Sidebar
ein-/ausblenden

WordPress sicher installieren/ machen

Plugin für WordPress SEO

Anzeige

Immer wieder bekomme ich Fragen zum Thema Sicherheit einer WordPress-Installation, vorrangig via E-Mail. Ebenso werde ich darauf hingewiesen, dass das Thema in meinem Buch „WordPress - Weblogs einrichten und administrieren“ keinen Raum fand.

Dem muss ich leider zustimmen und der Kritik nehme ich mich gerne an.
Deshalb habe ich nun den Entwurf auf dem SVN geholt und stark vereinfacht auf das zugehörige Blog gesetzt.

Da ich glaube, dass ich eine ganze Reihe von Sicherheitsaspekten dort hinterlegt habe und in kurzer Form erläutere, möchte ich den Lesern dieses privaten Blogs hier den Artikel „WordPress sicher machen“ nicht vorenthalten.

WordCamp08

In diesem Zusammenhang noch ein kleiner Hinweis in eigener Sache. Auf Einladung der Organisatoren, werde ich auf dem WordCamp08 einen kleinen Vortrag zum Thema Sicherheit halten, allerdings vorrangig im Bezug auf WordPress Plugins. Nicht viel, nichts besonderes, aber vielleicht für den einen oder anderen interessant, da ich einige Möglichkeiten zeigen möchte, wie man Plugins recht sicher gestallten kann - ohne große Aufwand. Viele Ansätze kann man dabei auf die Erstellung von Themes ebenfalls einsetzen.

Sollte der eine oder andere leider nicht auf dem WordCamp erscheinen können, ich werden die Präsentation im Anschluss sicher hier hochladen und einige Punkte dazu erläutern.

Artikel #600, 21. Januar 2008 · Tipps, WordPress · 15 Kommentare · Kommentar schreiben
Tags: , , , ,
Kommentar-Feed zum Artikel · TrackBack URL · Kurzlink

«
»

11 Kommentare und 4 Trackbacks zu „WordPress sicher installieren/ machen“

  1. 1
    Kommentar von Cris
    21. Januar 2008 um 14:44

    Hab es gerade überflogen...hätte ich besser nicht lesen sollen, da ich mir nun ernsthaft Gedanken über meinen Blog mache...trotzdem danke für den ausführlichen Post, werde mich die Tage mal hinsetzen und das Zeug anwenden.

  2. 2
    Kommentar von Julia
    21. Januar 2008 um 18:39

    Ein sehr interessantes Thema, welches es verdient sicherlich bekannter gemacht zu werden. Würde einen Download sehr begrüßen, doch ist bei dem Wordcamp eigentlich eine Seite für den Download aller Sitzungen etc. angedacht, sodass es auch Leuten, die gerne kommen wollten, aber verhindert sind, die Möglichkeit haben, ebenfalls am Content teilzuhaben?

  3. 3
    Kommentar von Frank Bültge
    21. Januar 2008 um 19:59

    @Julia: leider kann ich darauf keine Antwort geben. Bitte frage doch auf den Seiten zum WordCamp08 an, die Organisatoren geben bestimmt Auskunft.

  4. 4
    Kommentar von Ralf
    22. Januar 2008 um 02:07

    Zum Thema WordPress&Sicherheit kann man wahrscheinlich ein eigenes Buch schreiben. im Agenturblog steht ebenfalls ein Artikel mit 8 guten Ratschlägen. Mir fallen auf Anhieb noch ein paar mehr ein. Oft wird z.B. die Möglichkeiten von .htaccess gerne vernachlässigt. Auch wenn es bei .htaccess vornehmlich um den Server/Webspace an sich geht, kann man damit bestimmte Bereiche von WP gesondert schützen.

  5. 5
    Kommentar von Frank Bültge
    22. Januar 2008 um 09:44

    Hallo Ralf,
    den Zugriff per .htaccess einschränken, auch das erkläre ich im Artikel. Das Einschränken empfehle ich auch für die Bereiche wp-includes und wp-content. Allerdings bin ich kein Fan von IP-Beschränkugn auf wp-admin, da ich von vielen unterschiedlichen Standorten auf mein Backend zugreife, denn ich bin viel unterwegs und mag den Vorteil eines CMS - von überall darauf zugreifen.

  6. 6
    Kommentar von Ralf
    22. Januar 2008 um 10:56

    Passwortabfragen oder IP-Filter per .htaccess sind da ja nur rudimentäre Dinge. Ich habe mir z.B. eine .htaccess geschrieben die sicherstellt (oder sicherstellen soll), dass niemand von außen auf die Dateien zugreifen kann. Somit habe ich schon mal sehr viele potentielle Sicherheitslöcher vorab geblockt.

    Aber wie gesagt, WP und Sicherheit. Da kann man wahrscheinlich ein eigenes Buch drüber schreiben. Oder ein Blog ;)

  7. 7
    Kommentar von Erik
    22. Januar 2008 um 13:41

    Hältst du deinen Vortrag am Samstag oder am Sonntag? Wie dem auch sei: man sieht sich beim WordCamp. :)

  8. 8
    Kommentar von Frank Bültge
    22. Januar 2008 um 15:42

    Es gibt keinen Fahrplan, aber ich hoffe am Samstag. Ich will pünktlich sein, mal sehen, was die Autobahn her gibt, da ich im optimalen Fall 4h unterwegs bin.

  9. 9
    Pingback von 9 Quick Tipps zur Sicherheit - oder Hilfe mein Blog wurde gehackt
    22. Januar 2008 um 16:54
  10. 10
    Kommentar von palindrom
    23. Januar 2008 um 11:57

    Es ist doch immer wieder verblüffend, an was man so sicherheitstechnisch so alles denken muß! Vielen Dank für die -auch für Laien- verständlichen Anleitung!
    p.

  11. 11
    Kommentar von Tobi
    23. Januar 2008 um 13:52

    Hallo,

    was ich mir künftig direkt in den Core-Files wünschen würde, wäre eine Möglichkeit, die Ordner-Präfixe zu ändern (wp-admin, wp-includes, wp-content). Momentan sind die Pfade aller Dateien ja weitestgehend klar - zumindest für wp-includes ist das unnötig, da dieser Ordner im Frontend nicht benötigt wird. Für den Ordner wp-admin gilt das gleiche, solange keine Benutzeregistrierung möglich ist.

  12. 12
    Kommentar von Frank Bültge
    23. Januar 2008 um 14:48

    Das bringt man nur auf den Weg, wenn man es als Wunsch bei wordpress.org hinterlegt. Dort kann es dann eine Akzeptanz bekommen und je nach Prio umgesetzt werden.

  13. 13
    Pingback von Nach dem WordCamp ist vor dem BarCamp | MyAlikes Blog
    27. Januar 2008 um 20:58
  14. 14
    Pingback von WordPress sicherer machen
    31. Januar 2008 um 06:30
  15. 15
    Pingback von » Wordpress absichern. Bloggonaut.de: SEO, SEF, Internet, Technik und mehr.
    8. Mai 2008 um 13:06

Kommentar schreiben

Kommentarregeln: Bleib cool, kritisch ist in Ordnung, aber wenn du unhöflich bist, dann lösche ich deinen Kommentar. Bitte benutze deinen persönlichen Namen oder Initialen und nicht den Namen eines Unternehmens, dies würde als Spam gewertet und wird gelöscht. Der Zusammenhang zwischen Namen und URL sollte nicht offensichtlich auf Spam hindeuten! ♥ Ansonsten, vielen Dank für den Kommentar und viel Spaß mit meinem Blog.

E-Mail-Benachrichtigung bei weiteren Kommentaren.
Auch möglich: Abo ohne Kommentar.

Kommentar-Hilfe

händischer Spam:
Beachte die Kommentarregeln, jede Form von versuchtem Spam wird gelöscht. Warum und wieso steht in einem meiner Beiträge.

Bezug auf Textstellen:
Du kannst direkt bezug auf Textstellen im Beitrag nehmen. Dazu muss lediglich der Bereich im Artikel markiert werden; daraufhin erscheint ein Button, der den markierten Text in das Kommentarfeld übernimmt und als Zitat auszeichnet. Die Funktion ist nur bei aktivem JavaScript nutzbar.

xHTML:
Du kannst folgende Tags benutzen: <a href="" title=""> <abbr title=""> <acronym title=""> <blockquote cite=""> <code> <pre> <em> <strong> <strike> <ul> <ul> <li>

Achte darauf, wenn du Code im Kommentar hinterlegen willst, dann muss der Code maskiert sein. Dann wird er nicht interpretiert. Der Code muss mit Hilfe von HTML-Entities dargestellt werden, d.h. dass man z.B. < als &lt; und > als &gt; einfügt.

E-Mail-Benachrichtigung bei neuen Kommentaren ?
Wenn der Haken in der Checkbox gesetzt ist, dann wirst du über neue Kommentare vie E-Mail informiert. Der Versand erfolgt nur, wenn du die URL in der Bestätigungs-E-Mail genutzt hast oder schon Abonnent hier im Blog bist.

Kommentar erscheint nicht:
Alle Kommentare werden manuell geprüft, freigegeben und nach Möglichkeit beantwortet. Bitte um etwas Geduld und Nachsicht.

Identifikationsbilder (Avatare):
Auf Gravatar.com kann man sich mit seiner E-Mail-Adresse registrieren und ein Bild hochladen, dann erscheint dieses Gravatar hier und in vielen weiteren Blogs.

Spamschutz:
Das Kommentarformular ist mit einem Spamschutz ausgerüstet. Solltest du diesen Artikel ohne JavaScript besuchen und kommentieren wollen, so muss du die Frage beantworten und das jeweilige Wort in das Textfeld eingeben.