Home / LinuxUser / 2009 / 01 / Textsicher

Newsletter abonnieren

Lies uns auf...

Folge LinuxCommunity auf Twitter

Top-Beiträge

Eingedost
(161 Punkte bei 4 Stimmen)
Aufteiler
(161 Punkte bei 4 Stimmen)

Heftarchiv

LinuxUser Heftarchiv

EasyLinux Heftarchiv

Ubuntu User Heftarchiv

Ubuntu User Heftarchiv

Partner-Links:

Das B2B Portal www.Linx.de informiert über Produkte und Dienstleistungen.

AA_tastatur_mit_schluessel.jpg

© Gernot Krautberger, Fotolia

Textsicher

Das eigene Blog absichern

05.12.2008 Wordpress-Blogs lassen sich kinderleicht aufsetzen. Das wissen auch Spammer und Cracker. Mit ein paar Tricks lassen Sie die unerwünschten Besucher im Regen stehen.

Die freie Blogging-Software Wordpress (Abbildung 1) ist eine populäre und viel genutzte Anwendung. Damit gerät sie aber auch in das Visier von unangenehmen Zeitgenossen. Die versuchen mitunter, Spam-Links zu hinterlegen oder fremde Blogs zu zerstören, um ihr Können zu zeigen. Zum Glück gibt es vielschichtige Möglichkeiten, eine Webapplikation abzusichern. Der Artikel beleuchtet einige davon, die Sie recht einfach umsetzen. Eine Gewichtung fällt schwer, weil Sicherheit immer von verschiedenen Faktoren abhängt: Dürfen Sie etwa auf die Konfiguration des Servers zugreifen, können Sie im Vorfeld die Sicherheit deutlich erhöhen.

Abbildung 1

Abbildung 1: Im Dashboard von Wordpress 2.7 verwaltet der Administrator eingehende Beiträge.

Schlüssel und Tabellenpräfixe

Wordpress [0] ist für seine einfache und unkomplizierte Installation bekannt. Die sorgt aber auch dafür, dass sich die Installationen gleichen, was Angreifern den unbefugten Zutritt erleichtert. Weicht eine Installation hingegen vom Standard ab, kann das potenziellen Eindringlingen den Zugang erschweren.

Den Zugang zur Datenbank konfigurieren Sie in der Datei wp-config.php. Sie definiert auch den Tabellen-Präfix, mit dem Wordpress bei der Installation alle erforderlichen MySQL-Tabellen anlegt. Gewöhnlich handelt es sich um den Präfix wp_. Vergeben Sie an dieser Stelle immer einen vom Standard abweichenden Präfix. Achten Sie aber darauf, dass Sie nur Zahlen, Buchstaben und Unterstriche verwenden, denn andere Zeichen unterstützt MySQL nicht.

Ebenfalls in der Datei wp-config.php haben Sie die Möglichkeit, drei Konstanten zu definieren, um die Sicherheit von Wordpress zu erhöhen. Die Software verwendet die drei Schlüssel an unterschiedlichen Stellen, um Informationen in den Cookies der Anwender besser zu verschlüsseln. Um willkürliche Zeichenketten zu erzeugen und so den Standard zu verändern, bietet Wordpress einen Online-Service [1], der es Ihnen erlaubt, die drei Konstanten neu zu definieren (Abbildung 2).

Abbildung 2

Abbildung 2: Bei jedem Reload generiert die hier gezeigte Webseite drei neue geheime Schlüssel, die Sie in die Datei wp-config.php einsetzen können.

Datei- und Verzeichnisrechte

Unterscheiden Sie die Rechte der Dateien und Verzeichnisse angemessen. Egal, ob Sie Dateien über das Wordpress-Backend bearbeiten oder ob Sie diese per FTP ablegen, sollten Sie die Rechte entsprechend restriktiv setzen. Durch eingeschränkte Rechte erschweren Sie es Angreifern, die Dateien und Verzeichnisse zu verändern.

In der Regel sammeln Suchmaschinen bis zu einer gewissen Hierarchie-Ebene auf einer Webseite alle Informationen, an die sie herankommen. Mit Hilfe der Datei robots.txt im Wurzelverzeichnis der Wordpress-Installation verhindern Sie unerwünschte Onlinedurchsuchungen. Die internen Verzeichnisse von Wordpress sollten in keinem Suchergebnis auftauchen. Ein einfaches Disallow: /wp-admin/ genügt, und die Suchmaschinen verschonen den Ordner wp-admin.

Bei diversen konfigurierten Servern besteht unter Umständen die Möglichkeit, dass der Browser des Besuchers die Inhalte sämtlicher Ordner und Dateien der Wordpress-Installation auflistet, wenn ein Besucher die Adressen direkt aufruft, etwa über http://meine_domain.de/wp-content/. Das unterbinden Sie, indem Sie in den jeweiligen Verzeichnissen eine leere Datei namens index.html ablegen. Alternativ leistet dies ein Plugin namens Secure WordPress[2].

Tip a friend    Druckansicht Bookmark and Share
Kommentare

4170 Hits
Wertung: 236 Punkte (21 Stimmen)

Schlecht Gut

Infos zur Publikation

Infos zur Publikation

LinuxUser 05/2014

Aktuelle Ausgabe kaufen:

Heft als PDF kaufen

LinuxUser erscheint monatlich und kostet in der Nomedia-Ausgabe EUR 5,95 und mit DVD EUR 8,50. Weitere Informationen zum Heft finden Sie auf der LinuxUser-Homepage.

Im LinuxUser-Probeabo erhalten Sie drei Ausgaben für 3 Euro. Das Jahresabo (ab EUR 60,60) können Sie im Medialinx-Shop bestellen.

Tipp der Woche

Bilder vergleichen mit diffimg
Bilder vergleichen mit diffimg
Tim Schürmann, 01.04.2014 12:40, 1 Kommentare

Das kleine Werkzeug diffimg kann zwei (scheinbar) identische Bilder miteinander vergleichen und die Unterschiede optisch hervorheben. Damit lassen sich nicht nur Rätsel a la „Orignial und Fäls...

Aktuelle Fragen

programm suche
Hans-Joachim Köpke, 13.04.2014 10:43, 8 Antworten
suche noch programme die zu windows gibt, die auch unter linux laufen bzw sich ähneln sozusagen a...
Funknetz (Web-Stick)
Hans-Joachim Köpke, 04.04.2014 07:31, 2 Antworten
Bei Windows7 brauche ich den Stick nur ins USB-Fach schieben dann erkennt Windows7 Automatisch, a...
Ubuntu 13.10 überschreibt immer Windows 8 Bootmanager
Thomas Weiss, 15.03.2014 19:20, 8 Antworten
Hallo Leute, ich hoffe das ich richtig bin. Ich habe einen Dell Insipron 660 Ich möchte gerne Ub...
USB-PTP-Class Kamera wird nicht erkannt (Windows-only)
Wimpy *, 14.03.2014 13:04, 15 Antworten
ich habe meiner Frau eine Digitalkamera, AGFA Optima 103, gekauft und wir sind sehr zufrieden dam...
Treiber
Michael Kristahn, 12.03.2014 08:28, 5 Antworten
Habe mir ein Scanner gebraucht gekauft von Canon CanoScan LiDE 70 kein Treiber wie bekomme ich de...