Umfangreiches PDF zu WordPress-Sicherheit

Gerade eben im WordPress-Deutschland-Forum gefunden: PDF-Dokument WordPress Sicherheit von “glcknb” (nach Aussage des Autors noch nicht ganz fertig). Das Dokument beschreibt ausführlich, welche Angriffsarten es gibt (z. B. sog. “MySQL-Injections”, die direkt die Datenbank angreifen) und welche Möglichkeiten es gibt, das eigene WordPress-Blog zu schützen. Auch das Thema Spam kommt nicht zu kurz. (Heutzutage werden Blogs üblicherweise sowieso gehackt, um möglichst unauffällig Spam-Links darin unterzubringen, weshalb die Angriffe oft nicht bemerkt werden.)

Veröffentlicht am 10. September 2009 um 20:44 von Olivia Adler · Permalink · Kommentieren
In: Sicherheit · Schlagworte: , , , ,

WordPress Security Guide

Der WordPress Security Guide von J. T. Pratt beschreibt, woran man eine gehackte WordPress-Installation erkennt und was man tun kann, um das eigene Blog sicherer zu machen.

Mehr zum Thema Sicherheit ist übrigens auch im Buch “Praxiswissen WordPress” nachzulesen – weil es so wichtig ist, habe ich dem Thema ein ganzes Kapitel gewidmet.

Veröffentlicht am 5. September 2009 um 18:10 von Olivia Adler · Permalink · Kommentieren
In: Sicherheit · Schlagworte: , ,

Angriffswelle auf alte WordPress-Versionen

Wie Vlad Perun in seinem Blog berichtet, stehen alte WordPress-Versionen aktuell unter Beschuss, erkennbar an einem neuen Admin-Konto und veränderter Permalink-Struktur.

Die Quell-News sind in englisch bei TechCrunch nachzulesen, in einem dort verlinkten Blogartikel ist davon die Rede, dass alle Versionen, die älter als 2.8.3 sind, anfällig für den Angriff sind, der direkt die Datenbank attackiert. Die Angriffe gehen gerade erst los und weiten sich noch aus. Weitere Details bei fieser-admin.de.

(weiterlesen…)

Veröffentlicht am 5. September 2009 um 17:59 von Olivia Adler · Permalink · Kommentieren
In: Sicherheit · Schlagworte: , , , ,

Mehr Sicherheit für die Mediathek ab WP 2.8.5

Das nächste Punktrelease steht in den Startlöchern: bald soll 2.8.5 rauskommen, und es bringt ein neues Sicherheitsfeature. Bisher konnten Administratoren beliebige Dateitypen in die Mediathek hochladen. Ab 2.8.5 geht das nicht mehr, dann sind nur noch Dateitypen zulässig, die in einer Whitelist festgelegt sind, wie TalkPress schreibt. Dort wird auch erklärt, wie man dieses Feature ausschalten kann, nämlich durch folgenden Eintrag in einer zusätzlichen Zeile in der wp-config.php:

define ('ALLOW_UNFILTERED_UPLOADS', true);

Bequemer geht es mit dem ebenfalls von TalkPress empfohlenen Plugin WordPress mime-config.

Veröffentlicht am 30. August 2009 um 16:33 von Olivia Adler · Permalink · Kommentieren
In: Mediathek, Sicherheit · Schlagworte: , ,

.htaccess und die Tücken

Im Buch gebe ich (wie viele Kolleginnen und Kollegen auch) den Tipp, den Admin-Bereich (Unterverzeichnis /wp-admin/) zusätzlich durch .htaccess und .htpasswd zu schützen.

Mit Hilfe von htaccesstools.com kann man sich die nötigen Dateien erstellen lassen, wenn der gemietete Webspace nur FTP-Zugriff bietet.

Eine Tücke ist mir gerade aufgefallen: wenn das Verzeichnis /wp-admin/ so geschützt wird, kommt auch beim Upload von Bildern o. ä. in die Mediathek eine Passwortabfrage – und sobald die Daten eingegeben wurden, passiert nichts mehr, der Browser bleibt hängen. Abhilfe: auf den HTML-Uploader umstellen (wird im Upload-Dialog angeboten), dann funktioniert der Upload problemlos.

Veröffentlicht am 17. August 2009 um 19:55 von Olivia Adler · Permalink · Kommentieren
In: Sicherheit · Schlagworte: , , , ,