Moin moin,

ich hab mir mal probeweise das WP-Plugin Ultimate Security Check installiert und laufen lassen.

Dort werden bei den Auswertungen versch. Vorschläge gemacht wie ich die Sicherheit meines Blogs erhöhen kann.
Ein paar hab ich schon wie z.B. das Plugin Limit Login Attempts, die Dateiberechtigung der .htaccess auf 644 gesetzt, anderen Loginnamen, Passwort mit Groß/Kleinschreibung und Zahlen, komplizierten Tabellen-Präfix,etc..

Von diesem Plugin werden weitere Vorschläge zur Erhöhung der Sicherheit gemacht:

Your uploads directory is browsable from the web.
Put an empty index.php to your uploads folder.

Changing config file rights.
According to WordPress Codex you should change rights to wp-config.php to 400 or 440 or 444 to lock it from other users.
In real life a lot of hosts won't allow you to set the last digit to 0, because they configured their webservers the wrong way. Be careful hosting on web hostings like this.


It's better to turn off file editor for plugins and themes in wordpress admin. You're not often editing your theme or plugins source code in WordPress admin? Don't let potential hacker do this for you.
Add DISALLOW_FILE_EDIT option to wp-config.php
Removing the WordPress version from your website.
When WordPress version which is used in your blog is known, hacker can find
proper exploit for exact version of WordPRess.
To remove WordPress version you should do two things:
check if it's not hardcoded in header.php or index.php of your current theme(search for '')
add few lines of code to functions.php in your current theme:
Removing unnecessary error messages on failed log-ins.
By default WordPress will show you what was wrong with your login
credentials - login or password. This will allow hackers to start a brute
force attack to get your password once they know the login.
Add few lines of code to functions.php in your current theme:
Dieses Plugin installieren:
Was haltet ihr von diesen Massnahmen? Sinnlos, überflüssig oder gut (welche ja und welche eher nicht??)

__________________
Ein mehrfacher Gruß aus dem Südosten
Klaus

Damit ist der Name der Datenbanktabelle gemeint? Was soll das sein, security by obscurity? Wenn du mich fragst, ist das totaler Quatsch.

Sinnvoller Vorschlag, aber noch besser ist es das Directory Listing in der Konfiguration oder htaccess zu deaktivieren (Option -Indexes ).

Das ist grundsätzlich eine gute Idee. Am besten immer so wenig Rechte wie möglich und nur so viel wie nötig vergeben.

Ich nutze Wordpress nicht und kenne es auch nur flüchtig, aber hier sehe ich keinen großen Sicherheitsgewinn. Sofern ich das richtig verstanden habe, deaktivierst du damit die Möglichkeit dein Theme im Wordpress-CMS zu bearbeiten. Wer dort Zugriff hat (zumindest als Admin) kann dir deinen gesamten Inhalt löschen und beliebigen neuen erstellen, das ist meiner Meinung nach ein weitaus größeres Problem, das Theme ist schnell wiederhergestellt und daher eigentlich die geringste Sorge.

Das mag erst mal wie security by obscurity aussehen, aber der Fall ist hier etwas anders gelagert. Durch Preisgabe der verwendeten Software und dann womöglich noch die genaue Version, kann der Angreifer gezielt bekannte Schwachstellen ausnutzen. Ich würde nicht nur die Version, sondern auch den Hinweis auf die Software entfernen.

Zusätzlich sollten möglichst wenig Informationen über den Webserver und die verwendeten serverseitigen Sprachen bekanntgegeben werden, also in der Apache-Konfiguration ServerTokens Prod und ServerSignature Off und in der php.ini expose_php = Off setzen (oder entsprechendes bei anderem Server bzw. anderen Sprachen).


Bin erst mal weg essen, später gerne mehr dazu.

Passend dazu, gerade vorhin das über rivva.de gefunden
Tipps zur Sicherheit von WordPress | Elmastudio

Manche Sachen sind sicher übertrieben bzw. übervorsichtig, aber es sind auf jeden Fall alles Maßnahmen die manche sicherheitsrelevante Dinge verhindern.

Das ist nicht verkehrt. Es ist schwieriger ein Login zu knacken, wenn man nicht weiß welche der Eingaben fehlerhaft war. Das lohnt sich allerdings nur, wenn man nicht die Standardnamen verwendet. Den Nutzer benachteiligt es eventuell, wenn er sich nicht mehr an sein Login erinnern kann, aber dafür gibt es eigentlich die Passwort-vergessen-Funktion.

Ich setze das bei eigenen Projekten immer so um, es gibt keinen Hinweis darauf ob der Nutzername überhaupt existiert.

Ich weiß nicht was in Wordpress oder Plugins mit dieser Variable angefangen wird. Grundsätzlich sollte man Nutzereingaben (und die Request-URI ist eine Nutzereingabe) nie ohne Überprüfung verwenden und am besten gar nicht direkt weiterverarbeiten. Wenn die Entwickler ihren Job gut gemacht haben ist das Plugin also überflüssig, möglicherweise führt es auch zu ungewünschten Effekten. Was wenn du einen Artikel über base64 veröffentlichen willst?

vielen Dank für eure Hilfe!

Mit diesem in der wp-config.php festgelegten Präfix (Default: wp_) fangen alle WP-Tabellen in der DB der entsprech. WP-Installation an.

Das höre ich zum ersten mal, dass die Ergänzung des Tabellenpräfix aus Sicherheitsgründen totaler Quatsch ist.
Finde ich deshalb auch sehr interressant!
Es könnte ja sein dass sowas mal vor Jahren von irgendeinem WP-Crack empfohlen wurde und alle anderen haben hinterher davon abgeschrieben ohne dass in Frage zu stellen. Solche Verhaltensweisen sind mir immer mal wieder begegnet, in der Fotografie z.B. gibt es das auch öfter.

__________________
Ein mehrfacher Gruß aus dem Südosten
Klaus

Ich habe heute zum ersten Mal gelesen, dass jemand das als Steigerung der Sicherheit ansieht.

Wie soll die Sicherheit denn dadurch verbessert werden? Um Zugriff auf die Datenbank zu erlangen braucht man Zugangsdaten, an diese kommt man in der Regel erst heran, wenn man die Anwendung geknackt und somit auch Zugriff auf die Konfiguration hat. Das Tabellenprefix kann man da aber ganz bequem auslesen, also was bringt mir das nun?

hehe, darauf habe ich gewartet :
Nimm das und das und das und das und das.......usw. usw.

Die ersten beiden sind eher bekannte WP-Größen, der Zweite Frank Bültge ist sogar im WP-Entwicklerteam.
Vielleicht liege ich mit meinem unreflektiert abgeschrieben nicht so falsch.

__________________
Ein mehrfacher Gruß aus dem Südosten
Klaus

Noch ein Punkt: Schreibrechte für PHP nur auf dem Upload-Verzeichnis. D.h. verzicht auf automatische Updates.

__________________
github | http://dnaber.de

Wie gesagt, ich nutze Wordpress nicht, daher kenne ich auch kaum Beiträge zu dem Thema (eigentlich nichts was nicht in Toschos Blog steht). Ich habe die Links jetzt nur überflogen, aber neue Argumente warum das die Sicherheit erhöht konnte ich nicht entdecken. Schaden wird es sicher auch nicht, sonst würden es wohl nicht so viele Leute empfehlen.

schon klar, aber manchmal stellen Außenstehende genau die richtigen Fragen sozusagen.

Richtige Argumente warum man das machen sollte habe ich auch noch nirgends entdecken können. Wie gesagt ich hab den Verdacht, dass es einer mal gesagt hat und alle plappern es unreflektiert nach, so nach dem Motto es schadet ja nicht.
Genauso könnte ich dann eine hackerhierrein.php im Root ablegen und das zum wichtigen Baustein zur Sicherheit von WP erklären.

Nein im Ernst, ich glaub ich stell das mal bei Google+ und bei Xing rein (alles mit gegenseitiger Verlinkung selbstverständlich!) und schau was dann kommt (oder auch nicht!). Vielleicht später dann auch noch ins WP-Forum. Werde dann hier berichten was dabei rumgekommen ist.

Du meinst keinerlei automatische Updates mehr, weder bei Plugins noch bei WP-Versionen, oder?
Bei Plugins hieße das, erst deaktivieren, dann löschen, dann neu hochladen und aktivieren.
Bei WP-Versionen hieße das erst alle Plugins deaktivieren, dann bis auf wp-config.php, .htaccess, robots.txt, sitemap.xml (falls vorhanden), und den Ordner wp-content alles auf dem Server löschen und neu Version bis auf diese Dateien/Ordner hochladen.

edit. habs erst mal bei Xing reingestellt: https://www.xing.com/net/pri61f9e5x/...tigt-40902993/

__________________
Ein mehrfacher Gruß aus dem Südosten
Klaus