Webseiten-Infos.de - Kommentare zu: Adminbereich nur über https

Von: Dieter

Dieter — Fri, 03 Sep 2010 19:16:04 +0000

@Felix
Ja, es werden auch im Backend nicht alle Daten verschlüsselt, aber das ist auch nicht nötig. Wichtig ist, dass die Anmeldedaten (Benutzername und Passwort) nicht von Dritten gelesen werden können.

Von: Felix

Felix — Fri, 03 Sep 2010 17:54:26 +0000

Naja, leider werden ja auch im Backend teilweise Daten unverschlüsselt übermittelt, dafür habe ich auch noch keine Lösung gefunden. Sonst kann ich im Moment mit einem Zertifikat für mehrere Domains leben. Im Fall der Fälle kann man sich ja für so einfache Sachen auch selbst eins generieren, ist dann aber eben von keiner offiziellen Stelle validiert.

Von: Dieter

Dieter — Fri, 03 Sep 2010 09:43:34 +0000

@Felix
Ich benutze https für die sichere Übertragung nur für den Administrationsbereich (das Backend).

Beim Internet Explorer bekomme ich da immer die Frage, ob ich nur die Bestandteile der Webseite sehen möchte, die über eine sichere Verbindung übertragen werde. Bei den anderen Browsern habe ich diese Abfrage nicht. Kann also auch bei einer Domain schon Problemchen geben, wobei das bei mir Browser spezifisch ist.

Wenn Du eine 100%ige Verifizierung möchtest, bräuchtest Du wohl für jede Domain ein eigenes SSL-Zertifikat oder gibt es da noch andere Möglichkeiten?

Von: Felix

Felix — Fri, 03 Sep 2010 08:24:10 +0000

Danke für diesen Beitrag, hat mir sehr geholfen. Ich habe bei meinem Anbieter auch ein SSL-Zertifikat. Allerdings habe ich mehrere Domains auf meinem Server und muss für alle das selbe SSL-Zertifikat nutzen. Daher zeigen mir die Browser dann leider gerne an, dass die Seite nicht 100%ig verifiziert ist, da die Domain nicht stimmt.

Aber für diesen Zweck, sollte es reichen.

Von: Dieter

Dieter — Sun, 23 May 2010 18:48:03 +0000

@Sergej
Herzlichen Dank für Deinen ergänzenden Hinweis.

Er zeigt, dass das Verschlüsseln des Verzeichnisses wp-admin problematisch ist, da dies zu Funktionseinschränkungen – z.B. beim Flash-Uploader – führt.

Du hattest mich bereits mal per Mail auf das Problem beim Passwortschutz für das Verzeichnis wp-admin hingewiesen (Punkt #7 in Deinem Artikel “Sicherheit in WordPress: 10 Schritte zum Schutz des Admin-Bereichs“).

Nun sollte das hier wieder behoben sein.

Von: Sergej Müller

Sergej Müller — Sun, 23 May 2010 17:58:11 +0000

Wollte noch mal auf diesen Beitrag hinweisen und sagen: So nicht. Siehe dort meine Kommentare und von mit aufgedeckte Risiken, den Admin-Bereich komplett auf SSL umzustellen (anders als dein Tipp hier): http://stadt-bremerhaven.de/gastbeitrag-wordpress-administration-per-ssl-absichern/

Von: Dieter

Dieter — Thu, 22 Apr 2010 20:00:05 +0000

@asaaki
Habe nur Webspace und kann bezüglich eines eigenen Servers deshalb nicht mitreden. Für Seitenbetreiber mit eigenem Server und einem CMS ist Dein Vorschlag aber auf jeden Fall eine Überlegung wert.

Danke für den Hinweis auf das WordPress-Plugin Semisecure Login Reimagined. Das kannte ich bisher nicht und werde ich mal auf meinen WordPress-Installationen ohne https-Seiten testen.

Von: asaaki

asaaki — Thu, 22 Apr 2010 12:30:43 +0000

Wer einen eigenen Server betreibt und SSL nur für den Adminbereich braucht, kann sich ja ein selbst signiertes Zertifikat erstellen. Das reicht ja dann für die eigenen Zwecke. Und "Postkarten"-Logins kann man auch schon etwas damit umgehen, indem man z. B. das Login mit "Semisecure Login Reimagined"-Plugin nutzt.

Von: Dieter

Dieter — Wed, 21 Apr 2010 04:49:28 +0000

@Sergej
Wenn ich hier einen neuen Blogbeitrag schreibe, nutze ich häufig erst einmal die Suchfunktion. Ich war schon öfters erstaunt darüber, was sich da so alles findet, sprich was ich schon bereits geschrieben habe.
BTW: Aktuell sind es 215 Blogbeiträge auf Webseiten-Infos.de.

Von: Sergej Müller

Sergej Müller — Tue, 20 Apr 2010 20:20:00 +0000

Ja, wir werden einfach nicht jünger. Danke für deinen Post, der sicherlich viele WordPress-Nutzer an die vorhandene Möglichkeit erinnert hat.

Von: Dieter

Dieter — Tue, 20 Apr 2010 18:02:20 +0000

@Sergej
Ich bin ein armer, alter Mann und hatte Deinen immer wieder lesenswerten Blogbeitrag “Sicherheit in WordPress: 10 Schritte zum Schutz des Admin-Bereichs” nicht mehr aktiv im Gedächtnis. Dein Artikel ist halt schon vom 25. Dezember 2008. Du warst der Zeit mal wieder voraus.

Wie auch immer, ich hatte ja auch bis vor wenigen Tagen noch kein SSL-Zertifikat, weil es eben Zusatzkosten verursacht und ich mich erst mal darüber informierte. Und hier auf Webseiten-Infos.de schreibe ich auch häufig über die Veränderungen auf dieser Website.

Von: Sergej Müller

Sergej Müller — Tue, 20 Apr 2010 17:40:05 +0000

Und ich dachte, du gehörst zu meinen Stammlesern

Schöner Beitrag. Wenn SSL-Zertifikate nicht immer Zusatzkosten verursachen würden, würden mehr Nutzer diese Möglichkeit der Absicherung nutzen.

Von: Dieter

Dieter — Mon, 19 Apr 2010 18:21:25 +0000

@Dominik
Ja, deshalb auch direkt im ersten Satz der Link zu meinem Blogbeitrag “Webseiten-Infos nun auch mit https“.

@James
Asche über mein Haupt. Auch ich gehörte zu diesen WordPress-Nutzern, die ihre Anmeldedaten unverschlüsselt versandten. Aber man ist ja lernfähig.

Von: James

James — Mon, 19 Apr 2010 15:17:33 +0000

Gern geschehen

Es ist wirklich nicht mit anzuschauen, wie viele User noch ihre WordPress Anmeldedaten via Postkarte durchs Internet schicken…

Von: Dominik

Dominik — Mon, 19 Apr 2010 15:15:56 +0000

Allerdings braucht man dann doch noch ein SSL Zertifikat, oder nicht?

Gruß