Für Menschen · Seien Sie begeistert und Sie werden begeistern !
Immer wieder bekomme ich Fragen zum Thema Sicherheit einer WordPress-Installation, vorrangig via E-Mail. Ebenso werde ich darauf hingewiesen, dass das Thema in meinem Buch „WordPress - Weblogs einrichten und administrieren“ keinen Raum fand.
Dem muss ich leider zustimmen und der Kritik nehme ich mich gerne an.
Deshalb habe ich nun den Entwurf auf dem SVN geholt und stark vereinfacht auf das zugehörige Blog gesetzt.
Da ich glaube, dass ich eine ganze Reihe von Sicherheitsaspekten dort hinterlegt habe und in kurzer Form erläutere, möchte ich den Lesern dieses privaten Blogs hier den Artikel „WordPress sicher machen“ nicht vorenthalten.

In diesem Zusammenhang noch ein kleiner Hinweis in eigener Sache. Auf Einladung der Organisatoren, werde ich auf dem WordCamp08 einen kleinen Vortrag zum Thema Sicherheit halten, allerdings vorrangig im Bezug auf WordPress Plugins. Nicht viel, nichts besonderes, aber vielleicht für den einen oder anderen interessant, da ich einige Möglichkeiten zeigen möchte, wie man Plugins recht sicher gestallten kann - ohne große Aufwand. Viele Ansätze kann man dabei auf die Erstellung von Themes ebenfalls einsetzen.
Sollte der eine oder andere leider nicht auf dem WordCamp erscheinen können, ich werden die Präsentation im Anschluss sicher hier hochladen und einige Punkte dazu erläutern.
Ich bin urlaubsreif, ersticke in Arbeit und damit auch für die Leser des Weblogs nicht zu erreichen. Bitte geduldet euch ein wenig mit Supportanfragen.
Leider muss ich die Kommentarfunktion deaktivieren, ansonsten würde ich weiter in Arbeit ersticken oder die Anfragen nicht nach bestem Gewissen beantworten.
Vielen Dank für das Verständnis!
bueltge.de [by:ltge.de] wird von Frank Bültge geführt, administriert und gestaltet. Alle Inhalte sind persönlich von mir ausgewählt und erstellt, nach bestem Gewissen und Können, was die Möglichkeit von Fehlern nicht ausschließt.
Das Weblog wird angetrieben von WordPress und aktuell gibt es 854 Beiträge, 15039 Kommentare in 14 Kategorien und 450 Tags.
Das Blog wird liebevoll mit xHTML & CSS in Handarbeit gestaltet.
Design und Code ist unter Copyright
© 2001 - 2010 bueltge.de [by:ltge.de]
21. Januar 2008 um 14:44
Hab es gerade überflogen...hätte ich besser nicht lesen sollen, da ich mir nun ernsthaft Gedanken über meinen Blog mache...trotzdem danke für den ausführlichen Post, werde mich die Tage mal hinsetzen und das Zeug anwenden.
21. Januar 2008 um 18:39
Ein sehr interessantes Thema, welches es verdient sicherlich bekannter gemacht zu werden. Würde einen Download sehr begrüßen, doch ist bei dem Wordcamp eigentlich eine Seite für den Download aller Sitzungen etc. angedacht, sodass es auch Leuten, die gerne kommen wollten, aber verhindert sind, die Möglichkeit haben, ebenfalls am Content teilzuhaben?
21. Januar 2008 um 19:59
@Julia: leider kann ich darauf keine Antwort geben. Bitte frage doch auf den Seiten zum WordCamp08 an, die Organisatoren geben bestimmt Auskunft.
22. Januar 2008 um 02:07
Zum Thema WordPress&Sicherheit kann man wahrscheinlich ein eigenes Buch schreiben. im Agenturblog steht ebenfalls ein Artikel mit 8 guten Ratschlägen. Mir fallen auf Anhieb noch ein paar mehr ein. Oft wird z.B. die Möglichkeiten von .htaccess gerne vernachlässigt. Auch wenn es bei .htaccess vornehmlich um den Server/Webspace an sich geht, kann man damit bestimmte Bereiche von WP gesondert schützen.
22. Januar 2008 um 09:44
Hallo Ralf,
den Zugriff per .htaccess einschränken, auch das erkläre ich im Artikel. Das Einschränken empfehle ich auch für die Bereiche wp-includes und wp-content. Allerdings bin ich kein Fan von IP-Beschränkugn auf wp-admin, da ich von vielen unterschiedlichen Standorten auf mein Backend zugreife, denn ich bin viel unterwegs und mag den Vorteil eines CMS - von überall darauf zugreifen.
22. Januar 2008 um 10:56
Passwortabfragen oder IP-Filter per .htaccess sind da ja nur rudimentäre Dinge. Ich habe mir z.B. eine .htaccess geschrieben die sicherstellt (oder sicherstellen soll), dass niemand von außen auf die Dateien zugreifen kann. Somit habe ich schon mal sehr viele potentielle Sicherheitslöcher vorab geblockt.
Aber wie gesagt, WP und Sicherheit. Da kann man wahrscheinlich ein eigenes Buch drüber schreiben. Oder ein Blog
22. Januar 2008 um 13:41
Hältst du deinen Vortrag am Samstag oder am Sonntag? Wie dem auch sei: man sieht sich beim WordCamp.
22. Januar 2008 um 15:42
Es gibt keinen Fahrplan, aber ich hoffe am Samstag. Ich will pünktlich sein, mal sehen, was die Autobahn her gibt, da ich im optimalen Fall 4h unterwegs bin.
22. Januar 2008 um 16:54
23. Januar 2008 um 11:57
Es ist doch immer wieder verblüffend, an was man so sicherheitstechnisch so alles denken muß! Vielen Dank für die -auch für Laien- verständlichen Anleitung!
p.
23. Januar 2008 um 13:52
Hallo,
was ich mir künftig direkt in den Core-Files wünschen würde, wäre eine Möglichkeit, die Ordner-Präfixe zu ändern (wp-admin, wp-includes, wp-content). Momentan sind die Pfade aller Dateien ja weitestgehend klar - zumindest für wp-includes ist das unnötig, da dieser Ordner im Frontend nicht benötigt wird. Für den Ordner wp-admin gilt das gleiche, solange keine Benutzeregistrierung möglich ist.
23. Januar 2008 um 14:48
Das bringt man nur auf den Weg, wenn man es als Wunsch bei wordpress.org hinterlegt. Dort kann es dann eine Akzeptanz bekommen und je nach Prio umgesetzt werden.
27. Januar 2008 um 20:58
31. Januar 2008 um 06:30
8. Mai 2008 um 13:06