Datei- und Verzeichnisrechte

Unterscheiden Sie die Rechte der Dateien und Verzeichnisse angemessen. Je nach Arbeitsweise – ob Dateien in Themes und Plugins aus dem Backend heraus bearbeitet werden sollen oder ob Dateien abgelegt werden – sollten Sie die Rechte entsprechend setzen. Eingeschränkte Rechte erschweren es einem Angreifer, die Dateien und Verzeichnisse zu verändern.

Suchmaschinen nehmen in der Regel bis zu einer gewisse Tiefe, was sie bekommen können. Verhindern Sie mit Hilfe der Datei „robots.txt“ diesen Zugriff. Die internen Verzeichnisse von WordPress sollten in keinem Suchergebnis auftauchen – ein einfaches „Disallow“ genügt.

Je nach Serverkonfiguration besteht die Möglichkeit, dass man die Inhalte der Ordner im Browser listen kann. Dies gilt es zu verhindern, was durch das Ablegen einer leeren „index.html“ im jeweiligen Verzeichnis schnell erledigt ist. Alternativ kann dies mit Hilfe des Plugins „Secure WordPress“ [2] erledigt werden.

wp-content umbenennen

Alle Erweiterungen, Dateien und Themes werden bei der Standardinstallation im Ordner „wp-content“ abgelegt. Oft öffnen Themes oder Plugins eine Sicherheitslücke im System, daher ist es seit Version 2.6 möglich, diesem Ordner einen willkürlichen Namen zu geben und den Ordner an anderer Stelle abzulegen. Bei einer Neuinstallation ist das einfach und schnell gemacht. Es kann lediglich zu Problemen mit Plugins oder Themes führen, da nicht alle Autoren diesen Pfad mit Hilfe der bereitgestellten Konstanten und Funktionen abfragen. Daher ist diese Möglichkeit nur versierten Nutzern zu empfehlen.

Um den Ordner neu zu definieren, genügt es, diesen mit Hilfe der Konstanten in der wp-config.php festzulegen.

define('WP_CONTENT_DIR', ABSPATH . 'test');    // wp-content Directory
define('WP_CONTENT_URL', 'http://examble.com/test');    // wp-content UR

Gesicherter Zugang

Mit der Version 2.6 ist eine neue Möglichkeit hinzugekommen, das Backend der Installation abzusichern: der Zugriff via SSL – Secure Sockets Layer ist ein Verschlüsselungsprotokoll zur Übertragung von Daten. Ihr Webspace-Provider muss die Nutzung von SSL allerdings unterstützen. Ist dies der Fall, können Sie das Protokoll in der wp-config.php aktivieren. Um die Möglichkeiten von SSL im Bereich des Backend zu nutzen, müssen Sie die Konstante „FORCE_SSL_LOGIN“ mit „TRUE“ definieren. Von nun an werden alle Daten im Backend verschlüsselt übertragen.

define ('FORCE_SSL_LOGIN', true);

Sicherheit bestehender Installationen

Auch bestehende Blogs können mit einigen Handgriffen sicherer gestaltet werden. Ist das Blog bereits aktiv und die Datenbank gefüllt, kann das Ändern des Tabellenpräfix fatale Folgen haben. Trotzdem besteht auch hier die Möglichkeit, dem Standard-Präfix den Rücken zu kehren. Dazu sind diverse Schritte mit Hilfe von SQL nötig, die Sie in der dafür zuständigen Oberfläche ausführen. Alternativ kann man diesen Weg mit Hilfe eines Plugins beschreiten. Jede Änderung an der Datenbank bedarf einer Sicherung der aktuellen Datenbank im Vorfeld.

Um alle zehn Standard-Tabellen zu ändern, sind folgende SQL-Anweisungen notwendig. Habe Sie weitere Tabellen, zum Beispiel durch Plugins, müssen in der Regel auch dort die Präfixe geändert werden. Passen Sie das Beispiel „wp_i1d_“ Ihren Anforderungen an.

RENAME TABLE wp_comments to wp_i1d_comments;
RENAME TABLE wp_links to wp_i1d_links;
RENAME TABLE wp_options to wp_i1d_options;
RENAME TABLE wp_postmeta to wp_i1d_postmeta;
RENAME TABLE wp_posts to wp_i1d_posts;
RENAME TABLE wp_terms to wp_i1d_terms;
RENAME TABLE wp_term_relationships to wp_i1d_term_relationships;
RENAME TABLE wp_term_taxonomy to i1d_term_taxonomy;
RENAME TABLE wp_usermeta to wp_i1d_usermeta;
RENAME TABLE wp_users to wp_i1d_users;

Leider nutzt WordPress bei der Installation das vergebene Präfix auch, um einige Felder in den Tabellen „options“ und „usermeta“ eindeutig zu benennen. Daher müssen Sie auch diese Felder umbenennen.

UPDATE wp_i1d_options SET option_name = REPLACE(option_name, ’wp_’, ’wp_i1d_’);
UPDATE wp_i1d_usermeta SET meta_key = REPLACE(meta_key, ’wp_’, ’wp_i1d_’);

Da auch Plugins eventuell Felder mit dem Präfix anlegen können, ist es ratsam, wenn Sie nun die Datenbank nach dem alten Präfix durchsuchen und die gefundenen Werte ebenso ändern.

SELECT * FROM wp_i1d_options WHERE option_name LIKE ’wp_%’;
SELECT * FROM wp_i1d_usermeta WHERE meta_key LIKE ’wp_%’;