Durch Zufall bin ich heute über den lesenswerten Blogbeitrag “WordPress gehackt – was tun, eine Schnellhilfe” von Frank Bültge und dann den Blogbeitrag “Gehackt. Dümmer geht’s nimmer.” von Martin Sauer auf den Blogbeitrag “WordPress und die Sicherheit?” von James Lepthien gestoßen (Nachtrag vom 24. Januar 2011: Leider nicht mehr online).

Dort ist beschrieben, wie Du bei Webseiten, bei denen man sowohl über http als auch https in den Administrationsbereich (das Backend) gelangt, dies auf https beschränken kann.

Dazu musst Du die wp-config.php Deiner WordPress-Installation lediglich möglichst weit vorne um folgende Anweisung ergänzen:

Ich habe es gerade auf Webseiten-Infos.de getestet und bin sehr angetan.

Nun wird jeder Aufruf einer Administrationsseite automatisch auf die zugehörige https-Seite umgelenkt.

Damit dürfte ich meine WordPress-Installation wieder ein kleines Stückchen sicherer gemacht haben.

Herzlichen Dank an James Lepthien für den Tipp in seinem Blogbeitrag.

Kommentare

• 19. April 2010, Dominik schreibt: Allerdings braucht man dann doch noch ein SSL Zertifikat, oder nicht? Gruß
• 19. April 2010, James schreibt: Gern geschehen ;) Es ist wirklich nicht mit anzuschauen, wie viele User noch ihre WordPress Anmeldedaten via Postkarte durchs Internet schicken...
• 19. April 2010, Dieter schreibt: @Dominik Ja, deshalb auch direkt im ersten Satz der Link zu meinem Blogbeitrag “Webseiten-Infos nun auch mit https". ;-) @James Asche über mein Haupt. Auch ich gehörte zu diesen WordPress-Nutzern, die ihre Anmeldedaten unverschlüsselt versandten. Aber man ist ja lernfähig. ;-)
• 20. April 2010, Sergej Müller schreibt: Und ich dachte, du gehörst zu meinen Stammlesern ;) Schöner Beitrag. Wenn SSL-Zertifikate nicht immer Zusatzkosten verursachen würden, würden mehr Nutzer diese Möglichkeit der Absicherung nutzen.
• 20. April 2010, Dieter schreibt: @Sergej Ich bin ein armer, alter Mann und hatte Deinen immer wieder lesenswerten Blogbeitrag "Sicherheit in WordPress: 10 Schritte zum Schutz des Admin-Bereichs" nicht mehr aktiv im Gedächtnis. Dein Artikel ist halt schon vom 25. Dezember 2008. Du warst der Zeit mal wieder voraus. ;-) Wie auch immer, ich hatte ja auch bis vor wenigen Tagen noch kein SSL-Zertifikat, weil es eben Zusatzkosten verursacht und ich mich erst mal darüber informierte. Und hier auf Webseiten-Infos.de schreibe ich auch häufig über die Veränderungen auf dieser Website. ;-)
• 20. April 2010, Sergej Müller schreibt: Ja, wir werden einfach nicht jünger. ;) Danke für deinen Post, der sicherlich viele WordPress-Nutzer an die vorhandene Möglichkeit erinnert hat.
• 21. April 2010, Dieter schreibt: @Sergej Wenn ich hier einen neuen Blogbeitrag schreibe, nutze ich häufig erst einmal die Suchfunktion. Ich war schon öfters erstaunt darüber, was sich da so alles findet, sprich was ich schon bereits geschrieben habe. BTW: Aktuell sind es 215 Blogbeiträge auf Webseiten-Infos.de.
• 22. April 2010, asaaki schreibt: Wer einen eigenen Server betreibt und SSL nur für den Adminbereich braucht, kann sich ja ein selbst signiertes Zertifikat erstellen. Das reicht ja dann für die eigenen Zwecke. Und "Postkarten"-Logins kann man auch schon etwas damit umgehen, indem man z. B. das Login mit "Semisecure Login Reimagined"-Plugin nutzt.
• 22. April 2010, Dieter schreibt: @asaaki Habe nur Webspace und kann bezüglich eines eigenen Servers deshalb nicht mitreden. Für Seitenbetreiber mit eigenem Server und einem CMS ist Dein Vorschlag aber auf jeden Fall eine Überlegung wert. Danke für den Hinweis auf das WordPress-Plugin Semisecure Login Reimagined. Das kannte ich bisher nicht und werde ich mal auf meinen WordPress-Installationen ohne https-Seiten testen. :-)
• 23. Mai 2010, Sergej Müller schreibt: Wollte noch mal auf diesen Beitrag hinweisen und sagen: So nicht. Siehe dort meine Kommentare und von mit aufgedeckte Risiken, den Admin-Bereich komplett auf SSL umzustellen (anders als dein Tipp hier): http://stadt-bremerhaven.de/gastbeitrag-wordpress-administration-per-ssl-absichern/
• 23. Mai 2010, Dieter schreibt: @Sergej Herzlichen Dank für Deinen ergänzenden Hinweis. Er zeigt, dass das Verschlüsseln des Verzeichnisses wp-admin problematisch ist, da dies zu Funktionseinschränkungen - z.B. beim Flash-Uploader - führt. Du hattest mich bereits mal per Mail auf das Problem beim Passwortschutz für das Verzeichnis wp-admin hingewiesen (Punkt #7 in Deinem Artikel "Sicherheit in WordPress: 10 Schritte zum Schutz des Admin-Bereichs"). Nun sollte das hier wieder behoben sein. :-)
• 3. September 2010, Felix schreibt: Danke für diesen Beitrag, hat mir sehr geholfen. Ich habe bei meinem Anbieter auch ein SSL-Zertifikat. Allerdings habe ich mehrere Domains auf meinem Server und muss für alle das selbe SSL-Zertifikat nutzen. Daher zeigen mir die Browser dann leider gerne an, dass die Seite nicht 100%ig verifiziert ist, da die Domain nicht stimmt. Aber für diesen Zweck, sollte es reichen.
• 3. September 2010, Dieter schreibt: @Felix Ich benutze https für die sichere Übertragung nur für den Administrationsbereich (das Backend). Beim Internet Explorer bekomme ich da immer die Frage, ob ich nur die Bestandteile der Webseite sehen möchte, die über eine sichere Verbindung übertragen werde. Bei den anderen Browsern habe ich diese Abfrage nicht. Kann also auch bei einer Domain schon Problemchen geben, wobei das bei mir Browser spezifisch ist. Wenn Du eine 100%ige Verifizierung möchtest, bräuchtest Du wohl für jede Domain ein eigenes SSL-Zertifikat oder gibt es da noch andere Möglichkeiten?
• 3. September 2010, Felix schreibt: Naja, leider werden ja auch im Backend teilweise Daten unverschlüsselt übermittelt, dafür habe ich auch noch keine Lösung gefunden. Sonst kann ich im Moment mit einem Zertifikat für mehrere Domains leben. Im Fall der Fälle kann man sich ja für so einfache Sachen auch selbst eins generieren, ist dann aber eben von keiner offiziellen Stelle validiert.
• 3. September 2010, Dieter schreibt: @Felix Ja, es werden auch im Backend nicht alle Daten verschlüsselt, aber das ist auch nicht nötig. Wichtig ist, dass die Anmeldedaten (Benutzername und Passwort) nicht von Dritten gelesen werden können.

Ähnliche Beiträge

• WordPress-Beiträge über WordPress-Infos.de erreichbar
• Webdesign-Beiträge über Webdesign-Infos.de erreichbar
• Firefox 3.0.9 schließt mehrere Sicherheitslücken
• Webseiten-Infos nun auch mit https
• Little Boxes Teil 1 2. Auflage zur Rezension erhalten

Permalink | 15 Kommentare | Seite speichern bei Twitter | Mister Wong | del.icio.us | Y!GG | Linkarena
Schlagwörter: Administrationsbereich, Browser, https, Sicherheit, SSL, Webseiten, WordPress, wp-config.php

Dort findest Du eine Vielzahl von Links zu diversen Webdiensten.

Auf der Unterseite Analyse gibt es Links unterteilt in folgende Rubriken:

• Allgemein
• Barrierefreiheit (Zugänglichkeit, Accessiblity
• Links
• Performance (Geschwindigkeit)
• Rechtliches
• Suchmaschinenoptimierung (SEO)
• Validierung
• Verschiedenes

Und auf der Unterseite Specials sind die Links in die Rubriken

• Bilder
• Browser
• Code- und Text-Generatoren
• Code-Optimierer
• Farben
• Netzwerk und Sicherheit
• Schriften
• Suchmaschinenoptimierung (SEO)
• Verschiedenes

aufgeteilt.
Kurz gesagt: Diese thematisch gut sortierte Sammlung an Links ist die reinste Fundgrube.

Kommentare

• 17. November 2009, Dejo schreibt: Danke für den Tipp :D
• 17. November 2009, Dieter schreibt: @Dejo Bitte schön! :-D

Ähnliche Beiträge

• 10 Punkte für guten Code
• Weiterleitungen beseitigen
• Webseiten-Infos.de auf WordPress 3.0.1 aktualisiert
• Plugins für WordPress als CMS
• Und der Gewinner des Buches ist…

Permalink | 2 Kommentare | Seite speichern bei Twitter | Mister Wong | del.icio.us | Y!GG | Linkarena
Schlagwörter: Bilder, Browser, Farben, Geschwindigkeit, Links, SEO, Sicherheit, Validierung, Webdienste, Webentwickler, Werkzeuge, Zugänglichkeit

Das änderte sich diese Woche. Seit dem 27. Juli 2009 gibt es nun das Buch “Das WordPress-Buch. Vom Blog zum Content-Management-System” von Frank Bültge und Thomas Boley, das auf WordPress 2.8 Beta beruht (siehe hierzu den Blogbeitrag “Das WordPress Buch ist verfügbar“).

Das WordPress-Buch. Vom Blog zum Content-Management-System

Frank Bültge. Open Source Press 2009, Broschiert, 373 Seiten, € 34,90

Frank Bültge hat in Aussicht gestellt, ergänzende Blogbeiträge zu dem Buch in dem auf seiner Website unter einer Subdomain liegenden Blog zu veröffentlichen. Dort gibt es im Blogbeitrag “Das WordPress Buch in Bildern” bereits das Inhaltsverzeichnis und eine Leseprobe als pdf.

Inzwischen gab es schon die Verlosung eines Exemplars durch den Mitautor Thomas Boley, die er in seinem Blog angekündigt hatte. Dieses Gewinnspiel ging leider nur über einen Tag und ich bekam es zu spät mit. Am darauf folgenden Tag stand dann schon der Gewinner der zwanzig Teilnehmer fest: Markus Fasselt. Herzlichen Glückwunsch nachträglich!

Aber: Es gibt noch eine weitere Gewinnchance! Auch Michael Preuß, der zusammen mit Frank Bültge und Alexander Frison, die englisch-sprachige WordPress-Seite WPengineer.com betreibt, verlost ein Exemplar des neuen WordPress-Buches (siehe hierzu seinen Blogbeitrag “Das WordPress-Buch zu verlosen“).

Alles was Du dazu machen musst ist einen Beitrag in Deinem Blog zu schreiben, in dem Du erklärst, warum gerade Du das Buch erhalten solltest.

Das will ich hiermit mal tun.

Etwas Erfahrung habe ich ja schon mit WordPress. So betreibe ich schon seit nunmehr über 20 Monate das Blog zu meiner privaten Website unter www.dieter-welzel.de/blog/ mit dem auf YAML basierenden WordPress-Theme Blitzblank.

Darüber hinaus kümmere ich mich technisch um das WordPress-Blog meiner Freundin. Dessen Layout beruht ebenfalls auf dem WordPress-Theme Blitzblank. Sie hat die Nachfrage zu einem bestimmten Thema so gut getroffen, dass ihr Blog in der Regel über 2.000 Besucher pro Tag hat.

Und schließlich reizte mich die im Oktober 2009 erschienene Version 1.2 des WordPress-Themes YAML Green so sehr, dass ich Anfang dieses Jahres mit Webseiten-Infos.de eine weitere WordPress-Installation realisierte. Diesmal setzte ich aber WordPress als Content-Management-System (CMS) mit Blog ein. Das war eine langwierige und anstrengende Arbeit für mich.

Von dem Buch erhoffe ich mir Tipps und Hinweise wie ich die WordPress-Webpräsenzen weiter verbessern kann (hinsichtlich ihrer Sicherheit, dem Einsatz von WordPress als CMS etc). Darüber hinaus möchte ich gerne auch noch besser verstehen was bei Themes zu beachten ist. Und schließlich bin ich ein begeisterter YAML-Fan und bin deshalb auf die von Michael Preuß und Dirk Jesse beigesteuerten Kapitel besonders gespannt.

Sei zum Schluss der Hinweis gestattet, dass ich das Buch über die Seite von Frank Bültge bereits bei Amazon bestellt hatte, bevor Michael Preuß den Blogbeitrag mit der Verlosung des Buches veröffentlichte. Sollte ich also das Buch gewinnen, habe ich zwei Exemplare und würde es dann hier für Dich eine weitere Gewinnchance geben.

Ähnliche Beiträge

• Gewinnchance endet am 29. August 2009
• Adventskalender mit Tipps zu WordPress
• Valide Videos in Webseite einbinden
• Seiten um Statistik-Infos ergänzen
• Webseiten-Infos.de auf WordPress 2.9.1 aktualisiert

Permalink | Kein Kommentar | Seite speichern bei Twitter | Mister Wong | del.icio.us | Y!GG | Linkarena
Schlagwörter: Bücher, CMS, MySQL, PHP, Sicherheit, Themes, WordPress, WordPress 2.8, YAML, YAML Green

Das ist nicht verwunderlich. WordPress ist sehr verbreitet und leicht zu installieren. Aber mit der automatischen Standardinstallation sind auch einige Schwachpunkte verbunden, die Du beseitigen solltest, damit es Hacker nicht (zu) leicht haben.

Bereits mit der Installation von WordPress solltest Du möglichst das Präfix für die Tabellen ändern. Deshalb empfehle ich Dir vorab das Whitepaper (pdf-Datei, 685 kB) von Blogsecurity.net zu lesen. Über eine Twitternachricht von Blogsecurity bin ich zudem auf dieses Video “10 Tips To Make WordPress Hack-Proof” zu diesem Whitepaper auf guvnr.com aufmerksam geworden:

Hier noch ein paar Links zu WordPress-Plugins, welche helfen das Sicherheitsniveau von WordPress zu verbessern:

• WP-Antivirus von Sergej Müller
  (siehe hierzu auch meinen Blogbeitrag “Antivirus-Plugin verbessert Sicherheit” und die alte Website für das Plugin)
• WP Security Scan von Michael Torbert
  (läuft leider hier nicht, aber bei meinem privaten, von one.com gehosteten Blog unter www.dieter-welzel.de/blog/)
• Limit Login Attempts von Johan Eenfeldt
• Secure WordPress von Frank Bültge
• WP Scanner von Blogsecurity

Und zu guter Letzt noch ein paar weiterführende Links zu dem Thema:

• Sicherheit / WordPress absichern von Michael Weingärtner
• WordPress sicherer machen von Frank Bültge
• WordPress Plugins für mehr Sicherheit von Frank Bültge
• WordPress sicherer machen ::: ohne den sonst existierenden admin von Ute Hauth
• Sicherheit in WordPress: 10 Schritte zum Schutz des Admin-Bereichs von Sergej Müller
• …wieder mal Sicherheit ::: WordPress und Plugins ohne Versionsnummern von Ute Hauth
• Ungebetene Gäste mit .htaccess blocken von Thomas Scholz
• .htaccess: Angriffe sehen und blockieren von Thomas Scholz
• The Perishable Press 4G Blacklist von Jeff Star
• 13 Vital Tips and Hacks to Protect Your WordPress Admin Area auf wpbeginner.com

Kommentare

• 25. Mai 2009, the_guv schreibt: Ich bin Sie mögen mein Tutorium und Video erfreut... "Video How-to: 10 Tips To Make WordPress Hack-Proof " Bitte beachtet, dass es viel mehr Detail auf dem ursprünglichen Artikel. gibt.. http://www.guvnr.com/web/blogging/10-tips-to-make-wordpress-hack-proof/ ... Plus mehr WordPress und hat Tutorien an meinem Blog guvnr erzählt. com. the_guv
• 28. Mai 2009, Sebastian schreibt: Danke für die vielen hilfreichen Tipps und Links, ich werd mich da jetzt erstmal durcharbeiten. besonders das Vid mit den 10 Tipps ist ziemlich hilfreich!
• 28. Mai 2009, Dieter schreibt:

  Danke für die vielen hilfreichen Tipps und Links

  Bitte schön, gern geschehen! :-)

  ich werd mich da jetzt erstmal durcharbeiten.

  Kann ich nur empfehlen und Du solltest Dich auch damit beeilen. Der Login vom Blog zeigt mir an, dass der User admin besteht und eine maximale Anzahl von Loginversuchen ist auch noch nicht sichergestellt! Zudem kann ich aus dem Quelltext direkt ersehen, dass WordPress 2.7.1 im Einsatz ist. Ich habe deshalb mal vorsorglich den Link zu Deinem Blog rausgenommen, sonst wissen die Hacker gleich wo sie besonders leicht einbrechen können. ;-) Am Rande noch der Hinweis, dass 16 Validierungsfehler auf der Startseite des Blogs kein Qualitätsmerkmal sind (siehe hierzu auch meinen Artikel "Was macht eine gute Webpräsenz aus?"). :!:
• 21. Dezember 2011, Angriffe auf alte WordPress-Installationen | Webseiten-Infos.de schreibt: [...] jeden Fall Deinen Administrationsbereich sicherer machen (siehe hierzu meinen Blogbeitrag “Sicherheit von WordPress verbessern” und insbesondere den Blogbeitrag “Sicherheit in WordPress: 10 Schritte zum Schutz des [...]

Ähnliche Beiträge

• Angriffe auf alte WordPress-Installationen
• BSI warnt vor Internet Explorer
• Die 10 größten Web-Security-Mythen
• WordPress: Wider dem Katastrophen-Gerede
• Spamschutz nur mit Antispam Bee

Permalink | 4 Kommentare | Seite speichern bei Twitter | Mister Wong | del.icio.us | Y!GG | Linkarena
Schlagwörter: .htaccess, Admin, Blogsecurity, Plugins, Sicherheit, WordPress