Home > Wordpress > WordPress Blogs absichern

WordPress Blogs absichern

19. August 2009 Einen Kommentar schreiben Kommentare

Jede CMS Installation sollte abgesichert werden. Dazu gibt es jeweils für die verschiedenen CMS System Anleitungen.

Gerade bei weit verbreiteten Systemen wie WordPress gibt es immr wieder Berichte über gehackte WordPress-Installationen bei denen oftmals von Angreifern Beitragsinhalte verändert, Spamlinks eingefügt und per CSS versteckt wurden. Genauso ist es durch einen Hacker möglich alle Beiträge zu löschen oder sonstigen Unfug zu treiben.

Auf cywahle.de ist ein Tutorial veröffentlich worden wie man WordPress absichern kann:
http://www.cywhale.de/sicherheit-wordpress-absichern/

Update:
Unter folgender Adresse sind weitere Tipps zu finden:
http://www.agenturblog.de/2008-01/wordpress-sicherer-machen-acht-tipps-fuer-den-hausgebrauch/

Interessant dabei vorallem die Einschränkung des Adminbereichs auf den Zugriff nur von bestimmten IP Adressen:

AuthUserFile /dev/null
AuthGroupFile /dev/null
AuthName “Access Control”
AuthType Basic

order deny,allow
deny from all
# whitelist home IP address
allow from 64.233.169.99
# whitelist work IP address
allow from 69.147.114.210
allow from 199.239.136.200
# IP while in Kentucky; delete when back
allow from 128.163.2.27

Die IP Adressen müssen natürlich durch die eigenen IP Adressen ersetzt werden.

Um die Ausgabe der wp_head() Funktion zu beeinflussen, lassen sich mit einfachen Funktionen verschiedene Ausgaben unterdrücken. Dies ohne an den core Dateien veränderungen vornehmen zu müssen:

#remove_action('wp_head', 'title of what needs removing');
remove_action('wp_head', 'rsd_link');
remove_action('wp_head', 'wlwmanifest_link');
remove_action('wp_head', 'wp_generator');

Weitere Informationen dazu bei AKPC_IDS += "1330,";

Popularity: 1% [?]

Related Posts:

Twitter It!
KategorienWordpress Tags: , ,
  1. walter
    20. Juni 2011, 11:43 | #1
    Antwort | Zitat

    … Die IP Adressen müssen natürlich durch die eigenen IP Adressen ersetzt werden. …
    Ich behaupte die Mehrzahl der Menschheit verfügt nicht über feste IP Adressen, der unbedarfte Nutzer könnte sich selbst aussperren. Klar es wäre eine Möglichkeit die IP auf 127.0.0.1 – also localhost – zu setzen, dies setzt jedoch voraus das die Anwendung auf einem System läuft auf das der Betreiber (Administrator) Shell-Zugriff (Stichworte: ssh, x11 forward, etc.) hat. Um die Sicherheit in solch einer Umgebung zu erhöhen sollte natürlich die ssh Anmeldung nicht über ein Passwort erfolgen sondern über einen x509 Key (egal ob der ‘hausgemacht’ ala openssl ist oder von einer CA stammt) realisiert werden.

  2. Lukas Blatter
    20. Juni 2011, 11:48 | #2
    Antwort | Zitat

    Richtig. Um Einschränkungen über eine IP zu ermöglichen, ist idealerweise eine fixe IP Adresse notwendig. Allerdings kann man den Zugriff auch auf ein Subnetz einschränken. Damit haben zwar mehr Personen (alle ADSL User des Providers) Zugriff auf das Backend, es ist dennoch sicherer als ganz offen zu sein.

    Alternativ kann man natürlich eine .htaccess Authentifizierung nutzen.

  1. Bisher keine Trackbacks

Get Adobe Flash playerPlugin by wpburn.com wordpress themes