Prinzipiell kann jedes Verzeichnis geschützt werden, dabei kommt dem Ordner „wp-admin“ eine erhöhte Bedeutung zu, denn dort sind die Dateien für den Zugriff auf das Backend hinterlegt. Der Zugriff wird über wp-login.php gesteuert und WordPress leitet immer dort hin um, egal welcher Aufruf in wp-admin unauthorisiert erfolgt. Dabei muss zusätzliche eine .htpasswd-Datei erzeugt werden, die User und Passwort enthält. Diverse Onlinegeneratoren können beim Erstellen der Dateiinhalte helfen.
# protect wp-login.php <files wp-login.php> AuthName "Admin-Bereich" AuthType Basic AuthUserFile /your_lokal_path/.htpasswd require valid-user </files>
Listing 10
Wie schon erwähnt, enthält die Datei „wp-config.php“ die Zugänge zur Datenbank, was sie besonders schützenswert macht. Wenige Zeilen in der .htaccess des Root helfen hierbei.
# protect wp-config.php <files wp-config.php> Order deny,allow deny from all </files>
Listing 11
Sollte die Serverumgebung eine offene Verzeichnisumgebung zulassen, empfiehlt es sich, entweder die angesprochene index.html im jeweiligen Verzeichnis abzulegen oder per „Options Indexes“ in der .htaccess den Zugriff zu sperren.
Auch die Ordner „wp-content“ und „wp-includes“ sind schützenswert. Die folgende Syntax zeigt eine einfache Variante, um den jeweiligen Ordner zu schützen.
Order Allow,Deny Deny from all <Files ~ "js/tinymce/*.$"> Allow from all </Files> <Files ~ "\.(css|jpe?g|png|gif|js)$"> Allow from all </Files>
Listing 12
Die Dateiformate sollten also unbedingt angepasst sowie gegebenenfalls erweitert und getestet werden. Als Alternative steht Ihnen auch hier eine Plugin-Lösung bereit, die die Sicherheit stark erhöhen kann und Ihnen die Arbeit abnimmt: AskApache Password Protect [5].
Fazit
PHP und Sicherheit wurden und werden häufig im Zusammenhang diskutiert, mitunter treibt dieses Thema Web-Programmierern den Schweiß auf die Stirn. Sicherheit mit PHP ist jedoch keine „Geheimwissenschaft“, bereits mit wenigen Grundlagen kann man eine WordPress-Erweiterung sicherer machen. Auch WordPress selbst liefert dazu Funktionen. WordPress wird viel genutzt, unter unterschiedlichen Konfigurationen und PHP-Versionen, so dass man das Thema vielschichtig und komplex behandeln kann. Die vorgestellten Tipps sind einfache und fast überall umsetzbare Hinweise, die man nicht leichtfertig ignorieren sollte, wenn man sein Blog kontrolliert administrieren will.
Frank Bültge arbeitet als Software-Architekt im Bereich SAP und NonSAP-Applikationen, beschäftigt sich leidenschaftlich mit WordPress und entwickelt in diesem Umfeld Lösungen. Einen Großteil seiner Zeit ist er bei WordPress Deutschland und Inpsyde (inpsyde.com) tätig. Er bloggt unter anderem auf bueltge.de und hat aktuell sein zweites Buch zu WordPress veröffentlicht www.wordpressbuch.de.
![WordPress: Spannende Zahlen und Fakten vom „Chef“ [Video]](http://t3n.de/uploads/t3n-news-post-326582_MattMullenweg_Wordpress_medium.jpg)
9 Antworten
von Frank 06.11.2009 (11:48Uhr) 1.
Zum Theme "Username ändern" möchte ich noch ergänzen, da ich hier im Artikel einen Eintrag in der Datenbank vergessen habe; eventuell kann man das im Artikel nachpflegen.
UPDATE `wp_users` SET `ID` = '815' WHERE `wp_users`.`ID` = 1;
UPDATE `wp_usermeta` SET `user_id` = '815' WHERE `wp_usermeta`.`user_id` = 1;
UPDATE `wp_posts` SET `post_author` = '815' WHERE `wp_posts`.`post_author` = 1;
UPDATE `wp_links` SET `link_owner` = '815' WHERE `wp_links`.`link_owner` = 1;
von nützliche Tweets: 06.11.2009 | preisbie… 07.11.2009 (08:49Uhr) 2.
[...] WordPress mit wenigen Kniffen vor Angriffen schützen » #Blog #Wordpress [...]
von Wie sichere ich mein Wordpress-Blog vor… 09.11.2009 (10:18Uhr) 3.
[...] Heft 17 dazu ein informativer und guter Artikel erschienen. Nun könnt ihr euch den Text auch im Online-Archiv durchlesen und hoffentlich danach [...]
von Florian Endres 09.11.2009 (13:16Uhr) 4.
Die Änderung wurden eingetragen. Der Code ist nun so, wie von Frank in den Kommentaren angemerkt.
von Sicher bloggen: WordPress mit wenigen Kn… 03.02.2010 (17:50Uhr) 5.
[...] Sicher bloggen: WordPress mit wenigen Kniffen vor Angriffen schützen » t3n Magazin. [...]
von WordPress gehackt – was tun, eine… 16.04.2010 (21:41Uhr) 6.
[...] WordPress mit wenigen Kniffen vor Angriffen schützen [...]
von Wordpress sicherer machen | galuba dot n… 20.04.2010 (14:47Uhr) 7.
[...] WordPress mit wenigen Kniffen vor Angriffen schützen [...]
von FrankieFilm 29.04.2010 (18:27Uhr) 8.
Долго, долго искал и вот оно... случайно наткнулся на Вашу изумительную статью
von WordPress gehackt – was tun, eine… 30.05.2010 (20:17Uhr) 9.
[...] WordPress mit wenigen Kniffen vor Angriffen schützen [...]