pw yet another blog

Wie mache ich meinen Blog 100% sicher?

Hallo,

oftmals wurde in letzter Zeit ja Unmut über die Sicherheitslücken in diversen Wordpress-Releases geäußert. Dass eine zigfach eingesetzte Software gerne analysiert und später dann auch geknackt wird, denke ich ist allen klar. Hier stellt sich nun die Frage wie ich denn meinen Blog sicher machen kann?

Meiner Meinung nach kann man die meisten Probleme beheben, indem man die Standardeinstellungen ein wenig abändert und somit den meisten Bots das Fahrwasser abgraben.

Die fünf absolut unumgägnlichen Änderungen:

  1. Benenne die Tabelle in der Datenbank um.
  2. Benenne den admin-User um.
  3. Verschweige welche Version Du nutzt.
  4. Schütze den Adminbereich.
  5. Stell Fehlermeldungen ab.

Die Erklärung zu den einzelnen Punkte:

1) Benenne die Tabelle in der Datenbank um.
Am einfachsten loggst Du Dich dazu im phpMyAdmin ein und erstellst ein Backup der Wordpress-Datenbanktabelle in ein .sql-File. Nachdem Du diese runtergeladen hast, im Texteditor des geringsten Misstrauens öffnen und auf Suchen&Ersetzen klicken. Dann dort nach “wp_” suchen und das mit Deinem Kürzel ersetzen. Die Datei abspeichern und im phpMyAdmin wieder importieren.
Jetzt musst Du noch in der wp-config.php den Tabellenprefix “wp_” mit deiner Änderung ersetzen und die Datei auch hochladen und schon sollte alles wie gewohnt laufen, nur einen Tick sicherer :-)

2) Benenne den admin-User um.
Hier gehst Du auch wieder in den phpMyAdmin (oder ein anderen Datenbankverwaltungstool) und suchst die Tabelle “users” (vorher hieß sie “wp_users”, da Du aber jetzt das “wp_” geändert hast musst Du halt an passender Stelle suchen). Dort die Spalte “users_login” suchen und bei “admin” einen anderen Namen eintragen. Aber vorsicht, den solltest Du danach nicht vergessen ;-) Abspeichern und im Adminbereich mit Deinem neuen Adminuser einloggen. Sollte auch hier wieder problemlos funktioneren und Du bist einen weiteren Tick sicherer.

3) Verschweige welche Version Du nutzt.
Die meisten Templates verraten im Header-Meta-Bereich die aktuell eingesetzte Wordpressversion. Da diese Info niemanden angeht, solltest Du diese Zeile rausnehmen. Du findest sie in Deinem Themes-Verzeichnis, dort meist in der header.php oder index.php und sie heißt:

<?php wp_head(); ?>

Die kannst Du ohne Bedenken löschen.
Dabei wird später folgende Zeile nicht mehr geschrieben:

<meta name="generator" content="WordPress 2.5.1" />

4) Schütze den Adminbereich.
Wichtig ist, dass Du den Admin-Bereich mit einem zusätzlichen Passwort schützt. Dieses sollte bestmöglichst unabhängig vom Wordpress sein und absolut sicher. Also erzeugen wir einen .htaccess-Passwortschutz im Verzeichnis “wp-admin”. Wie das detalliert funktioniert ist hier sehr gut beschrieben und sollte dort kurz nachgelesen werden. Bei Fragen ansonsten einfach in die Kommentare.

5) Stell Fehlermeldungen ab.
Sorge dafür, dass weder dein Blog, deine Datenbank noch dein Server irgendwelche Fehlermeldungen nach außen gibt. Solltest Du nicht der Admin Deines Servers sein, so sag Deinem Admin kurz bescheid und er sollte wissen was zu tun ist. Aufgrund der unterschiedlichen Serversysteme, v.a. Webserver, will ich hier nicht drauf eingehen. Bei speziellen Fragen auch hier wieder ab in die Kommentare.

Tags: , , , , , , ,
This entry was posted Freitag, 18 Juli, 2008 at 07:44
You can follow any responses to this entry via RSS.
You can skip to the end to leave a comment. Trackbacks are currently not allowed.

About PW

Your email is never shared.
Required fields are marked *




Quote

Men love to wonder and that is the seed of our science. — Ralph Waldo Emerson



Links



Kategorien



Archiv