Logo

Empfehlungen

  • App Empfehlung
  • Berlin
  • Blogwelt
  • Essen
  • Film
  • Gewinnspiel
  • Kurzfilm
  • Netzwelt
  • Raspberry Pi
  • Smart Home
  • Digitale Bibliothek
  • WordPress
  • Tagebuch
  • Popkultur
  • #Elternalltag
  • Digitale Bibliothek
  • Lifestyle

Logo

WordPress sicherer machen!

von Nils Hünerfürst
1. April 2012
Blog und Persönlich/WordPress

wordpress-sicherheit

Nachdem in der Blogszene bekannt wurde das der Querblog eiskalt durch ein Theme Update gehackt worden ist macht sich bei vielen ein paranoider aber doch berechtigter Zustand breit. Ich selbst habe hier auf meinem Blog in Sachen Sicherheit noch etwas schlampig gearbeitet. Um genauer zu sein hatte ich nichts gegen ein Einbruchsversuch am Start. Mein Theme brauche ich nicht zu scannen da ich ganz genau weiß was dort drin steht, sprich fällt das Anti-Virus Plugin weg.

Aber was ist mit Brute-Force Attacken und Zugriffe auf das „wp-admin“ Verzeichnis. Dort habe ich jetzt 2 Plugins eingesetzt. Gegen aller Arten von Zugriffen auf Verzeichnisse oder Dateien die Schwachstellen beinhalten könnten schützt jetzt BulletProof Security. Die Oberfläche erschlägt einen erstmals aber man sollte sich als erstes an ein Backup von seinen aktuellen .htaccess Dateien machen. Danach die von BPS einspielen und gegebenenfalls Inhalte angleichen. Sonst könnten z.B. die Permalinks nicht mehr funktionieren.

Ein zielgerichtete Brute-Force Attacke braucht vielleicht bei dem Standard Loginnamen (admin) eine Nacht und schon ist alles ausspioniert. Trotzdem sind mehrere tausend Versuche nötig um somit vielleicht auf das richtige Passwort zu kommen. Eine ganz einfache Blockade dagegen bietet Limit Login Attempts. Einfach Installation und Konfiguration! Maximaler Aufwand: 2 Minuten und schon ist der eigene Blog viel sicherer!

Jetzt dürfte man sich selber schon viel sichere fühlen! Vielen Dank für die Denkanstösse an: Querblog, Delijo, XYOnline, Officetrend

Beitrags-Navigation

Vorherigen Beitrag Previous post:

Full Circle

Nächsten Beitrag Next post:

Song der Woche #83

Tags:

  • hack
  • ip
  • limit
  • login
  • machen
  • security
  • sicherer
  • sicherheit
  • wordpress
Teilen
  • Facebook
  • Messenger
  • Twitter
  • Pinterest
  • Whatsapp
  • Email

Nils Hünerfürst

Männlich - 31 Jahre alt - Mediengestalter für Bild und Ton - und Hünerfürst ist mein Nachname

Nicht verpassen

16. Januar 2023

Was ist und warum ist ein VPN-Anbieter eine Überlegung wert?

26. Oktober 2022

So schützen sie sich im Internet

16. September 2020

WP-Rocket – Ein Jahr später – Nachträgliches Review

10. Oktober 2019

WordPress Caching im Jahr 2019

11 Comments

  1. Sebastian sagt:
    2. April 2012 um 09:10 Uhr

    Ja, etwas sicherer sollte der Zugang schon sein.
    Bei mir ist per „Admin-User“ auch nix zu holen ;) Außerdem verwende ich ebenfalls das Tool das die Versuche beschränkt.
    th. kann man den Zugriff auf die wp-admin auch noch per htacess und IP-Range steuern. Also nur die Gruppe aus Deutschland bzw von seinem Provider (reicht ja der erste IP-Block). Aber gut, muss jeder selber wissen.

    Antworten
  2. Horst Schulte sagt:
    2. April 2012 um 14:42 Uhr

    Nur, dass ich es mal gesagt habe: Meine WordPress-Versionen, die Plugins und die Themes waren auf dem neuesten Stand – alle! Außerdem hatte ich keinen Admin-User und längst Limit Login Attemps im Einsatz. Das alles hat nichts daran geändert, dass der Account verseucht wurde.

    Antworten
  3. Nils sagt:
    2. April 2012 um 15:10 Uhr

    @Sebastian Hast du echt eine nur IP’s aus Deutschland zugelassen?

    @Horst Schulte Erstmal Willkommen hier und schön das du dich hier meldest! Natürlich ist dann immer noch nicht alles Safe. Bei dir war doch die timthump.php die offene Tür und gegen sowas kann man auch nicht wirklich was machen. Es bleibt immer ein Weg für ungeladene Gäste offen, immer!

    Antworten
  4. Sebastian sagt:
    2. April 2012 um 15:45 Uhr

    @Nils: Nee, aber das wär eine Möglichkeit
    @Horst: Über welche Wege kann man auf deinen Server zugreifen? FTP klar. Aber auch WebDAV? Somit kann es auch über deinen Rechner passiert sein, wenn der nen virus hat.
    Wie sicher sind die PW bei dir? Bei einem Kunden von mir war das auch mal passiert. Trotz PW wurde Schadcode in die HTML-Seite eingefügt. Habe danach ALLE PW auf eine 15-Zeichen-Länge verändert :) Und die Seite war kein Blog.

    Antworten
  5. derhenry sagt:
    3. April 2012 um 11:22 Uhr

    Und das Limit Login Attempts-Plugin macht was genau? Verstehe ich nicht ganz…

    Antworten
    • Nils sagt:
      3. April 2012 um 11:32 Uhr

      Das limitiert falsche Anmeldeversuche. Sprich nach 3mal falscher Angabe der Logindaten wird die IP für X Minuten oder auch Stunden gesperrt.

      Antworten
  6. derhenry sagt:
    3. April 2012 um 11:37 Uhr

    Cool, das nehme ich auch mal. Ist ja ziemlich unaufwändig. ;)

    Antworten
  7. derhenry sagt:
    3. April 2012 um 11:42 Uhr

    Kann mir einer das mit dem Reverse Proxy Server erklären? Das Plugin findet die Option für meine Seite passender. :)

    Antworten
  8. Nils sagt:
    3. April 2012 um 11:57 Uhr

    Dort muss du einfach angeben ob du über einen Proxy dich zu deiner Seite verbindest oder nicht aber hier mal ein Zitat vom Autor selber:

    What is this option about site connection and reverse proxy?
    A reverse proxy is a server in between the site and the Internet (perhaps handling caching or load-balancing). This makes getting the correct client IP to block slightly more complicated.

    The option default to NOT being behind a proxy — which should be by far the common case.

    Antworten
  9. Cujo sagt:
    20. April 2012 um 13:25 Uhr

    Neben den hier vorgestellten Plugins „AntiVirus“ und „Limit-Login-Attempts“ setze ich noch „Secure WordPress“ und „Website Defender“ ein. Damit kann man z. B. seine WordPress-Version verbergen und den Tabellen-Prefix nachträglich ändern. Ich habe vor ein paar Tagen einen Artikel geschrieben, in dem ich die beiden Plugins näher vorstelle.

    Antworten
  10. Nils sagt:
    20. April 2012 um 13:27 Uhr

    Ja stimmt den Tabellenprefix ändern ist wirklich sehr hilfreich und deine beiden Plugins setzen die Sicherheit nochmals ein weiteres Level nach oben!
    Danke dafür :thumbup

    Antworten

Schreibe einen Kommentar Antworten abbrechen

Your email address will not be published.

Über Hünerfürst.de

Einer der bekanntesten deutschen Netzkultur Blogs seit 2009. Nils Hünerfürst und seine Familie schreiben hier auf Hünerfürst.de über Technik, Kultur, Essen und Videospiele.

Ähnliche Beiträge

Gedanken zum Jahreswechsel von Lars – 13 mediale Höhepunkt dieses Jahres

6. Januar 2023
Placeholder Photo

Gedanken zum Jahreswechsel von Annegret – zwischen Vollzeitmutter und Auswandern

4. Januar 2023

Gedanken zum Jahreswechsel von Nils – Die kuriose Top 5-Liste

2. Januar 2023

Toxische Beziehung zum eigenen Kind – was tun? #Elternalltag

31. Dezember 2022

Über den Autor

Nils Hünerfürst

Männlich - 31 Jahre alt - Mediengestalter für Bild und Ton - und Hünerfürst ist mein Nachname

Blogroll

  • Aptgetupdate
  • Basic Thinking Blog
  • Die Fünf Filmfreunde
  • GillyBerlin
  • Kotzendes Einhorn
  • Ladenblog
  • Langweiledich.net
  • Mind's Delight
  • Nerdcore
  • PewPewPew
  • venomazn
  • Verenas Welt
  • Was ist hier eigentlich los?

Beiträge vom letzten Jahr

  • Januar 2023
  • Dezember 2022
  • November 2022
  • Oktober 2022
  • September 2022
  • August 2022
  • Juli 2022
  • Juni 2022
  • Mai 2022
  • April 2022
  • März 2022
  • Februar 2022

online casino ohne einzahlung

Sportwetten Tipps von Overlyzer

Instagram

26. Januar 2023 26. Januar 2023
25. Januar 2023 25. Januar 2023
24. Januar 2023 24. Januar 2023
23. Januar 2023 23. Januar 2023
22. Januar 2023 22. Januar 2023
21. Januar 2023 21. Januar 2023
20. Januar 2023 20. Januar 2023
19. Januar 2023 19. Januar 2023
@nilshuenerfuerst

Über

Im Jahr 2009, als dieser Blog noch unter Nils-Snake.de gestartet wurde, waren Blogs vor fast jeder Domain Endung zu finden. Über zehn Jahre später ist nur noch ein kleiner Kern übrig. Die deutsche Blogosphäre befindet sich irgendwo zwischen klinisch tot und Casino Links. Dieser Blog versucht Netzkultur mit einzigartigen Inhalt zu erhalten.

Schlagwörter

2 3 app apple auto berlin bilder comic die download erfahrung Facebook film filme Game Gewinnspiel google iphone kurzfilm motion movie Music MusicWeekVideo musik of photoshop Playstation redseligcast Remix review Rezension song soundtrack spiel steam tee des monats test testbericht the timelapse trailer week world youtube zeitraffer

  • Facebook
  • Twitter
  • Instagram
  • RSS
  • Email

Nils Hünerfürst © 2009 - 2022

  • Tagebuch
  • Mediadaten
  • Impressum & Datenschutz
  • Tagebuch
  • Popkultur
  • #Elternalltag
  • Digitale Bibliothek
  • Lifestyle
Schreib uns!
Cookie-Zustimmung verwalten
Um diesen Blog für Dich optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmst du der Verwendung von Cookies zu.
Funktional Immer aktiv
The technical storage or access is strictly necessary for the legitimate purpose of enabling the use of a specific service explicitly requested by the subscriber or user, or for the sole purpose of carrying out the transmission of a communication over an electronic communications network.
Preferences
The technical storage or access is necessary for the legitimate purpose of storing preferences that are not requested by the subscriber or user.
Statistiken
The technical storage or access that is used exclusively for statistical purposes. The technical storage or access that is used exclusively for anonymous statistical purposes. Without a subpoena, voluntary compliance on the part of your Internet Service Provider, or additional records from a third party, information stored or retrieved for this purpose alone cannot usually be used to identify you.
Marketing
The technical storage or access is required to create user profiles to send advertising, or to track the user on a website or across several websites for similar marketing purposes.
Optionen verwalten Dienste verwalten Anbieter verwalten Lese mehr über diese Zwecke
Einstellungen
{title} {title} {title}