|
||||
Sinnvolle Aktionen zur Sicherheit von Wordpress??
Moin moin,
ich hab mir mal probeweise das WP-Plugin Ultimate Security Check installiert und laufen lassen. Dort werden bei den Auswertungen versch. Vorschläge gemacht wie ich die Sicherheit meines Blogs erhöhen kann. Ein paar hab ich schon wie z.B. das Plugin Limit Login Attempts, die Dateiberechtigung der .htaccess auf 644 gesetzt, anderen Loginnamen, Passwort mit Groß/Kleinschreibung und Zahlen, komplizierten Tabellen-Präfix,etc.. Von diesem Plugin werden weitere Vorschläge zur Erhöhung der Sicherheit gemacht: Your uploads directory is browsable from the web. Put an empty index.php to your uploads folder. Changing config file rights. According to WordPress Codex you should change rights to wp-config.php to 400 or 440 or 444 to lock it from other users. In real life a lot of hosts won't allow you to set the last digit to 0, because they configured their webservers the wrong way. Be careful hosting on web hostings like this. It's better to turn off file editor for plugins and themes in wordpress admin. You're not often editing your theme or plugins source code in WordPress admin? Don't let potential hacker do this for you. Add DISALLOW_FILE_EDIT option to wp-config.php PHP-Code:
When WordPress version which is used in your blog is known, hacker can find proper exploit for exact version of WordPRess. To remove WordPress version you should do two things: check if it's not hardcoded in header.php or index.php of your current theme(search for '') add few lines of code to functions.php in your current theme: PHP-Code:
By default WordPress will show you what was wrong with your login credentials - login or password. This will allow hackers to start a brute force attack to get your password once they know the login. Add few lines of code to functions.php in your current theme: PHP-Code:
PHP-Code:
__________________
Ein mehrfacher Gruß aus dem Südosten Klaus |
Sponsored Links |
Sponsored Links |
|
||||
Passend dazu, gerade vorhin das über rivva.de gefunden
Tipps zur Sicherheit von WordPress | Elmastudio Manche Sachen sind sicher übertrieben bzw. übervorsichtig, aber es sind auf jeden Fall alles Maßnahmen die manche sicherheitsrelevante Dinge verhindern. |
|
||||
Zitat:
Ich setze das bei eigenen Projekten immer so um, es gibt keinen Hinweis darauf ob der Nutzername überhaupt existiert. Ich weiß nicht was in Wordpress oder Plugins mit dieser Variable angefangen wird. Grundsätzlich sollte man Nutzereingaben (und die Request-URI ist eine Nutzereingabe) nie ohne Überprüfung verwenden und am besten gar nicht direkt weiterverarbeiten. Wenn die Entwickler ihren Job gut gemacht haben ist das Plugin also überflüssig, möglicherweise führt es auch zu ungewünschten Effekten. Was wenn du einen Artikel über base64 veröffentlichen willst? |
|
||||
vielen Dank für eure Hilfe!
Zitat:
Das höre ich zum ersten mal, dass die Ergänzung des Tabellenpräfix aus Sicherheitsgründen totaler Quatsch ist. Finde ich deshalb auch sehr interressant! Es könnte ja sein dass sowas mal vor Jahren von irgendeinem WP-Crack empfohlen wurde und alle anderen haben hinterher davon abgeschrieben ohne dass in Frage zu stellen. Solche Verhaltensweisen sind mir immer mal wieder begegnet, in der Fotografie z.B. gibt es das auch öfter.
__________________
Ein mehrfacher Gruß aus dem Südosten Klaus |
|
||||
Zitat:
Wie soll die Sicherheit denn dadurch verbessert werden? Um Zugriff auf die Datenbank zu erlangen braucht man Zugangsdaten, an diese kommt man in der Regel erst heran, wenn man die Anwendung geknackt und somit auch Zugriff auf die Konfiguration hat. Das Tabellenprefix kann man da aber ganz bequem auslesen, also was bringt mir das nun? |
|
||||
Zitat:
Nimm das und das und das und das und das.......usw. usw. Die ersten beiden sind eher bekannte WP-Größen, der Zweite Frank Bültge ist sogar im WP-Entwicklerteam. Vielleicht liege ich mit meinem unreflektiert abgeschrieben nicht so falsch.
__________________
Ein mehrfacher Gruß aus dem Südosten Klaus |
|
||||
Wie gesagt, ich nutze Wordpress nicht, daher kenne ich auch kaum Beiträge zu dem Thema (eigentlich nichts was nicht in Toschos Blog steht). Ich habe die Links jetzt nur überflogen, aber neue Argumente warum das die Sicherheit erhöht konnte ich nicht entdecken. Schaden wird es sicher auch nicht, sonst würden es wohl nicht so viele Leute empfehlen.
|
Sponsored Links |
|
||||
Zitat:
Zitat:
Genauso könnte ich dann eine hackerhierrein.php im Root ablegen und das zum wichtigen Baustein zur Sicherheit von WP erklären. Nein im Ernst, ich glaub ich stell das mal bei Google+ und bei Xing rein (alles mit gegenseitiger Verlinkung selbstverständlich!) und schau was dann kommt (oder auch nicht!). Vielleicht später dann auch noch ins WP-Forum. Werde dann hier berichten was dabei rumgekommen ist. Zitat:
Bei Plugins hieße das, erst deaktivieren, dann löschen, dann neu hochladen und aktivieren. Bei WP-Versionen hieße das erst alle Plugins deaktivieren, dann bis auf wp-config.php, .htaccess, robots.txt, sitemap.xml (falls vorhanden), und den Ordner wp-content alles auf dem Server löschen und neu Version bis auf diese Dateien/Ordner hochladen. edit. habs erst mal bei Xing reingestellt: https://www.xing.com/net/pri61f9e5x/...tigt-40902993/
__________________
Ein mehrfacher Gruß aus dem Südosten Klaus Geändert von hubspe (02.06.2012 um 09:44 Uhr) |
Sponsored Links |
|
|
Ähnliche Themen | ||||
Thema | Autor | Forum | Antworten | Letzter Beitrag |
Suche freien Webentwickler/Programmierer für Wordpress | jameswood | Offtopic | 0 | 28.11.2010 23:52 |
wordpress PHP frage? | sepp88 | Serveradministration und serverseitige Scripte | 2 | 18.08.2009 21:58 |
Kennt sich hier jemand sehr gut mit WORDPRESS aus? | asdfgqw | Serveradministration und serverseitige Scripte | 6 | 09.07.2008 19:34 |
sortierung/anordnung von wordpress "pages" | nytemare | Serveradministration und serverseitige Scripte | 1 | 08.07.2007 00:29 |
Wordpress auf meinem Localhost installieren - unmöglich? | überdose | Offtopic | 7 | 06.03.2006 18:52 |