AA_tastatur_mit_schluessel.jpg

© Gernot Krautberger, Fotolia

Das eigene Blog absichern

Textsicher

Wordpress-Blogs lassen sich kinderleicht aufsetzen. Das wissen auch Spammer und Cracker. Mit ein paar Tricks lassen Sie die unerwünschten Besucher im Regen stehen.

Die freie Blogging-Software Wordpress (Abbildung 1) ist eine populäre und viel genutzte Anwendung. Damit gerät sie aber auch in das Visier von unangenehmen Zeitgenossen. Die versuchen mitunter, Spam-Links zu hinterlegen oder fremde Blogs zu zerstören, um ihr Können zu zeigen. Zum Glück gibt es vielschichtige Möglichkeiten, eine Webapplikation abzusichern. Der Artikel beleuchtet einige davon, die Sie recht einfach umsetzen. Eine Gewichtung fällt schwer, weil Sicherheit immer von verschiedenen Faktoren abhängt: Dürfen Sie etwa auf die Konfiguration des Servers zugreifen, können Sie im Vorfeld die Sicherheit deutlich erhöhen.

Abbildung 1: Im Dashboard von Wordpress 2.7 verwaltet der Administrator eingehende Beiträge.

Schlüssel und Tabellenpräfixe

Wordpress [0] ist für seine einfache und unkomplizierte Installation bekannt. Die sorgt aber auch dafür, dass sich die Installationen gleichen, was Angreifern den unbefugten Zutritt erleichtert. Weicht eine Installation hingegen vom Standard ab, kann das potenziellen Eindringlingen den Zugang erschweren.

Den Zugang zur Datenbank konfigurieren Sie in der Datei wp-config.php. Sie definiert auch den Tabellen-Präfix, mit dem Wordpress bei der Installation alle erforderlichen MySQL-Tabellen anlegt. Gewöhnlich handelt es sich um den Präfix wp_. Vergeben Sie an dieser Stelle immer einen vom Standard abweichenden Präfix. Achten Sie aber darauf, dass Sie nur Zahlen, Buchstaben und Unterstriche verwenden, denn andere Zeichen unterstützt MySQL nicht.

Ebenfalls in der Datei wp-config.php haben Sie die Möglichkeit, drei Konstanten zu definieren, um die Sicherheit von Wordpress zu erhöhen. Die Software verwendet die drei Schlüssel an unterschiedlichen Stellen, um Informationen in den Cookies der Anwender besser zu verschlüsseln. Um willkürliche Zeichenketten zu erzeugen und so den Standard zu verändern, bietet Wordpress einen Online-Service [1], der es Ihnen erlaubt, die drei Konstanten neu zu definieren (Abbildung 2).

Abbildung 2: Bei jedem Reload generiert die hier gezeigte Webseite drei neue geheime Schlüssel, die Sie in die Datei wp-config.php einsetzen können.

Datei- und Verzeichnisrechte

Unterscheiden Sie die Rechte der Dateien und Verzeichnisse angemessen. Egal, ob Sie Dateien über das Wordpress-Backend bearbeiten oder ob Sie diese per FTP ablegen, sollten Sie die Rechte entsprechend restriktiv setzen. Durch eingeschränkte Rechte erschweren Sie es Angreifern, die Dateien und Verzeichnisse zu verändern.

In der Regel sammeln Suchmaschinen bis zu einer gewissen Hierarchie-Ebene auf einer Webseite alle Informationen, an die sie herankommen. Mit Hilfe der Datei robots.txt im Wurzelverzeichnis der Wordpress-Installation verhindern Sie unerwünschte Onlinedurchsuchungen. Die internen Verzeichnisse von Wordpress sollten in keinem Suchergebnis auftauchen. Ein einfaches Disallow: /wp-admin/ genügt, und die Suchmaschinen verschonen den Ordner wp-admin.

Bei diversen konfigurierten Servern besteht unter Umständen die Möglichkeit, dass der Browser des Besuchers die Inhalte sämtlicher Ordner und Dateien der Wordpress-Installation auflistet, wenn ein Besucher die Adressen direkt aufruft, etwa über http://meine_domain.de/wp-content/. Das unterbinden Sie, indem Sie in den jeweiligen Verzeichnissen eine leere Datei namens index.html ablegen. Alternativ leistet dies ein Plugin namens Secure WordPress[2].

LinuxCommunity kaufen

Einzelne Ausgabe
 
Abonnements
 
TABLET & SMARTPHONE APPS
Bald erhältlich
Get it on Google Play

Deutschland

Ähnliche Artikel

Kommentare

Infos zur Publikation

LU 05/2017: Linux unterwegs

Digitale Ausgabe: Preis € 5,95
(inkl. 19% MwSt.)

LinuxUser erscheint monatlich und kostet 5,95 Euro (mit DVD 8,50 Euro). Weitere Infos zum Heft finden Sie auf der Homepage.

Das Jahresabo kostet ab 86,70 Euro. Details dazu finden Sie im Computec-Shop. Im Probeabo erhalten Sie zudem drei Ausgaben zum reduzierten Preis.

Bei Google Play finden Sie digitale Ausgaben für Tablet & Smartphone.

HINWEIS ZU PAYPAL: Die Zahlung ist ohne eigenes Paypal-Konto ganz einfach per Kreditkarte oder Lastschrift möglich!

Aktuelle Fragen

Knoppix-Live-CD (8.0 LU-Edition) im Uefiboot?
Thomas Weiss, 26.04.2017 20:38, 0 Antworten
Hallo, Da mein Rechner unter Windows 8.1/64Bit ein Soundproblem hat und ich abklären wollte, o...
Grub2 reparieren
Brain Stuff, 26.04.2017 02:04, 5 Antworten
Ein Windows Update hat mir Grub zerschossen ... der Computer startet nicht mehr mit Grub, sondern...
Linux open suse 2,8
Wolfgang Gerhard Zeidler, 18.04.2017 09:17, 2 Antworten
Hallo.bitte um Hilfe bei. Code fuer den Rescue-login open suse2.8 Mfg Yvo
grep und sed , gleicher Regulärer Ausdruck , sed mit falschem Ergebnis.
Josef Federl, 15.04.2017 00:23, 1 Antworten
Daten: dlfkjgkldgjldfgl55.55klsdjfl jfjfjfj8.22fdgddfg {"id":"1","name":"Phase L1","unit":"A",...
IP Cams aufzeichnen?
Bibliothek der Technischen Hochschule Mittelhessen / Giessen, 07.04.2017 09:25, 7 Antworten
Hallo, da nun des öfteren bei uns in der Nachbarschaft eingebrochen wird, würde ich gern mein...