28
Sep

Sicherheit in Wordpress (Teil 2)

in Sicherheit, Wordpress mit keinem Kommentar

Es ist eine Woche um und an dieser Stelle gibt es den zweiten Teil meiner Reihe “Sicherheit in Wordpress”. In dieser Woche dreht sich alles, um die Sicherheit auf Datenbankebene. Welche mit ein paar einfachen Kniffen und Tricks ungemein erhöht wird und Angreifern somit keine Chance haben.

1. Präfix der MySQL-Tabellen ändern

Das umbenennen der Tabellenpräfixe ist ein weiterer Schritt zur Verschleierung ihres Datenbanksystems und macht es für den Angreifer schwerer SQL-Injections abzusetzen, da er die Namen ihrer Tabellen nicht kennt. Vor einer Wordpressinstallation können Sie ohne Probleme in der wp-config.php den Wert der Variable

$table_prefix = 'wp_';

abändern. Nach einer Installation ist dies nur möglich in dem Sie zusätzlich alle Tabellen auf Datenbankebene umbenennen und in der Tabelle wp_options das Präfix abändern. Genauere Informationen zu der manuellen Lösung des Problems finden Sie im Secure-WP-WhitePaper oder Sie nutzen das Plugin Prefix Changer, welches ihnen die manuelle Arbeit abnimmt.

2. Standardadministrator umbenennen

Standardmäßig ist der Benutzer in Wordpress unter dem Loginnamen admin bekannt. Durch abändern dieses Benutzernamens kann man einem Angreifer schon ein Bein stellen und ihm somit keinen Angriffspunkt für mehr geben. Durch das folgende Query kann ganz einfach der Benutzername des Administrators umbenannt werden.

UPDATE wp_users SET user_login = 'Loginname', display_name = 'Anzeige Name' WHERE ID = 1;

3. Benutzer ID abändern

Die ID des Standardbenutzers ist auch bekannt bei Wordpress und wird Standardmäßig mit der ID 1 vergeben. Es existieren somit zwei Varianten zum Ändern der Benutzer ID. Die erste Variante wird durch zwei einfache Queries auf MySQL-Ebene ausgeführt. Diese lauten:

UPDATE wp_users SET ID = '15' WHERE ID = 1;
UPDATE wp_usermeta SET user_id = '15' WHERE user_id = 1;

In der zweiten Variante können Sie einen neuen Nutzer mit Administrationsrechten anlegen und den alten Account, welcher unter Admin und der Benutzer ID 1 läuft, über den neuen Adminaccount löschen.

4. Datenbankzugriff einschränken

Wenn Sie die Möglichkeit besitzen die Nutzerrechte auf Datenbankebene für verschiedene SQL-Befehle einzuschränken. So können Sie nur die nötigsten Befehle zulassen und einen eingedrungenen Angreifer an Bewegungsfreiheit nehmen.

Dies war es schon wieder für diese Woche. Ich hoffe ich konnte euch weitere Sicherheitstipps für Wordpress beibringen und erläutern und in der nächsten erfahrt ihr wie wann man das Dateisystem von Wordpress verschleiern kann.

Dir hat der Beitrag gefallen? Abonniere goizio.com als RSS Feed oder richte einen Trackback auf deiner Seite ein. Dieser Beitrag enthält die Schlagwörter: , , , ,

Welche Meinung besitzen Sie zu diesem Thema?




Der Autor

Mathias 'United20' Schmidt
Der Autor Mathias Schmidt ist Programmierer und beschäftigt sich seit einiger Zeit auch mit SEO und Wordpress.
XING
Skype Me!