AA_tastatur_mit_schluessel.jpg

© Gernot Krautberger, Fotolia

Das eigene Blog absichern

Textsicher

Wordpress-Blogs lassen sich kinderleicht aufsetzen. Das wissen auch Spammer und Cracker. Mit ein paar Tricks lassen Sie die unerwünschten Besucher im Regen stehen.

Die freie Blogging-Software Wordpress (Abbildung 1) ist eine populäre und viel genutzte Anwendung. Damit gerät sie aber auch in das Visier von unangenehmen Zeitgenossen. Die versuchen mitunter, Spam-Links zu hinterlegen oder fremde Blogs zu zerstören, um ihr Können zu zeigen. Zum Glück gibt es vielschichtige Möglichkeiten, eine Webapplikation abzusichern. Der Artikel beleuchtet einige davon, die Sie recht einfach umsetzen. Eine Gewichtung fällt schwer, weil Sicherheit immer von verschiedenen Faktoren abhängt: Dürfen Sie etwa auf die Konfiguration des Servers zugreifen, können Sie im Vorfeld die Sicherheit deutlich erhöhen.

Abbildung 1: Im Dashboard von Wordpress 2.7 verwaltet der Administrator eingehende Beiträge.

Schlüssel und Tabellenpräfixe

Wordpress [0] ist für seine einfache und unkomplizierte Installation bekannt. Die sorgt aber auch dafür, dass sich die Installationen gleichen, was Angreifern den unbefugten Zutritt erleichtert. Weicht eine Installation hingegen vom Standard ab, kann das potenziellen Eindringlingen den Zugang erschweren.

Den Zugang zur Datenbank konfigurieren Sie in der Datei wp-config.php. Sie definiert auch den Tabellen-Präfix, mit dem Wordpress bei der Installation alle erforderlichen MySQL-Tabellen anlegt. Gewöhnlich handelt es sich um den Präfix wp_. Vergeben Sie an dieser Stelle immer einen vom Standard abweichenden Präfix. Achten Sie aber darauf, dass Sie nur Zahlen, Buchstaben und Unterstriche verwenden, denn andere Zeichen unterstützt MySQL nicht.

Ebenfalls in der Datei wp-config.php haben Sie die Möglichkeit, drei Konstanten zu definieren, um die Sicherheit von Wordpress zu erhöhen. Die Software verwendet die drei Schlüssel an unterschiedlichen Stellen, um Informationen in den Cookies der Anwender besser zu verschlüsseln. Um willkürliche Zeichenketten zu erzeugen und so den Standard zu verändern, bietet Wordpress einen Online-Service [1], der es Ihnen erlaubt, die drei Konstanten neu zu definieren (Abbildung 2).

Abbildung 2: Bei jedem Reload generiert die hier gezeigte Webseite drei neue geheime Schlüssel, die Sie in die Datei wp-config.php einsetzen können.

Datei- und Verzeichnisrechte

Unterscheiden Sie die Rechte der Dateien und Verzeichnisse angemessen. Egal, ob Sie Dateien über das Wordpress-Backend bearbeiten oder ob Sie diese per FTP ablegen, sollten Sie die Rechte entsprechend restriktiv setzen. Durch eingeschränkte Rechte erschweren Sie es Angreifern, die Dateien und Verzeichnisse zu verändern.

In der Regel sammeln Suchmaschinen bis zu einer gewissen Hierarchie-Ebene auf einer Webseite alle Informationen, an die sie herankommen. Mit Hilfe der Datei robots.txt im Wurzelverzeichnis der Wordpress-Installation verhindern Sie unerwünschte Onlinedurchsuchungen. Die internen Verzeichnisse von Wordpress sollten in keinem Suchergebnis auftauchen. Ein einfaches Disallow: /wp-admin/ genügt, und die Suchmaschinen verschonen den Ordner wp-admin.

Bei diversen konfigurierten Servern besteht unter Umständen die Möglichkeit, dass der Browser des Besuchers die Inhalte sämtlicher Ordner und Dateien der Wordpress-Installation auflistet, wenn ein Besucher die Adressen direkt aufruft, etwa über http://meine_domain.de/wp-content/. Das unterbinden Sie, indem Sie in den jeweiligen Verzeichnissen eine leere Datei namens index.html ablegen. Alternativ leistet dies ein Plugin namens Secure WordPress[2].

LinuxCommunity kaufen

Einzelne Ausgabe
 
Abonnements
 
TABLET & SMARTPHONE APPS
Bald erhältlich
Get it on Google Play

Deutschland

Ähnliche Artikel

Kommentare

Infos zur Publikation

LU 10/2017: Daten retten & sichern

Digitale Ausgabe: Preis € 8,50
(inkl. 19% MwSt.)

LinuxUser erscheint monatlich und kostet 5,95 Euro (mit DVD 8,50 Euro). Weitere Infos zum Heft finden Sie auf der Homepage.

Das Jahresabo kostet ab 86,70 Euro. Details dazu finden Sie im Computec-Shop. Im Probeabo erhalten Sie zudem drei Ausgaben zum reduzierten Preis.

Bei Google Play finden Sie digitale Ausgaben für Tablet & Smartphone.

HINWEIS ZU PAYPAL: Die Zahlung ist ohne eigenes Paypal-Konto ganz einfach per Kreditkarte oder Lastschrift möglich!

Stellenmarkt

Aktuelle Fragen

Lieber Linux oder Windows- Betriebssystem?
Sina Kaul, 13.10.2017 16:17, 2 Antworten
Hallo, bis jetzt hatte ich immer nur mit
IT-Kurse
Alice Trader, 26.09.2017 11:35, 2 Antworten
Hallo liebe Community, ich brauche Hilfe und bin sehr verzweifelt. Ih bin noch sehr neu in eure...
Backup mit KUP unter Suse 42.3
Horst Schwarz, 24.09.2017 13:16, 3 Antworten
Ich möchte auch wieder unter Suse 42.3 mit Kup meine Backup durchführen. Eine Installationsmöglic...
kein foto, etc. upload möglich, wo liegt mein fehler?
kerstin brums, 17.09.2017 22:08, 5 Antworten
moin, zum erstellen einer einfachen wordpress website kann ich keine fotos uploaden. vom rechne...
Arch Linux Netzwerkkonfigurationen
Franziska Schley, 15.09.2017 18:04, 0 Antworten
Moin liebe Linux community, ich habe momentan Probleme mit der Einstellung des Lan/Wlan in Arc...