28. April 2009 von Thomas Langel
Das Thema Sicherheit wird von vielen in Bezug auf WordPress unterschätzt. Eine WordPress-Installation ist immer eine beliebte Anlaufstelle für Exploits und XSS Injections. Wer immer die verfügbaren Updates von wordpress.org bzw. wordpress-deutschland.org einspielt (und von keiner anderen Seite!), ist in der Regel auf der sicheren Seite, allerdings ist das auch kein Garant für ein sicheres WordPress.
Um dem ein wenig vorzubeugen, habe ich mich mal auf die Suche nach ein paar Möglichkeiten gemacht, WordPress sicher(er) zu machen. mehr »
Stichworte: Security, Sicherheit
Veröffentlicht in Installation, Sicherheit | 14 Kommentare
18. Januar 2009 von Valentin Tomaschek
Den Admin-User beim WordPress-Blog zu löschen oder umzubenennen hatten wir schon erklärt. Ein möglichst sicheres Passwort sollte auch eine Selbstverständlichkeit sein. Eine weitere Sicherheitsmaßnahme gibt es nun bei Texteo: Das Plugin “WordPress Plugin Limit Login Attempts” beschränkt die Anzahl der Versuche zum Anmelden.
Das Plugin einfach downloaden, aktivieren und die selbsterklärenden Einstellungen vornehmen.
Noch ein Tipp: Sergej von wpSEO.de hat noch weitere hilfreiche Anleitungen wie ihr euer WordPress sicherer machen könnt.
Stichworte: Admin, Anmeldung, Plugin, User
Veröffentlicht in Plugin, Sicherheit | 6 Kommentare
9. September 2008 von Valentin Tomaschek
Frisch eingetroffen und unbedingt empfehlenswert: WordPress 2.6.2
In erster Linie schliesst das Sicherheitsupdate eine Lücke die Blogs betreffen welche die offene Benutzerregistrierung erlauben. Doch auch davon ab, ist das Update für Alle empfehlenswert.
Download auf wordpress.org
Download von WordPress Deutschland (noch nicht verfügbar)
Upgrade Anleitung
Stichworte: 2.6.2, Sicherheitsupdate, Version, WordPress
Veröffentlicht in Sicherheit, Versionen | 4 Kommentare
29. August 2008 von Valentin Tomaschek
Sollte eigentlich nie vorkommen, aber ausschliessen kann man es auch nicht. Man hat das Passwort seines Admin-Accounts bei WordPress vergessen und ein Zurücksetzen über den Link “Passwort vergessen?” funktioniert auch nicht.
Es gibt sicherlich die Möglichkeit das Passwort durch PHPMyadmin wieder zu ändern, doch für einen unerfahrenen Benutzer kann dies schwierig sein. In jedem Fall sollte man vorher ein komplettes Backup machen.
Eine sehr einfache Möglichkeit, ist das Skript “WordPress Emergency Password Script“. Dies setzt voraus, dass ein Zugriff auf den Webspace vorhanden und der Admin-Username bekannt ist.
Anleitung:
mehr »
Stichworte: Admin, Passwort, Passwortreset
Veröffentlicht in Sicherheit, User | 10 Kommentare
15. August 2008 von Valentin Tomaschek
Ab sofort steht auf WordPress.org die WordPress Version 2.6.1 zum download bereit.
Es wurde wohl ein Performance Problem im Backend behoben und einige Bugs für IIS-User. Eine genaue Liste gibt es hier.
Die deutsche Version steht auf noch nicht zur Verfügung, aber wie wir WordPress-Deutschland.org kennen, sollte das nicht lange dauern und ihr könnt auch dort die neue Version runterladen.
Update: Die deutsche WordPress Version ist nun auch verfügbar.
Stichworte: 2.6.1, WordPress
Veröffentlicht in Sicherheit, Versionen | 2 Kommentare
12. August 2008 von Thomas Langel
Ohne Datenbank und vorallem ohne die Datenbank-Einträge geht bei WordPress nichts. Sind die Einträge weg, steht man erstmal mit komplett leerem Blog da. Daher sollte man in regelmäßigen Abständen die Datenbank-Einträge sichern.
Natürlich bietet die Entwickler-Gemeinde hier hervorragende Plugins. Eines davon ist WP-DBManager von lesterchan. Ich weiß, dass ich die Seite schonmal erwähnt habe – aber die Jungs (und Mädels) da machen einfach super Plugins.
Die Vorgehensweise ist WordPress-like gewohnt einfach: WP-DBManager herunterladen und entpacken. Den entpackten Ordner in das Verzeichnis /wp-content/plugins hochladen und im Plugin-Menü aktivieren.
Man sieht dann in der Hauptnavigation einen neuen Eintrag “Database”, über den man unter dem Punkt DB Options weitere Einstellungen vornehmen muss. Bei meinem Hoster funktionerte der Schalter “Auto Detect” für den Pfad-Eintrag zur mysqldump und mysql Datei. Falls es hier Probleme geben sollte, schaut euch mal in der FAQ eures Hosters um – dort sollte ein Hinweis zu den Pfaden zu finden sein. Im Zweifelsfall kann man ja auch immer noch den Support kontaktieren.
mehr »
Stichworte: BackUp, Datenbank, Datenbank-Sicherheit
Veröffentlicht in Plugin, Sicherheit | 15 Kommentare
11. August 2008 von Thomas Langel
Im WordPress-Quelltext wird normalerweise innerhalb der Meta-Tags die Versionsnummer angegeben. An sich ist das kein Problem und dient wohl vor allem den Entwicklern von WordPress dazu, zu wissen, welche Version der Software weltweit im Einsatz ist.
Allerdings ist dieser Eintrag auch ein gefundenes Fressen für Hacker-Angriffe. Es gibt ja viele Seiten, die sich mit Sicherheitslücken in verschiedenen Applikationen beschäftigen. So findet man auf diesen Seiten auch den Exploit, also die Beschreibung der Sicherheitslücke und Versionen der Software, innerhalb der die Lücken angewendet werden können. Jemand, der sich solche Lücken zu Nutze machen will, muss also lediglich nach der Versionsnummer im Quelltext suchen und kann so sehr schnell entscheiden, ob sich ein Angriff lohnt oder nicht.
mehr »
Stichworte: Security, WordPress
Veröffentlicht in Sicherheit | 12 Kommentare
10. August 2008 von Valentin Tomaschek
Das Tolle an einem Blog: Er ist sehr lebendig und direkt nach der Veröffentlichung des WordPress-Magazin kamen schon die ersten Kommentare mit Hinweisen für neue Artikel.
Stefan merkte in den Kommentaren an, dass der Name des admin-Users aus Sicherheitsgründen geändert werden sollte. Dies ist natürlich richtig und lässt sich offensichtlich auf zwei unterschiedliche Arten umsetzen:
Der direkte Eingriff in die Datenbank. Dazu muss man per PHPMyadmin in der Datenbank des WordPress Blogs zur Tabelle der User browsen und dort in “user_login” den Namen des admin-Users ändern. (Hier eine Anleitung in Englisch)
Die zweite Möglichkeit ist hier beschrieben. Dort geht es darum einfach den admin-User zu löschen und sich einen neuen admin-User unter einem beliebigen Namen zu erstellen. Für unerfahrene Benutzer die sich mit Mysql nicht so auskennen sicherlich die bessere Lösung.
Auf alle Fälle gilt wie immer: Vorher ein Backup machen!
Danke an Stefan und Ute für diese Hinweise.
Stichworte: BackUp, Datenbank, MySQL
Veröffentlicht in Sicherheit, User | 14 Kommentare
