Archiv für Kategorie ‘Sicherheit’

Manuelles WordPress-Update leicht gemacht

Das manuelle WordPress-Update schreckt die meisten ab – auf dem Server liegen ja doch viele Dateien, das Blog kann in der Zeit nicht sauber aufgerufen werden, man könnte die falsche Datei löschen… alles Gründe, die einen entweder zum automatischen Update via Knopfdruck im Dashboard greifen lassen (was unweigerlich zu einem erhöhten Adrenalinspiegel führt, während man wartet, ob das Update sauber durchläuft oder fehlschlägt) oder dazu führen, dass das eigentlich notwendige Update erstmal aufgeschoben wird.

Der admartinator stellt in seinem Blog einen Weg vor, wie man das manuelle Update so durchführt, dass die Leser des Blogs möglichst wenig davon mitkriegen und gleichzeitig alle Altdaten während des Updates gesichert werden: “WordPress Update leicht und schnell gemacht“.

Veröffentlicht am 23. November 2011 um 13:39 von Adler Olivia · Permalink · Kommentieren
In: Installation, Sicherheit · Schlagworte: 

WordPress – Vorsicht bei Themes unbekannter Herkunft!

Im Buch und auch in Beratungen gebe ich immer den Tipp, sich Themes, die nicht von wordpress.org oder wordpress-deutschland.org kommen, ganz genau auf möglichen Schadcode anzusehen, bevor man sie einsetzt. (Wobei man auch bei vertrauenswürdigen Quellen wie diesen nie eine 100 %-Garantie geben kann – “Vertrauen ist gut, Kontrolle ist besser”.)

Aktuell sind wieder mal Themes mit einem Quasi-Trojaner im Gepäck ins Gerede gekommen: Sucuri Security berichtet über WordPress-Themes, die nach Hause telefonierten und dem Server der Theme-Entwickler Meldung machten über jeden Besucher (mit IP-Adresse!) von Websites, die mit diesem Theme ausgestattet sind. Das ist nicht nur wegen der Missbrauchsmöglichkeiten kritisch (immerhin könnte jemand den Server der Entwickler hacken und auf diesem Weg alle Sites, die das Theme einsetzen, mit Malware infizieren), sondern auch vom Datenschutz-Aspekt her: hier würde eine IP-Speicherung auf fremden Servern erfolgen, über die der Blogbetreiber aufgrund von Unkenntnis des Vorgangs den Blogbesucher gar nicht via Datenschutzerklärung informieren konnte.

Die Hintertür flog auf, als der Server eine Weile offline war und Fehlermeldungen in den Blogs, die mit diesem Theme ausgestattet waren, erschienen.

Besonders perfide war, dass der fragwürdige Code nicht etwa innerhalb einer PHP-Datei versteckt war, sondern in einer Bilddatei namens wp.gif. Darauf muss man auch erstmal kommen.

(via wpSEO)

Veröffentlicht am 1. Juni 2010 um 20:28 von Olivia Adler · Permalink · Kommentieren
In: Sicherheit, Themes · Schlagworte: , , , ,

Admin-Bereich in WordPress absichern

Man kann es nicht oft genug sagen: das Dashboard (= Admin-Bereich) sollte nicht öffentlich zugänglich sein, und mit Hilfe von .htaccess ist eine zusätzliche Passwort-Absicherung schnell und einfach zu realisieren. Am einfachsten ist zwar, das gesamte wp-admin-Verzeichnis abzusichern, damit schränkt man aber den Betrieb von WordPress ein, weil WordPress ebenfalls von außen auf dieses Verzeichnis zugreift (beispielsweise bei der Verifizierung der Eingabe in Formularfeldern). Besser ist daher, nur einzelne System-Dateien abzusichern. Wie, das erklärt  Sergej Müller gut verständlich und eindringlich auf playground.ebiene.de.

Für das Problem mit dem Zugriff auf den Admin-Ordner bei unvollständig ausgefüllten Kommentarfeldern gibt es noch eine andere Lösung, vorgestellt bei “dies und das”.

Veröffentlicht am 11. Mai 2010 um 13:13 von Olivia Adler · Permalink · Kommentieren
In: Sicherheit · Schlagworte: , , ,

WordPress sicherer machen: Artikel online auf magnus.de

Mein WordPress-Security-Artikel, den ich für das Internet Magazin Ausgabe 04/2010 geschrieben habe, ist inzwischen auch online verfügbar: WordPress gegen Angriff schützen: So halten Sie Hacker vom Blog fern – WordPress vor Hackern schützen – Webdesign – Internet – magnus.de.

Weitere wichtige und aktuelle Security-Tipps finden Sie bei Frank Bueltge: WordPress gehackt, was tun – eine Schnellhilfe.

Veröffentlicht am 8. Mai 2010 um 04:18 von Adler Olivia · Permalink · Kommentieren
In: Sicherheit · Schlagworte: ,

Umfangreiches PDF zu WordPress-Sicherheit

Gerade eben im WordPress-Deutschland-Forum gefunden: PDF-Dokument WordPress Sicherheit von “glcknb” (nach Aussage des Autors noch nicht ganz fertig). Das Dokument beschreibt ausführlich, welche Angriffsarten es gibt (z. B. sog. “MySQL-Injections”, die direkt die Datenbank angreifen) und welche Möglichkeiten es gibt, das eigene WordPress-Blog zu schützen. Auch das Thema Spam kommt nicht zu kurz. (Heutzutage werden Blogs üblicherweise sowieso gehackt, um möglichst unauffällig Spam-Links darin unterzubringen, weshalb die Angriffe oft nicht bemerkt werden.)

Veröffentlicht am 10. September 2009 um 20:44 von Olivia Adler · Permalink · Kommentieren
In: Sicherheit · Schlagworte: , , , ,

WordPress Security Guide

Der WordPress Security Guide von J. T. Pratt beschreibt, woran man eine gehackte WordPress-Installation erkennt und was man tun kann, um das eigene Blog sicherer zu machen.

Mehr zum Thema Sicherheit ist übrigens auch im Buch “Praxiswissen WordPress” nachzulesen – weil es so wichtig ist, habe ich dem Thema ein ganzes Kapitel gewidmet.

Veröffentlicht am 5. September 2009 um 18:10 von Olivia Adler · Permalink · Kommentieren
In: Sicherheit · Schlagworte: , ,

Angriffswelle auf alte WordPress-Versionen

Wie Vlad Perun in seinem Blog berichtet, stehen alte WordPress-Versionen aktuell unter Beschuss, erkennbar an einem neuen Admin-Konto und veränderter Permalink-Struktur.

Die Quell-News sind in englisch bei TechCrunch nachzulesen, in einem dort verlinkten Blogartikel ist davon die Rede, dass alle Versionen, die älter als 2.8.3 sind, anfällig für den Angriff sind, der direkt die Datenbank attackiert. Die Angriffe gehen gerade erst los und weiten sich noch aus. Weitere Details bei fieser-admin.de.

(mehr …)

Veröffentlicht am 5. September 2009 um 17:59 von Olivia Adler · Permalink · Kommentieren
In: Sicherheit · Schlagworte: , , , ,

Mehr Sicherheit für die Mediathek ab WP 2.8.5

Das nächste Punktrelease steht in den Startlöchern: bald soll 2.8.5 rauskommen, und es bringt ein neues Sicherheitsfeature. Bisher konnten Administratoren beliebige Dateitypen in die Mediathek hochladen. Ab 2.8.5 geht das nicht mehr, dann sind nur noch Dateitypen zulässig, die in einer Whitelist festgelegt sind, wie TalkPress schreibt. Dort wird auch erklärt, wie man dieses Feature ausschalten kann, nämlich durch folgenden Eintrag in einer zusätzlichen Zeile in der wp-config.php:

define ('ALLOW_UNFILTERED_UPLOADS', true);

Bequemer geht es mit dem ebenfalls von TalkPress empfohlenen Plugin WordPress mime-config.

Veröffentlicht am 30. August 2009 um 16:33 von Olivia Adler · Permalink · Kommentieren
In: Mediathek, Sicherheit · Schlagworte: , ,

.htaccess und die Tücken

Im Buch gebe ich (wie viele Kolleginnen und Kollegen auch) den Tipp, den Admin-Bereich (Unterverzeichnis /wp-admin/) zusätzlich durch .htaccess und .htpasswd zu schützen.

Mit Hilfe von htaccesstools.com kann man sich die nötigen Dateien erstellen lassen, wenn der gemietete Webspace nur FTP-Zugriff bietet.

Eine Tücke ist mir gerade aufgefallen: wenn das Verzeichnis /wp-admin/ so geschützt wird, kommt auch beim Upload von Bildern o. ä. in die Mediathek eine Passwortabfrage – und sobald die Daten eingegeben wurden, passiert nichts mehr, der Browser bleibt hängen. Abhilfe: auf den HTML-Uploader umstellen (wird im Upload-Dialog angeboten), dann funktioniert der Upload problemlos.

Veröffentlicht am 17. August 2009 um 19:55 von Olivia Adler · Permalink · Kommentieren
In: Sicherheit · Schlagworte: , , , ,