AA_tastatur_mit_schluessel.jpg

© Gernot Krautberger, Fotolia

Das eigene Blog absichern

Textsicher

Wordpress-Blogs lassen sich kinderleicht aufsetzen. Das wissen auch Spammer und Cracker. Mit ein paar Tricks lassen Sie die unerwünschten Besucher im Regen stehen.

Die freie Blogging-Software Wordpress (Abbildung 1) ist eine populäre und viel genutzte Anwendung. Damit gerät sie aber auch in das Visier von unangenehmen Zeitgenossen. Die versuchen mitunter, Spam-Links zu hinterlegen oder fremde Blogs zu zerstören, um ihr Können zu zeigen. Zum Glück gibt es vielschichtige Möglichkeiten, eine Webapplikation abzusichern. Der Artikel beleuchtet einige davon, die Sie recht einfach umsetzen. Eine Gewichtung fällt schwer, weil Sicherheit immer von verschiedenen Faktoren abhängt: Dürfen Sie etwa auf die Konfiguration des Servers zugreifen, können Sie im Vorfeld die Sicherheit deutlich erhöhen.

Abbildung 1: Im Dashboard von Wordpress 2.7 verwaltet der Administrator eingehende Beiträge.

Schlüssel und Tabellenpräfixe

Wordpress [0] ist für seine einfache und unkomplizierte Installation bekannt. Die sorgt aber auch dafür, dass sich die Installationen gleichen, was Angreifern den unbefugten Zutritt erleichtert. Weicht eine Installation hingegen vom Standard ab, kann das potenziellen Eindringlingen den Zugang erschweren.

Den Zugang zur Datenbank konfigurieren Sie in der Datei wp-config.php. Sie definiert auch den Tabellen-Präfix, mit dem Wordpress bei der Installation alle erforderlichen MySQL-Tabellen anlegt. Gewöhnlich handelt es sich um den Präfix wp_. Vergeben Sie an dieser Stelle immer einen vom Standard abweichenden Präfix. Achten Sie aber darauf, dass Sie nur Zahlen, Buchstaben und Unterstriche verwenden, denn andere Zeichen unterstützt MySQL nicht.

Ebenfalls in der Datei wp-config.php haben Sie die Möglichkeit, drei Konstanten zu definieren, um die Sicherheit von Wordpress zu erhöhen. Die Software verwendet die drei Schlüssel an unterschiedlichen Stellen, um Informationen in den Cookies der Anwender besser zu verschlüsseln. Um willkürliche Zeichenketten zu erzeugen und so den Standard zu verändern, bietet Wordpress einen Online-Service [1], der es Ihnen erlaubt, die drei Konstanten neu zu definieren (Abbildung 2).

Abbildung 2: Bei jedem Reload generiert die hier gezeigte Webseite drei neue geheime Schlüssel, die Sie in die Datei wp-config.php einsetzen können.

Datei- und Verzeichnisrechte

Unterscheiden Sie die Rechte der Dateien und Verzeichnisse angemessen. Egal, ob Sie Dateien über das Wordpress-Backend bearbeiten oder ob Sie diese per FTP ablegen, sollten Sie die Rechte entsprechend restriktiv setzen. Durch eingeschränkte Rechte erschweren Sie es Angreifern, die Dateien und Verzeichnisse zu verändern.

In der Regel sammeln Suchmaschinen bis zu einer gewissen Hierarchie-Ebene auf einer Webseite alle Informationen, an die sie herankommen. Mit Hilfe der Datei robots.txt im Wurzelverzeichnis der Wordpress-Installation verhindern Sie unerwünschte Onlinedurchsuchungen. Die internen Verzeichnisse von Wordpress sollten in keinem Suchergebnis auftauchen. Ein einfaches Disallow: /wp-admin/ genügt, und die Suchmaschinen verschonen den Ordner wp-admin.

Bei diversen konfigurierten Servern besteht unter Umständen die Möglichkeit, dass der Browser des Besuchers die Inhalte sämtlicher Ordner und Dateien der Wordpress-Installation auflistet, wenn ein Besucher die Adressen direkt aufruft, etwa über http://meine_domain.de/wp-content/. Das unterbinden Sie, indem Sie in den jeweiligen Verzeichnissen eine leere Datei namens index.html ablegen. Alternativ leistet dies ein Plugin namens Secure WordPress[2].

LinuxCommunity kaufen

Einzelne Ausgabe
 
Abonnements
 
TABLET & SMARTPHONE APPS
Bald erhältlich
Get it on Google Play

Deutschland

Ähnliche Artikel

Kommentare

Infos zur Publikation

LU 02/2017: SICHER IM NETZ

Digitale Ausgabe: Preis € 5,95
(inkl. 19% MwSt.)

LinuxUser erscheint monatlich und kostet 5,95 Euro (mit DVD 8,50 Euro). Weitere Infos zum Heft finden Sie auf der Homepage.

Das Jahresabo kostet ab 86,70 Euro. Details dazu finden Sie im Computec-Shop. Im Probeabo erhalten Sie zudem drei Ausgaben zum reduzierten Preis.

Bei Google Play finden Sie digitale Ausgaben für Tablet & Smartphone.

HINWEIS ZU PAYPAL: Die Zahlung ist ohne eigenes Paypal-Konto ganz einfach per Kreditkarte oder Lastschrift möglich!

Aktuelle Fragen

Samba-Server für Win-Daten & Linux-Dateirechte
Gerd Grundmann, 12.01.2017 18:25, 0 Antworten
Hallo Gemeinde, ich habe ewig gegooo.. aber nicht wirklich gefunden, was ich suche. Auf mei...
LM Cinnamon 18.1Serena 64 bit
Herwig Ameisbichler, 11.01.2017 13:02, 6 Antworten
Hallo an alle. Bin Linux Neuling.Habe auf meiner SSD neben W10 (finde ich nicht mehr)LM17.2 auch...
Bilder in E-Mail einbinden?
Werner Hahn, 23.12.2016 12:18, 4 Antworten
Dell Latitude E6510, Ubuntu 16.04, Mozilla Firefox Ich bitte um eine leicht verständliche Anle...
Linux Mint 17.2
Herwig Ameisbichler, 17.12.2016 11:19, 4 Antworten
Wer kann mir helfen? Hab seit gestern Linux am Pc.Wie kann ich diese Miniaturschrift im Menü,Lei...
Linux 17.2 Treiber f. PC Drucker installieren
Ernst Malitzki, 11.12.2016 13:04, 7 Antworten
Habe einen PC Drucker von HP. Möchte diesen PC Drucker an meinen PC anschließen. Hierzu benötige...