Sicherheit bei WordPress Blogs

Sicheres WordPressIch habe in letzter Zeit eine paar Artikel zum Thema Sicherheit und WordPress Blogs geschrieben und möchte nochmal die wichtigsten Themen zusammenfassen.

Allgemein ist man gut beraten, wenn  man die Verzeichnisse auf seinem Webspace vor ungewollten Zugriffen schützt. Der Artikel Web Verzeichnisse mit .htaccess schützen beschreibt, wie man mit sehr einfachen Mitteln ein Verzeichnis schützen kann. Eigentlich gibt es ja zwei Möglichkeiten von offenen Verzeichnissen. Der Apache Webserver, den sehr viele Hoster und Provider einsetzen hat in einer Konfiguration alle Dateien aufgelistet, für die er eine “Internetseite” darstellen kann. Meist sind dies Dateien mit den Endungen .htm .html oder .php. Sollte in einem Verzeichnis zB nur eine Textdatei oder ein Bild sein, werden diese wie vom Datei Explorer dargestellt. Und genau dabei liegt der Haken! Jeder kann alle Datein einsehen, dass ist natürlich so nicht gewollt.

Manchmal ist es auch nicht erwünscht, wenn jeder aus dem Internet bestimmte Bereiche ansurfen kann. Meist sind dies Administrations Bereiche oder einfach nur Inhalte, die nicht für jederman bestimmt sind. Und genau dafür kann man einen Zugriffs Schutz mit .htaccess bauen. Im Grunde sagt man dem Web Server nur, dass er den Inhalt dieses Bereichs erst dann darstellen soll, wenn man den Usernamen mit seinem Password richtig eingegeben hat.

Der Admin Bereich von einem WordPress Blog wird ja per Default durch eine Password Abfrage geschützt. Jedoch ist in der Grundinstallation von WordPress ein kleiner Schönheitsfehler. Wenn man sich mit dem falschen Passwort oder sogar nur mit dem falschen User anmeldet bekommt man sehr detailliert zurückgeliefert, was falsch war: User, Passwort oder Beides! Um eben diese Login Fehlermeldung bei WordPress zu unterdrücken, muss man nur in einer bestimmten Datei (functions.php) eine Zeile einfügen und schon hat man keinen verwertbaren Output mehr 🙂

Für WordPress gibt es eine große Menge an Plugins. Sowohl für den Frontend als auch für das Admin Interface. Ein sehr nützliches Plugin ist das WordPress Security Admin Tool. Nach der Installation hat man sofort die Möglichkeit, seinen Blog oder besser das was hinter seinem Blog passiert und konfiguriert ist zu überprüfen. Zusätzlich zeigt das Plugin die notwendigen Verbesserungen gleich an. So kann man on-the-fly die Änderung durchführen und das Ergebnis sofort nochmals kontrollieren. Als Zusatz Funktion kann man sich noch sichere Passwörter generieren lassen!

Ein sehr oft unterschätzter Bereich ist das Backup seines Blogs. Dabei kann man ein WordPress Datenbank Backup selber durchführen. Es gibt einige Plugins mit denen man solche Backups machen kann, eines davon ist das WP-DBManager Plugin. Mit diesem Tool kann man seine Datenbank sichern, periodische Backups erstellen lassen, die Datenbank optimieren, im Fehlerfall ein erstelltes Backup wieder zurückspielen und man hat sogar eine vereinfachte SQL Schnittstelle wie man sie etwa von phpMyAdmin kennt.

Im Großen und Ganzen gibt es sehr viele Punkte bzgl Sicherheit bei WordPress Blogs, wenn man sich an bestimmte Standards hält, sollte man aber wenig Probleme haben 😉