Kommentare zu: WordPress noch sicherer machen http://www.wordpress-magazin.de/wordpress-noch-sicherer-machen/ Ein Magazin über WordPress und dessen Plugins, Themes, Suchmaschinenoptimierung und die Blogosphäre Sun, 05 Feb 2012 01:32:38 +0000 hourly 1 http://wordpress.org/?v=3.3.1 Von: Felix http://www.wordpress-magazin.de/wordpress-noch-sicherer-machen/#comment-1117 Felix Sat, 10 Oct 2009 10:48:04 +0000 http://www.wordpress-magazin.de/?p=669#comment-1117 Als weiteren Sicherheitstipp würde ich aufführen, unbedingt den Admin-Bereich über HTTPS verschlüsselt laufen zu lassen. Dazu in die wp-config.php die Zeile: define(‘FORCE_SSL_ADMIN’, true); hinzufügen. Ab jetzt ist der Login- und Admin-bereich SSL-verschlüsselt. Als weiteren Sicherheitstipp würde ich aufführen, unbedingt den Admin-Bereich über HTTPS verschlüsselt laufen zu lassen.
Dazu in die wp-config.php die Zeile:

define(‘FORCE_SSL_ADMIN’, true);

hinzufügen. Ab jetzt ist der Login- und Admin-bereich SSL-verschlüsselt.

]]> Von: afrikaurlaub http://www.wordpress-magazin.de/wordpress-noch-sicherer-machen/#comment-1116 afrikaurlaub Sat, 04 Jul 2009 22:04:13 +0000 http://www.wordpress-magazin.de/?p=669#comment-1116 Beim Passwort sollte man einige Regel beachten. 1. min 8 Zeichen lang 2. Groß- und Kleinschreibung verwendt und nicht nur am Anfang groß 3. Ziffern und Sonderzeichen verwendt 4. Keine sinnvollen Worte benutzen 5. etwa alle 90 Tage ein neues Password verwenden Beim Passwort sollte man einige Regel beachten.

1. min 8 Zeichen lang
2. Groß- und Kleinschreibung verwendt und nicht nur am Anfang groß
3. Ziffern und Sonderzeichen verwendt
4. Keine sinnvollen Worte benutzen
5. etwa alle 90 Tage ein neues Password verwenden

]]> Von: Karsten Meier http://www.wordpress-magazin.de/wordpress-noch-sicherer-machen/#comment-1115 Karsten Meier Thu, 11 Jun 2009 16:29:01 +0000 http://www.wordpress-magazin.de/?p=669#comment-1115 Letzten Monat habe ich 800 Webzugriffe auf das Wordpress-Loginformular im meinen Logs gefunden. Allerdings war das Formular an der Stelle gar nicht vorhanden.... Ich habe auch schon viele Aufrufe auf Software gesehen, die ich nicht installiert habe (z.B. phproject) Es wird also offenbar einfach systematisch alles ausprobiert. Ideen wie die Wordpress-Version zu verschleiern bringen da vermutlich wenig. Geholfen hat mir: 1) Meine Installation war in einem Unterverzeichnis. Gezieltere Angriffe lassen sich allerdings davon nicht aufhalten... 2) Mein Passwort ist etwas länger. 800 Versuche reichen dafür nicht... Ein vernünftiges Passwort ist deshalb immer noch der wichtigste Sicherheitstipp. Letzten Monat habe ich 800 Webzugriffe auf das WordPress-Loginformular im meinen Logs gefunden.
Allerdings war das Formular an der Stelle gar nicht vorhanden….
Ich habe auch schon viele Aufrufe auf Software gesehen, die ich nicht installiert habe (z.B. phproject)

Es wird also offenbar einfach systematisch alles ausprobiert. Ideen wie die WordPress-Version zu verschleiern bringen da vermutlich wenig.

Geholfen hat mir:
1) Meine Installation war in einem Unterverzeichnis.
Gezieltere Angriffe lassen sich allerdings davon nicht aufhalten…

2) Mein Passwort ist etwas länger. 800 Versuche reichen dafür nicht…

Ein vernünftiges Passwort ist deshalb immer noch der wichtigste Sicherheitstipp.

]]> Von: Paul Voth » Wordpress noch sicherer machen http://www.wordpress-magazin.de/wordpress-noch-sicherer-machen/#comment-1114 Paul Voth » Wordpress noch sicherer machen Sun, 07 Jun 2009 15:22:48 +0000 http://www.wordpress-magazin.de/?p=669#comment-1114 [...] habe kürzlich im Wordpress-Magazin einen Beitrag gelesen, der für alle Wordpress Betreiber relevant ist bzw. sein sollte. Thema: Wordpress noch [...] [...] habe kürzlich im WordPress-Magazin einen Beitrag gelesen, der für alle WordPress Betreiber relevant ist bzw. sein sollte. Thema: WordPress noch [...]

]]> Von: Sven http://www.wordpress-magazin.de/wordpress-noch-sicherer-machen/#comment-1113 Sven Wed, 13 May 2009 12:07:45 +0000 http://www.wordpress-magazin.de/?p=669#comment-1113 Naja, gut, jetzt steht das mit der Adminlöschung doch hier. Das schadet also nichts. Naja, gut, jetzt steht das mit der Adminlöschung doch hier. Das schadet also nichts.

]]> Von: Thomas Langel http://www.wordpress-magazin.de/wordpress-noch-sicherer-machen/#comment-1112 Thomas Langel Sat, 02 May 2009 10:10:02 +0000 http://www.wordpress-magazin.de/?p=669#comment-1112 Hi Marc, das mit dem admin-User löschen steht schon im ersten Beitrag hier zu dem Thema - wiederholen wollte ich es dann auch nicht. Hi Marc,

das mit dem admin-User löschen steht schon im ersten Beitrag hier zu dem Thema – wiederholen wollte ich es dann auch nicht.

]]> Von: Marc http://www.wordpress-magazin.de/wordpress-noch-sicherer-machen/#comment-1111 Marc Sat, 02 May 2009 08:49:37 +0000 http://www.wordpress-magazin.de/?p=669#comment-1111 Der Kritik von Sergej Müller möchte ich mich mal explizit anschließen. Selten habe ich als Sicherheitslösung für WP etwas so inhaltsloses gelesen. Wenigstens dem Standard der Otto-Normal-Beiträge hätte ein solcher Beitrag doch wohl leicht gereichen können. Selbst der übliche Standardtipp, den Account "admin" zu löschen, hättest du aufführen können. Das hilft zwar nicht viel, erweitert den Beitrag aber schon auf den vierten Tipp. Der Kritik von Sergej Müller möchte ich mich mal explizit anschließen. Selten habe ich als Sicherheitslösung für WP etwas so inhaltsloses gelesen.

Wenigstens dem Standard der Otto-Normal-Beiträge hätte ein solcher Beitrag doch wohl leicht gereichen können. Selbst der übliche Standardtipp, den Account “admin” zu löschen, hättest du aufführen können. Das hilft zwar nicht viel, erweitert den Beitrag aber schon auf den vierten Tipp.

]]> Von: United20 http://www.wordpress-magazin.de/wordpress-noch-sicherer-machen/#comment-1110 United20 Fri, 01 May 2009 08:48:55 +0000 http://www.wordpress-magazin.de/?p=669#comment-1110 Muss leider meinen Vorrednern hier recht geben, dass der Artikel ein wenig oberflächlich ist und einiges nicht ganz der Wahrheit entspricht oder nur halb. Ich selber bin der Meinung, dass in Sachen Sicherheit vielleicht beim Ursprung angefangen werden sollte. Das ist aus meiner Sicht die Programmierung von Wordpress selber und PHP, welches dem Programmierer es einfach macht, unsauber zu entwickeln. Ein Schritt in die richtige Richtung wäre PHP 5, aber dies wird an der Abwärtskompatibilität scheitern. Muss leider meinen Vorrednern hier recht geben, dass der Artikel ein wenig oberflächlich ist und einiges nicht ganz der Wahrheit entspricht oder nur halb. Ich selber bin der Meinung, dass in Sachen Sicherheit vielleicht beim Ursprung angefangen werden sollte. Das ist aus meiner Sicht die Programmierung von WordPress selber und PHP, welches dem Programmierer es einfach macht, unsauber zu entwickeln. Ein Schritt in die richtige Richtung wäre PHP 5, aber dies wird an der Abwärtskompatibilität scheitern.

]]> Von: Ralf http://www.wordpress-magazin.de/wordpress-noch-sicherer-machen/#comment-1109 Ralf Wed, 29 Apr 2009 20:12:38 +0000 http://www.wordpress-magazin.de/?p=669#comment-1109 Die WP-Suche als Sicherheitslücke weil sie ein Eingabefeld enthält? An dem Punkt bin ich auch sehr stutzig geworden. Diese Sicherheitslücke wurde in Version 1.5 oder 2.0 geschlossen. Ansonsten könnte man auch gleich die Kommentare schließen, da gibt es auch Eingabefelder ;) WP sicher zu halten ist leider nicht so einfach wie es oft dargestellt wird. Ein bisschen rumfummeln an der .htaccess, ein paar Schreibrechte setzen und dann noch hier und da ein paar Funktionen deaktivieren wird nicht immer zum Erfolg führen. Gerade wenn man mit einer älteren WP-Version arbeitet. Die Angriffspunkte sind dort oft anderer Natur. Leider werden bei älteren Versionen keine Sicherheitslücken mehr geschlossen. Man ist also als WP-Nutzer auf Gedeih und Verderb auf Updates angewiesen. Ein Update ist aber wiederum nicht immer die beste Lösung. Entweder funktionieren die lieb gewonnenen Plugins nicht mehr. Oder man hat sich sein WP (u.U. mit eigenen Plugins) mühevoll angepasst. Oder man müsste nun eine ganze Reihe von Leuten auf eine neue Version schulen weil man das Blog im Unternehmen einsetzt. Usw. Usf. Zudem gibt es wohl bei einigen Benutzern mittlerweile eine Update-Müdigkeit. Kaum hat man sich an die neue Version gewöhnt, steht schon die nächste in den Startlöchern. Sinnvoller als die tausendste Wiederholung von "Sicherheitsratschlägen" wäre es Sicherheitslücken auch in älteren WP-Versionen zu stopfen. Die WP-Suche als Sicherheitslücke weil sie ein Eingabefeld enthält? An dem Punkt bin ich auch sehr stutzig geworden. Diese Sicherheitslücke wurde in Version 1.5 oder 2.0 geschlossen. Ansonsten könnte man auch gleich die Kommentare schließen, da gibt es auch Eingabefelder ;)

WP sicher zu halten ist leider nicht so einfach wie es oft dargestellt wird. Ein bisschen rumfummeln an der .htaccess, ein paar Schreibrechte setzen und dann noch hier und da ein paar Funktionen deaktivieren wird nicht immer zum Erfolg führen. Gerade wenn man mit einer älteren WP-Version arbeitet.
Die Angriffspunkte sind dort oft anderer Natur. Leider werden bei älteren Versionen keine Sicherheitslücken mehr geschlossen. Man ist also als WP-Nutzer auf Gedeih und Verderb auf Updates angewiesen.
Ein Update ist aber wiederum nicht immer die beste Lösung. Entweder funktionieren die lieb gewonnenen Plugins nicht mehr. Oder man hat sich sein WP (u.U. mit eigenen Plugins) mühevoll angepasst. Oder man müsste nun eine ganze Reihe von Leuten auf eine neue Version schulen weil man das Blog im Unternehmen einsetzt. Usw. Usf. Zudem gibt es wohl bei einigen Benutzern mittlerweile eine Update-Müdigkeit. Kaum hat man sich an die neue Version gewöhnt, steht schon die nächste in den Startlöchern.

Sinnvoller als die tausendste Wiederholung von “Sicherheitsratschlägen” wäre es Sicherheitslücken auch in älteren WP-Versionen zu stopfen.

]]> Von: Thomas Langel http://www.wordpress-magazin.de/wordpress-noch-sicherer-machen/#comment-1108 Thomas Langel Wed, 29 Apr 2009 17:04:01 +0000 http://www.wordpress-magazin.de/?p=669#comment-1108 Hi Thomas, Danke für deinen Hinweis zum Thema XSS Injection. Das mit Plugins und Komplexität stimmt natürlich, andererseits ist nicht jeder in der Lage eine .htaccess-Datei richtig anzupassen und hat von Schreibrechten keine Ahnung. Von daher lieber ein Plugin, was die Sache erleichtert und (mit Sicherheit) eine geringere Hemmschwelle hat. Gruss, Thomas Hi Thomas,

Danke für deinen Hinweis zum Thema XSS Injection.

Das mit Plugins und Komplexität stimmt natürlich, andererseits ist nicht jeder in der Lage eine .htaccess-Datei richtig anzupassen und hat von Schreibrechten keine Ahnung. Von daher lieber ein Plugin, was die Sache erleichtert und (mit Sicherheit) eine geringere Hemmschwelle hat.

Gruss,
Thomas

]]>