Alle Beiträge mit dem Schlagwort „Sicherheit”

Seiten: 1 2  3  4 

17. April 2010 von Dieter | 11 Kommentare

Adminbereich nur über https

Während Du die mit WordPress betriebenen Webseiten von Webseiten-Infos.de mit Deinem Browser über http als auch https aufrufen kannst (siehe hierzu meinen Blogbeitrag “Webseiten-Infos nun auch mit https“), soll der Administrationsbereich (das Backend) möglichst nur über eine sichere Verbindung mittels SSL, sprich https erreichbar sein.

Durch Zufall bin ich heute über den lesenswerten Blogbeitrag “WordPress gehackt – was tun, eine Schnellhilfe” von Frank Bültge und dann den Blogbeitrag “Gehackt. Dümmer geht’s nimmer.” von Martin Sauer auf den Blogbeitrag “WordPress und die Sicherheit?” von James Lepthien gestoßen.

Dort ist beschrieben, wie Du bei Webseiten, bei denen man sowohl über http als auch https in den Administrationsbereich (das Backend) gelangt, dies auf https beschränken kann.

Dazu musst Du die wp-config.php Deiner WordPress-Installation lediglich möglichst weit vorne um folgende Anweisung ergänzen:

1
define('FORCE_SSL_ADMIN', true);

Ich habe es gerade auf Webseiten-Infos.de getestet und bin sehr angetan.

Nun wird jeder Aufruf einer Administrationsseite automatisch auf die zugehörige https-Seite umgelenkt.

Damit dürfte ich meine WordPress-Installation wieder ein kleines Stückchen sicherer gemacht haben.

Herzlichen Dank an James Lepthien für den Tipp in seinem Blogbeitrag.

Infos

Webseite veröffentlicht am Samstag, den 17. April 2010, um 02:04 Uhr, zuletzt geändert am
Sonntag, den 20. Juni 2010, um 07:16 Uhr.

Kategorie: WordPress

Schlagworte: , , , , , , ,

Kommantare verfolgen | Trackback URL

einen Kommentar schreiben

11 Kommentare

  1. 1. Dominik

    Kommentar vom 19. April 2010 um 17:15

    Allerdings braucht man dann doch noch ein SSL Zertifikat, oder nicht?

    Gruß

  2. 2. James

    Kommentar vom 19. April 2010 um 17:17

    Gern geschehen ;)

    Es ist wirklich nicht mit anzuschauen, wie viele User noch ihre WordPress Anmeldedaten via Postkarte durchs Internet schicken…

  3. 3. Dieter

    Kommentar vom 19. April 2010 um 20:21

    @Dominik
    Ja, deshalb auch direkt im ersten Satz der Link zu meinem Blogbeitrag “Webseiten-Infos nun auch mit https“. ;-)

    @James
    Asche über mein Haupt. Auch ich gehörte zu diesen WordPress-Nutzern, die ihre Anmeldedaten unverschlüsselt versandten. Aber man ist ja lernfähig. ;-)

  4. 4. Sergej Müller

    Kommentar vom 20. April 2010 um 19:40

    Und ich dachte, du gehörst zu meinen Stammlesern ;)

    Schöner Beitrag. Wenn SSL-Zertifikate nicht immer Zusatzkosten verursachen würden, würden mehr Nutzer diese Möglichkeit der Absicherung nutzen.

  5. 5. Dieter

    Kommentar vom 20. April 2010 um 20:02

    @Sergej
    Ich bin ein armer, alter Mann und hatte Deinen immer wieder lesenswerten Blogbeitrag “Sicherheit in WordPress: 10 Schritte zum Schutz des Admin-Bereichs” nicht mehr aktiv im Gedächtnis. Dein Artikel ist halt schon vom 25. Dezember 2008. Du warst der Zeit mal wieder voraus. ;-)

    Wie auch immer, ich hatte ja auch bis vor wenigen Tagen noch kein SSL-Zertifikat, weil es eben Zusatzkosten verursacht und ich mich erst mal darüber informierte. Und hier auf Webseiten-Infos.de schreibe ich auch häufig über die Veränderungen auf dieser Website. ;-)

  6. 6. Sergej Müller

    Kommentar vom 20. April 2010 um 22:20

    Ja, wir werden einfach nicht jünger. ;) Danke für deinen Post, der sicherlich viele WordPress-Nutzer an die vorhandene Möglichkeit erinnert hat.

  7. 7. Dieter

    Kommentar vom 21. April 2010 um 06:49

    @Sergej
    Wenn ich hier einen neuen Blogbeitrag schreibe, nutze ich häufig erst einmal die Suchfunktion. Ich war schon öfters erstaunt darüber, was sich da so alles findet, sprich was ich schon bereits geschrieben habe.
    BTW: Aktuell sind es 215 Blogbeiträge auf Webseiten-Infos.de.

  8. 8. asaaki

    Kommentar vom 22. April 2010 um 14:30

    Wer einen eigenen Server betreibt und SSL nur für den Adminbereich braucht, kann sich ja ein selbst signiertes Zertifikat erstellen. Das reicht ja dann für die eigenen Zwecke.

    Und “Postkarten”-Logins kann man auch schon etwas damit umgehen, indem man z. B. das Login mit “Semisecure Login Reimagined“-Plugin nutzt.

  9. 9. Dieter

    Kommentar vom 22. April 2010 um 22:00

    @asaaki
    Habe nur Webspace und kann bezüglich eines eigenen Servers deshalb nicht mitreden. Für Seitenbetreiber mit eigenem Server und einem CMS ist Dein Vorschlag aber auf jeden Fall eine Überlegung wert.

    Danke für den Hinweis auf das WordPress-Plugin Semisecure Login Reimagined. Das kannte ich bisher nicht und werde ich mal auf meinen WordPress-Installationen ohne https-Seiten testen. :-)

  10. 10. Sergej Müller

    Kommentar vom 23. Mai 2010 um 19:58

    Wollte noch mal auf diesen Beitrag hinweisen und sagen: So nicht. Siehe dort meine Kommentare und von mit aufgedeckte Risiken, den Admin-Bereich komplett auf SSL umzustellen (anders als dein Tipp hier): http://stadt-bremerhaven.de/gastbeitrag-wordpress-administration-per-ssl-absichern/

  11. 11. Dieter

    Kommentar vom 23. Mai 2010 um 20:48

    @Sergej
    Herzlichen Dank für Deinen ergänzenden Hinweis.

    Er zeigt, dass das Verschlüsseln des Verzeichnisses wp-admin problematisch ist, da dies zu Funktionseinschränkungen – z.B. beim Flash-Uploader – führt.

    Du hattest mich bereits mal per Mail auf das Problem beim Passwortschutz für das Verzeichnis wp-admin hingewiesen (Punkt #7 in Deinem Artikel “Sicherheit in WordPress: 10 Schritte zum Schutz des Admin-Bereichs“).

    Nun sollte das hier wieder behoben sein. :-)

Kommentar schreiben (Datenschutzerklärung)

Kommentarformular





Erstkommentare und Kommentare mit Links werden moderiert.

Übersicht der Tastaturkürzel für Smilies

Abonnieren ohne einen Kommentar abzugeben

Seiten: 1 2  3  4