Digitale Medien
  • Home
  • Blogosphäre
  • Digital
  • Facebook
  • Global

So schützt Du dein WordPress- Blog!

am 15. April 2012 hat 6 Kommentare

Guten Tag, liebe Leser! Sicherheit – das Streben der Zivilisation. Seit unserer Geburt suchen wir nach Sicherheit in unserem Leben. Im Internet sieht natürlich die Situation nicht anders aus. Überall sind Gefahren die unser Leben nicht leichter machen, sondern schwieriger: Viren, Trojaner oder Phishing- Angriffe.

Wenn wir uns einige Dinge betrachten, erkennen wir, im Leben sieht`s ähnlich wie im Internet aus. Viren, Bakterien und Infektionen umgeben uns ständig. Wie werden wir mit ihnen fertig? Grundlagen der Hygiene, Impfungen, aber auch Verhaltensnormen in der Gesellschaft.

In einem Artikel beschrieb ich wie man seine Datenbankdateien überwachen kann. Heute soll es um die theoretische Absicherung  der Dateien gehen.

Sicherheitslücken im Blog

WordPress, sowie auch andere CMS- Software besteht aus mehreren Dateien + Datenbank. Die häufigsten Bedrohungen entstehen bei:

  • Injektion von Schadcode in das Template
  • Injektion von Schadcode ins Plugin
  • Injektion von Schadcode in die Artikel und Seiten
  • Versteckte Viren (Bilder, Dateien)

In der Regel besteht ein Virus auf dem Blog als PHP-Code oder JavaScript. Dafür wird eine externe oder interne Datei genutzt, aber auch in passende Artikel werden die Viren eingeschleust. Ein erfahrener Programmierer kann die kürzlich aktualisierten Dateien erkennen und den bösartigen Code entfernen.

Zugriffsrechte auf die Dateien und das Template

Für jede Datei oder Ordner hat man die Möglichkeit auf dem Server sogenannte Zugriffsrechte  zu vergeben. Diese Rechte können je nach Verwendungszweck zum Lesen, Schreiben oder Ausführen vergeben werden. Falsche Zugriffrechte stellen eine Sicherheitslücke für das Blog dar.

Ändern Sie die Zugriffsrechte im Ordner „Template“ auf (chmod) 444 (alle Dateien und Benutzer haben nun Leserechte). Dadurch wird die Bearbeitung der Template-Datei für alle Benutzer deaktiviert und das Schreiben in die Datei vom Template erschwert. Einen Schadcode einzuschleusen wird  schwieriger.

Vorgehensweise:

  1. Auf dem Server anmelden. Dafür FTP- Programm (FileZilla, LeechFTP etc.)  nutzen.
  2. In die Struktur …/wp-content/themes/… + aktuellen Template Ordner wählen.
  3. Alle Dateien die eine .php Endung besitzen markieren. Durch Rechtsklick  (chmod) 444 vergeben.

HinweisNachdem du die Rechte vergeben hast, ist es nicht mehr möglich im Adminbereich die einzelne Dateien zu bearbeiten. Ich empfehle die einzelnen Dateien extern zu bearbeiten. So hast du immer die Gewissheit, dass die Dateien richtige Zugriffsrechte besitzen.

Die Qual der Wahl - Plugins, Templates

Mittlerweile gibt es Tausende von Plugins und Templates für WordPress. Viele Blogger testen, ändern, versuchen neue einzuspielen oder auszuprobieren. Es ist wichtig bei der Auswahl heutzutage lieber mit Vorsicht zu genießen.

Für die Programmierer ist es leicht einen Virus zu verstecken oder eine Sicherheitslücke zu hinterlassen, die im nachinein ausgenutzt wird und von Otto Normalverbraucher nicht so leicht erkennbar ist. Häufig werden diese infizierten Dateien weitergegeben, nicht ahnend, dass die versteckte Gefahr in ihnen übertragen wird.

HinweisLade nur Templates, Plugins von WordPress.org oder aus offiziell bestätigten Quellen (zum Beispiel vom Entwickler eines beliebten Plugin, Template). Manchmal sind auch Empfehlungen von größeren Portalen als ratsam anzusehen.

Sicherung der Dateien und der Datenbank (Backup)

Wie ich finde ein ganz wichtiger Punkt, der sehr oft vernachlässigt wird. Ein professioneller Programmierer kann sehr schnell die infizierte Datei lokalisieren. Der Anfänger ist meist nur in der Lage einfache Installationen oder das Einspielen einer vorhandenen Datenbank durchzuführen.

Datenbanken sind sehr schnell zerstört und nicht so einfach zu reparieren. Wenn du aber regelmäßig Sicherungskopien anlegst, bist du in der Lage alles wiederherzustellen. Die meisten Hostanbieter bieten ein ausgereiftes Backupsystem, in Form von Datenbank, Dateien und Mail an.

HinweisSichere die Datenbank mindestens 1 Mal pro Woche. Lege dir einen festgelegten Tag in der Woche an. Datenbanksicherung kann auch manuell über MyPHPAdmin angelegt werden, aber auch bequemer durch ein spezielles Plugin (z. B. WordPress Database Backup).

Schutz durch starke Logins und Passwörter

Auch ich habe früher diesen Punkt vernachlässigt und selbst die Erfahrung machen müssen wie schnell ein Passwort geknackt wird. WordPress bietet die Möglichkeit  bei der Auswahl des Passwortes, dein Passwort einzustufen – in leicht, mittel oder stark. Nehme diesen Vorschlag an!

Wenn du Beispielsweise deinem Blog bei der Anmeldung – Login «admin» und beim Passwort «ich123» vergibst, ist es nur eine Frage der Zeit bis dein Blog geknackt wird.

HinweisÄndere dein Standard-Login, ist nicht nur sicherer, sondern effektiver dein Blog nicht mit «admin» zu betreten. Ändere dein Kennwort auf ein zuverlässiges, längeres und mit wechselnden Zeichen versehendes Kennwort, der auch mehr als 7 Zeichen und Sonderzeichen, wie z.B. «AlK_287 # 1 » enthält.

Manchmal ist es leichter diese Punkte zu beachten, als nach einer Attacke dein Blog wieder herstellen zu müssen und deine Leser zu vernachlässigen. Versuche die neuesten Updates deiner Blogsoftware zeitnah durchzuführen!

6 Kommentare

Hast Du etwas zu sagen? Kommentar schreiben

  1. Roger sagt:
    15. April 2012 um 12:23 · Antworten

    Was ich nutze: Das Plugin Ultimate Security Checker, zeigt Lücken schön auf und hilft auch, sie zu beheben.
    Da mir ein Backup ziemlich viel Wert ist, man weiss ja echt nie, nutze ich dazu Vaultpress.

    • Alex Kasakow sagt: (Autor)
      15. April 2012 um 13:25 · Antworten

      Danke Roger! Das Plugin Security Checker werde ich mir anschauen.

      Grüße

  2. Marian sagt:
    27. Mai 2012 um 00:57 · Antworten

    Bei mir läuft wpAntivirus (http://wpantivirus.de/) als Virenscanner.

    • Alex Kasakow sagt: (Autor)
      27. Mai 2012 um 01:06 · Antworten

      Marian ich hatte das Plugin auch gehabt und es hat ziemlich gut funktioniert. Nur soweit ich weiß überprüft das Plugin nur die Standard- Dateien von WP.

      Grüße

      • Marian sagt:
        27. Mai 2012 um 02:09 · Antworten

        Und auch die des Templates.

  3. Vladislav Melnik sagt:
    28. Mai 2012 um 13:09 · Antworten

    Hi Alex,

    danke für den Blogpost.

    Schutz ist immer ein wichtiger Punkt, vor allem für einen WordPress Blog.

    Ich arbeite deine Liste bald mal ab!

Kommentar schreiben

Fühle Dich frei und schreibe mir Deine Meinung!

Hier klicken, um die Antwort abzubrechen.

← Unsere Blogs der Zukunft – 20 Jahre später
Warum bloggen Frauen weniger? →

In eigener Sache

Um euch ständig aktuelle Inhalte anbieten zu können, kommen auf dem Blog verschiedene Werbemittel zum Einsatz. Unter anderem werden wir von Dritten hin und wieder beauftragt, Webseiten oder Produkte entgeltlich zu testen.

Um dem gesetzlich vorgeschriebenen Trennungsgebot zwischen redaktionellen Inhalten und Werbung zu genügen, wird dieser Blog zukünftig gekennzeichnet mit der Bezeichnung

"DAUERWERBEBLOG"

mehr Infos zur Thematik

Suche

Empfehlungen

Seminare für Betriebsräte in attraktiven Städten.
  • 0kfans
  • 76followers
  • 10abonnenten

Empfohlene Artikel

  • Das Leben einer Steckdose
  • Texte die ankommen und wirken
  • Google lernt Satzzeichen und S…

Infoquelle

  • Archiv
  • Info & Kontakt
  • Wer liest mich?

Blogautor liest auch

  • Ahnungslos
  • Azella
  • Moritz' Blog
  • Tobias
  • Wandtattoo

© Copyright 2013 - Zabang.de -
Warning: number_format() expects parameter 2 to be long, string given in /www/htdocs/w00f9e90/wp-content/themes/template_zabang/footer.php on line 12
 Artikel mit
Warning: number_format() expects parameter 2 to be long, string given in /www/htdocs/w00f9e90/wp-content/themes/template_zabang/footer.php on line 13
 Kommentaren

Impressum