Alle Beiträge mit dem Schlagwort „Webseiten”

Seiten: 1 2 3 4 5 6 ... 39 40

Adminbereich nur über https

Während Du die mit WordPress betriebenen Webseiten von Webseiten-Infos.de mit Deinem Browser über http als auch https aufrufen kannst (siehe hierzu meinen Blogbeitrag „Webseiten-Infos nun auch mit https„), soll der Administrationsbereich (das Backend) möglichst nur über eine sichere Verbindung mittels SSL, sprich https erreichbar sein.

Durch Zufall bin ich heute über den lesenswerten Blogbeitrag „WordPress gehackt – was tun, eine Schnellhilfe“ von Frank Bültge und dann den Blogbeitrag „Gehackt. Dümmer geht’s nimmer.“ von Martin Sauer auf den Blogbeitrag „WordPress und die Sicherheit?“ von James Lepthien gestoßen (Nachtrag vom 24. Januar 2011: Leider nicht mehr online).

Dort ist beschrieben, wie Du bei Webseiten, bei denen man sowohl über http als auch https in den Administrationsbereich (das Backend) gelangt, dies auf https beschränken kann.

Dazu musst Du die wp-config.php Deiner WordPress-Installation lediglich möglichst weit vorne um folgende Anweisung ergänzen:

1
define('FORCE_SSL_ADMIN', true);

Ich habe es gerade auf Webseiten-Infos.de getestet und bin sehr angetan.

Nun wird jeder Aufruf einer Administrationsseite automatisch auf die zugehörige https-Seite umgelenkt.

Damit dürfte ich meine WordPress-Installation wieder ein kleines Stückchen sicherer gemacht haben.

Herzlichen Dank an James Lepthien für den Tipp in seinem Blogbeitrag.

15 Kommentare

  1. 1. Dominik

    Kommentar vom 19. April 2010 um 17:15

    Allerdings braucht man dann doch noch ein SSL Zertifikat, oder nicht?

    Gruß

  2. 2. James

    Kommentar vom 19. April 2010 um 17:17

    Gern geschehen ;)

    Es ist wirklich nicht mit anzuschauen, wie viele User noch ihre WordPress Anmeldedaten via Postkarte durchs Internet schicken…

  3. 3. Dieter

    Kommentar vom 19. April 2010 um 20:21

    @Dominik
    Ja, deshalb auch direkt im ersten Satz der Link zu meinem Blogbeitrag “Webseiten-Infos nun auch mit https„. ;-)

    @James
    Asche über mein Haupt. Auch ich gehörte zu diesen WordPress-Nutzern, die ihre Anmeldedaten unverschlüsselt versandten. Aber man ist ja lernfähig. ;-)

  4. 4. Sergej Müller

    Kommentar vom 20. April 2010 um 19:40

    Und ich dachte, du gehörst zu meinen Stammlesern ;)

    Schöner Beitrag. Wenn SSL-Zertifikate nicht immer Zusatzkosten verursachen würden, würden mehr Nutzer diese Möglichkeit der Absicherung nutzen.

  5. 5. Dieter

    Kommentar vom 20. April 2010 um 20:02

    @Sergej
    Ich bin ein armer, alter Mann und hatte Deinen immer wieder lesenswerten Blogbeitrag „Sicherheit in WordPress: 10 Schritte zum Schutz des Admin-Bereichs“ nicht mehr aktiv im Gedächtnis. Dein Artikel ist halt schon vom 25. Dezember 2008. Du warst der Zeit mal wieder voraus. ;-)

    Wie auch immer, ich hatte ja auch bis vor wenigen Tagen noch kein SSL-Zertifikat, weil es eben Zusatzkosten verursacht und ich mich erst mal darüber informierte. Und hier auf Webseiten-Infos.de schreibe ich auch häufig über die Veränderungen auf dieser Website. ;-)

  6. 6. Sergej Müller

    Kommentar vom 20. April 2010 um 22:20

    Ja, wir werden einfach nicht jünger. ;) Danke für deinen Post, der sicherlich viele WordPress-Nutzer an die vorhandene Möglichkeit erinnert hat.

  7. 7. Dieter

    Kommentar vom 21. April 2010 um 06:49

    @Sergej
    Wenn ich hier einen neuen Blogbeitrag schreibe, nutze ich häufig erst einmal die Suchfunktion. Ich war schon öfters erstaunt darüber, was sich da so alles findet, sprich was ich schon bereits geschrieben habe.
    BTW: Aktuell sind es 215 Blogbeiträge auf Webseiten-Infos.de.

  8. 8. asaaki

    Kommentar vom 22. April 2010 um 14:30

    Wer einen eigenen Server betreibt und SSL nur für den Adminbereich braucht, kann sich ja ein selbst signiertes Zertifikat erstellen. Das reicht ja dann für die eigenen Zwecke.

    Und „Postkarten“-Logins kann man auch schon etwas damit umgehen, indem man z. B. das Login mit „Semisecure Login Reimagined„-Plugin nutzt.

  9. 9. Dieter

    Kommentar vom 22. April 2010 um 22:00

    @asaaki
    Habe nur Webspace und kann bezüglich eines eigenen Servers deshalb nicht mitreden. Für Seitenbetreiber mit eigenem Server und einem CMS ist Dein Vorschlag aber auf jeden Fall eine Überlegung wert.

    Danke für den Hinweis auf das WordPress-Plugin Semisecure Login Reimagined. Das kannte ich bisher nicht und werde ich mal auf meinen WordPress-Installationen ohne https-Seiten testen. :-)

  10. 10. Sergej Müller

    Kommentar vom 23. Mai 2010 um 19:58

    Wollte noch mal auf diesen Beitrag hinweisen und sagen: So nicht. Siehe dort meine Kommentare und von mit aufgedeckte Risiken, den Admin-Bereich komplett auf SSL umzustellen (anders als dein Tipp hier): http://stadt-bremerhaven.de/gastbeitrag-wordpress-administration-per-ssl-absichern/

  11. 11. Dieter

    Kommentar vom 23. Mai 2010 um 20:48

    @Sergej
    Herzlichen Dank für Deinen ergänzenden Hinweis.

    Er zeigt, dass das Verschlüsseln des Verzeichnisses wp-admin problematisch ist, da dies zu Funktionseinschränkungen – z.B. beim Flash-Uploader – führt.

    Du hattest mich bereits mal per Mail auf das Problem beim Passwortschutz für das Verzeichnis wp-admin hingewiesen (Punkt #7 in Deinem Artikel „Sicherheit in WordPress: 10 Schritte zum Schutz des Admin-Bereichs„).

    Nun sollte das hier wieder behoben sein. :-)

  12. 12. Felix

    Kommentar vom 3. September 2010 um 10:24

    Danke für diesen Beitrag, hat mir sehr geholfen. Ich habe bei meinem Anbieter auch ein SSL-Zertifikat. Allerdings habe ich mehrere Domains auf meinem Server und muss für alle das selbe SSL-Zertifikat nutzen. Daher zeigen mir die Browser dann leider gerne an, dass die Seite nicht 100%ig verifiziert ist, da die Domain nicht stimmt.

    Aber für diesen Zweck, sollte es reichen.

  13. 13. Dieter

    Kommentar vom 3. September 2010 um 11:43

    @Felix
    Ich benutze https für die sichere Übertragung nur für den Administrationsbereich (das Backend).

    Beim Internet Explorer bekomme ich da immer die Frage, ob ich nur die Bestandteile der Webseite sehen möchte, die über eine sichere Verbindung übertragen werde. Bei den anderen Browsern habe ich diese Abfrage nicht. Kann also auch bei einer Domain schon Problemchen geben, wobei das bei mir Browser spezifisch ist.

    Wenn Du eine 100%ige Verifizierung möchtest, bräuchtest Du wohl für jede Domain ein eigenes SSL-Zertifikat oder gibt es da noch andere Möglichkeiten?

  14. 14. Felix

    Kommentar vom 3. September 2010 um 19:54

    Naja, leider werden ja auch im Backend teilweise Daten unverschlüsselt übermittelt, dafür habe ich auch noch keine Lösung gefunden. Sonst kann ich im Moment mit einem Zertifikat für mehrere Domains leben. Im Fall der Fälle kann man sich ja für so einfache Sachen auch selbst eins generieren, ist dann aber eben von keiner offiziellen Stelle validiert.

  15. 15. Dieter

    Kommentar vom 3. September 2010 um 21:16

    @Felix
    Ja, es werden auch im Backend nicht alle Daten verschlüsselt, aber das ist auch nicht nötig. Wichtig ist, dass die Anmeldedaten (Benutzername und Passwort) nicht von Dritten gelesen werden können.

Kommentar schreiben (Datenschutzerklärung)

Kommentarformular





Erstkommentare und Kommentare mit Links werden moderiert.

Übersicht der Tastaturkürzel für Smilies

Abonnieren ohne einen Kommentar abzugeben

Seiten: 1 2 3 4 5 6 ... 39 40
 

Durch die weitere Nutzung der Seite stimmst Du der Verwendung von Cookies zu. Weitere Informationen

Die Cookie-Einstellungen auf dieser Website sind auf "Cookies zulassen" eingestellt, um das beste Surferlebnis zu ermöglichen. Wenn du diese Website ohne Änderung der Cookie-Einstellungen verwendest oder auf "Akzeptieren" klickst, erklärst du sich damit einverstanden.

Schließen