutzer eingeloggt hat; nicht administrativer Cookie.
NONCE_KEY Kommt unter anderem bei $_POST-Abfragen von WordPress zum Einsatz und kann durch Erweiterungen mit der Funktion wp_nonce() genutzt werden.

Wird eine bestehende Installation von WordPress aktualisiert, sollten die Schlüssel entsprechend ergänzt werden, hier am Beispiel von AUTH_KEY:

PHP

define('AUTH_KEY', 'put your unique phrase here'); // Hier gehört eine beliebige, möglichst zufällige Phrase rein

Listing 1

Links und Literatur

  1. Authentication Unique Keys Generator
  2. Secure WordPress Plugin
  3. Suchen & Ersetzen Plugin
  4. Secure WordPress Plugin
  5. AskApache Password Protect

Finde einen Job, den du liebst zum Thema TYPO3, PHP

4 Reaktionen
Hier Viel mehr

Okay, meckern können wir alle. Wie wäre es mit etwas Konstruktivem, Mr. Kreativ…? Ich hätte mir am Ende des Artikels schon ein paar mehr Fakten erwünscht. So bleibt es einfach nur ein billiger Abklatsch von Weisheiten, die wir schon aus “Fight Club” kennen. Sorry. Von Leuten, die auf hohem Niveau meckern, halte ich GAR NICHTS.

Antworten
FrankieFilm

Долго, долго искал и вот оно... случайно наткнулся на Вашу изумительную статью

Antworten
Florian Endres

Die Änderung wurden eingetragen. Der Code ist nun so, wie von Frank in den Kommentaren angemerkt.

Antworten
Frank

Zum Theme "Username ändern" möchte ich noch ergänzen, da ich hier im Artikel einen Eintrag in der Datenbank vergessen habe; eventuell kann man das im Artikel nachpflegen.

UPDATE `wp_users` SET `ID` = '815' WHERE `wp_users`.`ID` = 1;
UPDATE `wp_usermeta` SET `user_id` = '815' WHERE `wp_usermeta`.`user_id` = 1;
UPDATE `wp_posts` SET `post_author` = '815' WHERE `wp_posts`.`post_author` = 1;
UPDATE `wp_links` SET `link_owner` = '815' WHERE `wp_links`.`link_owner` = 1;

Antworten

Melde dich mit deinem t3n-Account an oder fülle die unteren Felder aus.

Abbrechen