05
Okt

Sicherheit in Wordpress (Teil 3)

in Sicherheit, Wordpress mit keinem Kommentar

Heute ist es nun wieder soweit. Teil 3 der großen Wordpress Sicherheit Reihe geht weiter und diese beschäftigt sich diesmal mit der Sicherung des Dateisystems und wie man am besten Angreifern einen Riegel vorschieben kann, wenn diese das Dateisystem von Wordpress ausnutzen wollen, um ungehindert aus den Installierten Blog zu sabotieren.

1. Restriktive Zugriffsrechte für Dateien geben

Sie können durch einfaches setzen der Dateizugriffsrechte einen gezielt in seiner Handlungsfreiheit einschränken. Da Wordpress nicht für alle Dateien schreibrechte benötigt, können Sie anhand der auf Wordpress.org erhältlichen Changing File Permissions Guide die Zugriffsrechte setzen. Natürlich ist es möglich durch das Setzen von falschen Dateiattributen die Funktionalität von Wordpress einzuschränken, dies passiert z.B. bei falschen Dateiattributen der .htaccess-Datei, was dazu führt dass das Umschreiben der Permalinks nicht mehr funktionsfähig ist.

2. Kein Indizieren von Unterverzeichnissen zulassen

Suchmaschinen, sowie Google können nicht nur Segen sein, sondern bringen auch durch ihre Gier nach Daten auch oftmals Probleme. Es kann sein, dass durch Zufall diverse Unterverzeichnisse in den Suchmaschinen indiziert werden. Dem kann entgegen gewirkt werden, indem eine robots.txt angelegt wird, in welcher man die Unterverzeichnisse aussperrt. Dies geschieht durch folgenden Syntax, welcher alle Unterverzeichnisse von Wordpress ausschließt und alle PHP-Dateien:

UserAgent: *
Disallow: /wp-*
Disallow: *.php

Dies ist nicht hundertprozentig für suchmaschinenoptimierte Seiten zu empfehlen und sollte nach den jeweiligen Bedürfnissen angepasst werden. Weitere Informationen zu der robots.txt – Datei finden Sie unter der folgenden Adresse: robotstxt.org

3. index.php in Unterverzeichnissen

Eine aufwendige, aber einfache Lösung des Verzeichnisschutzes ist, das in jedes Unterverzeichnis eine eigene index.php zu erstellen ohne Inhalt. Ist zwar eine nicht ganz saubere Lösung, aber effektiv.

4. install.php und upgrade.php löschen

In vielen Wordpressinstallationen sind nach der Installation oder dem Upgrade im Ordner /wp-admin die install.php und die upgrade.php noch vorhanden. Jeder Nutzer kann diese von außerhalb aufrufen und gegebenenfalls darüber einen Angriff auf ihren Wordpressblog vornehmen. Sie können die Dateien ohne Probleme löschen, müssen diese Dateien bei einem Update neu mit hochladen.

Dir hat der Beitrag gefallen? Abonniere goizio.com als RSS Feed oder richte einen Trackback auf deiner Seite ein. Dieser Beitrag enthält die Schlagwörter: , , , ,

Welche Meinung besitzen Sie zu diesem Thema?




Der Autor

Mathias 'United20' Schmidt
Der Autor Mathias Schmidt ist Programmierer und beschäftigt sich seit einiger Zeit auch mit SEO und Wordpress.
XING
Skype Me!