Techgarage

WordPress richtig absichern Teil 2

by Kevin Kyburz 6. November 2012

Nachdem wir uns im 1. Teil dieser Serie angeschaut haben wie WordPress schon bei der Installation ein wenig Sicherere gemacht werden kann, widmen wir uns heute den verschiedenen Verzeichnissen und Dateien.

 

Welche Version hat welches Problem.

Jede WordPress Version hat auch seine eigenen Probleme oder Sicherheitslücken (leider). Nun lässt sich mit folgenden Textzeilen, eingegeben in der functions.php deines aktive Theme die Versionsnummer von deiner WordPress Installation im Quellcode und dem Feed verbergen.

[gist id=4025517]

Ihr solltet auch im header.php eures Theme schauen ob dort die Ausgabe der Versionsnummer nicht auch drinnen ist. Dieser erkennt ihr an folgendem Text:

<meta name=”generator” … />

Solltet ihr diesen finden, am besten direkt raus löschen.

 

Autorennamen geben Login-Namen aus!

Standartmässig wir in WordPress der Loginnamen bei den Kommentaren als CSS Klasse ausgegeben. Dies sind schon 50% vom Zugang auf deine WordPress Installation.

Mit folgenden Textzeilen welche du wieder in die functions.php deines Theme eingibst, verhinderst du dies.

[gist id=4025555]

 

Doppelte Sicherheit mit .htpasswd beim Login

Einen grossen Schritt in Richtung Sicherheit kommst du mit folgenden Zeilen Code, welche dich bei Aufruf der wp-login.php mit einem Pop-Up Fenster um die Eingabe eines Benutzernamens und Passwort bittet, welche BITTE nicht die gleichen sind wie in deiner WordPress Installation.

Vorgehen:

1. Erstelle mit einem Texteditor (ja Word ist keiner) eine leere Datei namens htpasswd.txt

2. Lade diese via FTP Programm auf deinen Server (zB:. FilleZilla) am besten im Root Verzeichniss damit dies nicht leicht auffindbar ist;)

3. Dort benennst du es um auf folgenden Namen: .htpasswd

4. Nun kannst du dir mit einem htpasswd Generator den Inhalt erstellen lassen und kopierst diesen in deine .htpasswd Datei rein welche auf dem Server liegt

5. Nun öffnest du die .htaccess auf deinem Server und trägst folgenden Code ein.

[gist id=4025931]

Ändere noch den Pfad, eventuell musst du bei deinem Serveranbieter um den kompletten Pfad bitten.

6. .htaccess speichern und Hochladen. Fertig

Beim öffnen der wp-login.php URL wird nun ein Fenster erscheinen welches dich nach deinem anderen Benutzernamen und dem Passwort fragt.

 

Kevin Kyburz

Kevin Kyburz is part of Generation Y, which grew up with a Windows 95 computer and the first PlayStation. Since he discovered the Internet, there are no limits.

Comment Form

Required fields are marked *

Abonniere unseren Newsletter und erhalten die nächsten News aus erster Hand.

DJI Osmo Pocket,  Große Momente beginnen klein. 359 €, Jetzt bestellen!
Advertisement
Advertisement