zurück zur Startseite
  


Zurück XHTMLforum > Webentwicklung (außer XHTML und CSS) > Serveradministration und serverseitige Scripte
Seite neu laden Sinnvolle Aktionen zur Sicherheit von Wordpress??

Antwort
 
LinkBack Themen-Optionen Ansicht
  #1 (permalink)  
Alt 01.06.2012, 11:40
Benutzerbild von hubspe
Eisen 7 ole....
XHTMLforum-Kenner
Thread-Ersteller
 
Registriert seit: 22.06.2007
Ort: Passau
Beiträge: 7.088
hubspe ist ein wunderbarer Anblickhubspe ist ein wunderbarer Anblickhubspe ist ein wunderbarer Anblickhubspe ist ein wunderbarer Anblickhubspe ist ein wunderbarer Anblickhubspe ist ein wunderbarer Anblickhubspe ist ein wunderbarer Anblick
Standard Sinnvolle Aktionen zur Sicherheit von Wordpress??

Moin moin,

ich hab mir mal probeweise das WP-Plugin Ultimate Security Check installiert und laufen lassen.

Dort werden bei den Auswertungen versch. Vorschläge gemacht wie ich die Sicherheit meines Blogs erhöhen kann.
Ein paar hab ich schon wie z.B. das Plugin Limit Login Attempts, die Dateiberechtigung der .htaccess auf 644 gesetzt, anderen Loginnamen, Passwort mit Groß/Kleinschreibung und Zahlen, komplizierten Tabellen-Präfix,etc..

Von diesem Plugin werden weitere Vorschläge zur Erhöhung der Sicherheit gemacht:

Your uploads directory is browsable from the web.
Put an empty index.php to your uploads folder.

Changing config file rights.
According to WordPress Codex you should change rights to wp-config.php to 400 or 440 or 444 to lock it from other users.
In real life a lot of hosts won't allow you to set the last digit to 0, because they configured their webservers the wrong way. Be careful hosting on web hostings like this.


It's better to turn off file editor for plugins and themes in wordpress admin. You're not often editing your theme or plugins source code in WordPress admin? Don't let potential hacker do this for you.
Add DISALLOW_FILE_EDIT option to wp-config.php
PHP-Code:
define('DISALLOW_FILE_EDIT'true); 
Removing the WordPress version from your website.
When WordPress version which is used in your blog is known, hacker can find
proper exploit for exact version of WordPRess.

To remove WordPress version you should do two things:
check if it's not hardcoded in header.php or index.php of your current theme
(search for '')
add few lines of code to functions.php in your current theme:
PHP-Code:
function no_generator() { return ''; }  
add_filter'the_generator''no_generator' ); 
Removing unnecessary error messages on failed log-ins.
By default WordPress will show you what was wrong with your login
credentials - login or password. This will allow hackers to start a brute
force attack to get your password once they know the login.

Add few lines of code to functions.php in your current theme:
PHP-Code:
function explain_less_login_issues(){ return '<strong>ERROR</strong>: Entered credentials are incorrect.';}
add_filter'login_errors''explain_less_login_issues' ); 
Dieses Plugin installieren:
PHP-Code:
<?php
/*
Plugin Name: Block Bad Queries
Plugin URI: http://perishablepress.com/press/2009/12/22/protect-wordpress-against-malicious-url-requests/
Description: Protect WordPress Against Malicious URL Requests
Author URI: http://perishablepress.com/
Author: Perishable Press
Version: 1.0
*/
if (strpos($_SERVER['REQUEST_URI'], "eval(") ||
  
strpos($_SERVER['REQUEST_URI'], "CONCAT") ||
  
strpos($_SERVER['REQUEST_URI'], "UNION+SELECT") ||
  
strpos($_SERVER['REQUEST_URI'], "base64")) 
  {
    @
header("HTTP/1.1 400 Bad Request");
    @
header("Status: 400 Bad Request");
    @
header("Connection: Close");
    @exit;
  }
?>

<?php
/*Securing blog against malicious URL requests.? Back
Malicious URL requests are requests which may have SQL Injection 
inside and will allow hacker to broke your blog.
Paste the following code into a text file, and save it as 
blockbadqueries.php. Once done, upload it to your 
wp-content/plugins directory and activate it like any other plugins.*/
?>
Was haltet ihr von diesen Massnahmen? Sinnlos, überflüssig oder gut (welche ja und welche eher nicht??)
__________________
Ein mehrfacher Gruß aus dem Südosten
Klaus
Mit Zitat antworten
Sponsored Links
  #2 (permalink)  
Alt 01.06.2012, 12:16
Benutzerbild von inta
free as in freedom
XHTMLforum-Kenner
 
Registriert seit: 04.12.2006
Ort: Berlin
Beiträge: 5.025
inta kann auf vieles stolz seininta kann auf vieles stolz seininta kann auf vieles stolz seininta kann auf vieles stolz seininta kann auf vieles stolz seininta kann auf vieles stolz seininta kann auf vieles stolz seininta kann auf vieles stolz seininta kann auf vieles stolz sein
Standard

Zitat:
Zitat von hubspe Beitrag anzeigen
komplizierten Tabellen-Präfix
Damit ist der Name der Datenbanktabelle gemeint? Was soll das sein, security by obscurity? Wenn du mich fragst, ist das totaler Quatsch.

Zitat:
Zitat von hubspe Beitrag anzeigen
Your uploads directory is browsable from the web.
Put an empty index.php to your uploads folder.
Sinnvoller Vorschlag, aber noch besser ist es das Directory Listing in der Konfiguration oder htaccess zu deaktivieren (Option -Indexes ).

Zitat:
Zitat von hubspe Beitrag anzeigen
Changing config file rights.
According to WordPress Codex you should change rights to wp-config.php to 400 or 440 or 444 to lock it from other users.
In real life a lot of hosts won't allow you to set the last digit to 0, because they configured their webservers the wrong way. Be careful hosting on web hostings like this.
Das ist grundsätzlich eine gute Idee. Am besten immer so wenig Rechte wie möglich und nur so viel wie nötig vergeben.

Zitat:
Zitat von hubspe Beitrag anzeigen
It's better to turn off file editor for plugins and themes in wordpress admin. You're not often editing your theme or plugins source code in WordPress admin? Don't let potential hacker do this for you.
Add DISALLOW_FILE_EDIT option to wp-config.php
PHP-Code:
define('DISALLOW_FILE_EDIT'true); 
Ich nutze Wordpress nicht und kenne es auch nur flüchtig, aber hier sehe ich keinen großen Sicherheitsgewinn. Sofern ich das richtig verstanden habe, deaktivierst du damit die Möglichkeit dein Theme im Wordpress-CMS zu bearbeiten. Wer dort Zugriff hat (zumindest als Admin) kann dir deinen gesamten Inhalt löschen und beliebigen neuen erstellen, das ist meiner Meinung nach ein weitaus größeres Problem, das Theme ist schnell wiederhergestellt und daher eigentlich die geringste Sorge.

Zitat:
Zitat von hubspe Beitrag anzeigen
Removing the WordPress version from your website.
When WordPress version which is used in your blog is known, hacker can find
proper exploit for exact version of WordPRess.

To remove WordPress version you should do two things:
check if it's not hardcoded in header.php or index.php of your current theme
(search for '')
add few lines of code to functions.php in your current theme:
PHP-Code:
function no_generator() { return ''; }  
add_filter'the_generator''no_generator' ); 
Das mag erst mal wie security by obscurity aussehen, aber der Fall ist hier etwas anders gelagert. Durch Preisgabe der verwendeten Software und dann womöglich noch die genaue Version, kann der Angreifer gezielt bekannte Schwachstellen ausnutzen. Ich würde nicht nur die Version, sondern auch den Hinweis auf die Software entfernen.

Zusätzlich sollten möglichst wenig Informationen über den Webserver und die verwendeten serverseitigen Sprachen bekanntgegeben werden, also in der Apache-Konfiguration ServerTokens Prod und ServerSignature Off und in der php.ini expose_php = Off setzen (oder entsprechendes bei anderem Server bzw. anderen Sprachen).


Bin erst mal weg essen, später gerne mehr dazu.
Mit Zitat antworten
Sponsored Links
  #3 (permalink)  
Alt 01.06.2012, 12:48
Benutzerbild von protonenbeschleuniger
Verbesserer
XHTMLforum-Kenner
 
Registriert seit: 06.09.2007
Beiträge: 4.910
protonenbeschleuniger ist ein wunderbarer Anblickprotonenbeschleuniger ist ein wunderbarer Anblickprotonenbeschleuniger ist ein wunderbarer Anblickprotonenbeschleuniger ist ein wunderbarer Anblickprotonenbeschleuniger ist ein wunderbarer Anblickprotonenbeschleuniger ist ein wunderbarer Anblick
Standard

Passend dazu, gerade vorhin das über rivva.de gefunden
Tipps zur Sicherheit von WordPress | Elmastudio

Manche Sachen sind sicher übertrieben bzw. übervorsichtig, aber es sind auf jeden Fall alles Maßnahmen die manche sicherheitsrelevante Dinge verhindern.
Mit Zitat antworten
  #4 (permalink)  
Alt 01.06.2012, 14:11
Benutzerbild von inta
free as in freedom
XHTMLforum-Kenner
 
Registriert seit: 04.12.2006
Ort: Berlin
Beiträge: 5.025
inta kann auf vieles stolz seininta kann auf vieles stolz seininta kann auf vieles stolz seininta kann auf vieles stolz seininta kann auf vieles stolz seininta kann auf vieles stolz seininta kann auf vieles stolz seininta kann auf vieles stolz seininta kann auf vieles stolz sein
Standard

Zitat:
Zitat von hubspe Beitrag anzeigen
Removing unnecessary error messages on failed log-ins.
By default WordPress will show you what was wrong with your login
credentials - login or password. This will allow hackers to start a brute
force attack to get your password once they know the login.

Add few lines of code to functions.php in your current theme:
PHP-Code:
function explain_less_login_issues(){ return '<strong>ERROR</strong>: Entered credentials are incorrect.';}
add_filter'login_errors''explain_less_login_issues' ); 
Das ist nicht verkehrt. Es ist schwieriger ein Login zu knacken, wenn man nicht weiß welche der Eingaben fehlerhaft war. Das lohnt sich allerdings nur, wenn man nicht die Standardnamen verwendet. Den Nutzer benachteiligt es eventuell, wenn er sich nicht mehr an sein Login erinnern kann, aber dafür gibt es eigentlich die Passwort-vergessen-Funktion.

Ich setze das bei eigenen Projekten immer so um, es gibt keinen Hinweis darauf ob der Nutzername überhaupt existiert.

Zitat:
Zitat von hubspe Beitrag anzeigen
Dieses Plugin installieren:
[…]
Ich weiß nicht was in Wordpress oder Plugins mit dieser Variable angefangen wird. Grundsätzlich sollte man Nutzereingaben (und die Request-URI ist eine Nutzereingabe) nie ohne Überprüfung verwenden und am besten gar nicht direkt weiterverarbeiten. Wenn die Entwickler ihren Job gut gemacht haben ist das Plugin also überflüssig, möglicherweise führt es auch zu ungewünschten Effekten. Was wenn du einen Artikel über base64 veröffentlichen willst?
Mit Zitat antworten
  #5 (permalink)  
Alt 01.06.2012, 14:37
Benutzerbild von hubspe
Eisen 7 ole....
XHTMLforum-Kenner
Thread-Ersteller
 
Registriert seit: 22.06.2007
Ort: Passau
Beiträge: 7.088
hubspe ist ein wunderbarer Anblickhubspe ist ein wunderbarer Anblickhubspe ist ein wunderbarer Anblickhubspe ist ein wunderbarer Anblickhubspe ist ein wunderbarer Anblickhubspe ist ein wunderbarer Anblickhubspe ist ein wunderbarer Anblick
Standard

vielen Dank für eure Hilfe!

Zitat:
Zitat von inta Beitrag anzeigen
Damit ist der Name der Datenbanktabelle gemeint? Was soll das sein, security by obscurity? Wenn du mich fragst, ist das totaler Quatsch.
Mit diesem in der wp-config.php festgelegten Präfix (Default: wp_) fangen alle WP-Tabellen in der DB der entsprech. WP-Installation an.

Das höre ich zum ersten mal, dass die Ergänzung des Tabellenpräfix aus Sicherheitsgründen totaler Quatsch ist.
Finde ich deshalb auch sehr interressant!
Es könnte ja sein dass sowas mal vor Jahren von irgendeinem WP-Crack empfohlen wurde und alle anderen haben hinterher davon abgeschrieben ohne dass in Frage zu stellen. Solche Verhaltensweisen sind mir immer mal wieder begegnet, in der Fotografie z.B. gibt es das auch öfter.
__________________
Ein mehrfacher Gruß aus dem Südosten
Klaus
Mit Zitat antworten
  #6 (permalink)  
Alt 01.06.2012, 14:42
Benutzerbild von inta
free as in freedom
XHTMLforum-Kenner
 
Registriert seit: 04.12.2006
Ort: Berlin
Beiträge: 5.025
inta kann auf vieles stolz seininta kann auf vieles stolz seininta kann auf vieles stolz seininta kann auf vieles stolz seininta kann auf vieles stolz seininta kann auf vieles stolz seininta kann auf vieles stolz seininta kann auf vieles stolz seininta kann auf vieles stolz sein
Standard

Zitat:
Zitat von hubspe Beitrag anzeigen
Das höre ich zum ersten mal, dass die Ergänzung des Tabellenpräfix aus Sicherheitsgründen totaler Quatsch ist.
Finde ich deshalb auch sehr interressant!
Ich habe heute zum ersten Mal gelesen, dass jemand das als Steigerung der Sicherheit ansieht.

Wie soll die Sicherheit denn dadurch verbessert werden? Um Zugriff auf die Datenbank zu erlangen braucht man Zugangsdaten, an diese kommt man in der Regel erst heran, wenn man die Anwendung geknackt und somit auch Zugriff auf die Konfiguration hat. Das Tabellenprefix kann man da aber ganz bequem auslesen, also was bringt mir das nun?
Mit Zitat antworten
  #7 (permalink)  
Alt 01.06.2012, 14:51
Benutzerbild von hubspe
Eisen 7 ole....
XHTMLforum-Kenner
Thread-Ersteller
 
Registriert seit: 22.06.2007
Ort: Passau
Beiträge: 7.088
hubspe ist ein wunderbarer Anblickhubspe ist ein wunderbarer Anblickhubspe ist ein wunderbarer Anblickhubspe ist ein wunderbarer Anblickhubspe ist ein wunderbarer Anblickhubspe ist ein wunderbarer Anblickhubspe ist ein wunderbarer Anblick
Standard

Zitat:
Zitat von inta Beitrag anzeigen
Ich habe heute zum ersten Mal gelesen, dass jemand das als Steigerung der Sicherheit ansieht.
hehe, darauf habe ich gewartet :
Nimm das und das und das und das und das.......usw. usw.

Die ersten beiden sind eher bekannte WP-Größen, der Zweite Frank Bültge ist sogar im WP-Entwicklerteam.
Vielleicht liege ich mit meinem unreflektiert abgeschrieben nicht so falsch.
__________________
Ein mehrfacher Gruß aus dem Südosten
Klaus
Mit Zitat antworten
  #8 (permalink)  
Alt 01.06.2012, 18:08
Benutzerbild von David
auch, ja!
XHTMLforum-Kenner
 
Registriert seit: 08.11.2007
Beiträge: 2.630
David ist ein wunderbarer AnblickDavid ist ein wunderbarer AnblickDavid ist ein wunderbarer AnblickDavid ist ein wunderbarer AnblickDavid ist ein wunderbarer AnblickDavid ist ein wunderbarer AnblickDavid ist ein wunderbarer Anblick
Standard

Noch ein Punkt: Schreibrechte für PHP nur auf dem Upload-Verzeichnis. D.h. verzicht auf automatische Updates.
__________________
github | http://dnaber.de
Mit Zitat antworten
  #9 (permalink)  
Alt 01.06.2012, 23:53
Benutzerbild von inta
free as in freedom
XHTMLforum-Kenner
 
Registriert seit: 04.12.2006
Ort: Berlin
Beiträge: 5.025
inta kann auf vieles stolz seininta kann auf vieles stolz seininta kann auf vieles stolz seininta kann auf vieles stolz seininta kann auf vieles stolz seininta kann auf vieles stolz seininta kann auf vieles stolz seininta kann auf vieles stolz seininta kann auf vieles stolz sein
Standard

Wie gesagt, ich nutze Wordpress nicht, daher kenne ich auch kaum Beiträge zu dem Thema (eigentlich nichts was nicht in Toschos Blog steht). Ich habe die Links jetzt nur überflogen, aber neue Argumente warum das die Sicherheit erhöht konnte ich nicht entdecken. Schaden wird es sicher auch nicht, sonst würden es wohl nicht so viele Leute empfehlen.
Mit Zitat antworten
Sponsored Links
  #10 (permalink)  
Alt 02.06.2012, 09:23
Benutzerbild von hubspe
Eisen 7 ole....
XHTMLforum-Kenner
Thread-Ersteller
 
Registriert seit: 22.06.2007
Ort: Passau
Beiträge: 7.088
hubspe ist ein wunderbarer Anblickhubspe ist ein wunderbarer Anblickhubspe ist ein wunderbarer Anblickhubspe ist ein wunderbarer Anblickhubspe ist ein wunderbarer Anblickhubspe ist ein wunderbarer Anblickhubspe ist ein wunderbarer Anblick
Standard

Zitat:
Zitat von inta Beitrag anzeigen
Wie gesagt, ich nutze Wordpress nicht, daher kenne ich auch kaum Beiträge zu dem Thema (eigentlich nichts was nicht in Toschos Blog steht).
schon klar, aber manchmal stellen Außenstehende genau die richtigen Fragen sozusagen.

Zitat:
Zitat von inta Beitrag anzeigen
Ich habe die Links jetzt nur überflogen, aber neue Argumente warum das die Sicherheit erhöht konnte ich nicht entdecken. Schaden wird es sicher auch nicht, sonst würden es wohl nicht so viele Leute empfehlen.
Richtige Argumente warum man das machen sollte habe ich auch noch nirgends entdecken können. Wie gesagt ich hab den Verdacht, dass es einer mal gesagt hat und alle plappern es unreflektiert nach, so nach dem Motto es schadet ja nicht.
Genauso könnte ich dann eine hackerhierrein.php im Root ablegen und das zum wichtigen Baustein zur Sicherheit von WP erklären.

Nein im Ernst, ich glaub ich stell das mal bei Google+ und bei Xing rein (alles mit gegenseitiger Verlinkung selbstverständlich!) und schau was dann kommt (oder auch nicht!). Vielleicht später dann auch noch ins WP-Forum. Werde dann hier berichten was dabei rumgekommen ist.

Zitat:
Zitat von David Beitrag anzeigen
Noch ein Punkt: Schreibrechte für PHP nur auf dem Upload-Verzeichnis. D.h. verzicht auf automatische Updates.
Du meinst keinerlei automatische Updates mehr, weder bei Plugins noch bei WP-Versionen, oder?
Bei Plugins hieße das, erst deaktivieren, dann löschen, dann neu hochladen und aktivieren.
Bei WP-Versionen hieße das erst alle Plugins deaktivieren, dann bis auf wp-config.php, .htaccess, robots.txt, sitemap.xml (falls vorhanden), und den Ordner wp-content alles auf dem Server löschen und neu Version bis auf diese Dateien/Ordner hochladen.

edit. habs erst mal bei Xing reingestellt: https://www.xing.com/net/pri61f9e5x/...tigt-40902993/
__________________
Ein mehrfacher Gruß aus dem Südosten
Klaus

Geändert von hubspe (02.06.2012 um 09:44 Uhr)
Mit Zitat antworten
Sponsored Links
Antwort

Themen-Optionen
Ansicht

Forumregeln
Es ist Ihnen nicht erlaubt, neue Themen zu verfassen.
Es ist Ihnen nicht erlaubt, auf Beiträge zu antworten.
Es ist Ihnen nicht erlaubt, Anhänge hochzuladen.
Es ist Ihnen nicht erlaubt, Ihre Beiträge zu bearbeiten.

BB-Code ist an.
Smileys sind an.
[IMG] Code ist an.
HTML-Code ist aus.
Trackbacks are an
Pingbacks are an
Refbacks are aus


Ähnliche Themen
Thema Autor Forum Antworten Letzter Beitrag
Suche freien Webentwickler/Programmierer für Wordpress jameswood Offtopic 0 28.11.2010 23:52
wordpress PHP frage? sepp88 Serveradministration und serverseitige Scripte 2 18.08.2009 21:58
Kennt sich hier jemand sehr gut mit WORDPRESS aus? asdfgqw Serveradministration und serverseitige Scripte 6 09.07.2008 19:34
sortierung/anordnung von wordpress "pages" nytemare Serveradministration und serverseitige Scripte 1 08.07.2007 00:29
Wordpress auf meinem Localhost installieren - unmöglich? überdose Offtopic 7 06.03.2006 18:52


Alle Zeitangaben in WEZ +2. Es ist jetzt 15:33 Uhr.