Im zweiten Teil zum Thema „Sicherheit bei WordPress“ möchte ich etwas zur Vorbereitung des Blogs schreiben. Auch hier können Sie die Sicherheit mit nur wenigen Schritten erhöhen.
1. Ändern des admin Benutzernamens
In WordPress wird automatisch das Standard Administratorkonto admin angelegt. Da alle WordPress Versionen anfällig gegenüber User Enumeration (d.h., das Nutzernamen durch den Angreifer erraten werden) sind, sollten sie den Standard admin in einen zufälligen Wert ändern, der schwer zu erraten ist. Durch diese Änderung wird es dem Angreifer schwieriger gemacht durch eine Brute-Force-Attacke die Kombination aus Benutzernamen und Passwort zu erraten. Hier sind die einzelnen Schritte zur Änderung des Standardnamens von admin:
- Melden Sie sich als admin an
- Erstellen Sie einen neuen Administrator (Benutzername und Passwort sollen schwer zu erraten sein)
- Melden Sie sich wieder ab und mit dem neuen Administratorkonto wieder an.
- Das alte Administratorkonto kann jetzt gelöscht werde.
2. Erstellen eines neuen Nutzers mit limitierten Rechten
WordPress benutzt fünf Benutzerstufen:
1. Administrator: Zugang zu allen Optionen
2. Redakteur: Artikel verfassen, kann eigene Artikel und anderer Benutzer verwalten und freigeben
3. Autor: Artikel verfassen, eigene Artikel verwalten und freigeben
4. Mitarbeiter: Artikel verfassen, darf diese aber nicht freigeben
5. Abonnent: Zugang zum Adminbereich, kann dort aber nur sein Profil vervollständigen und das Dashboard einsehen, kann Kommentare abgeben
Um die Sicherheit des Blogs zu gewährleisten, sollten dem Nutzer nicht mehr Rechte als nötig zugewiesen werden. Für eine effiziente Nutzerverwaltung möchte ich Ihnen den User Role Editor (Download: User Role Editor) empfehlen. Mit diesem Plugin haben Sie die Möglichkeit neue Rollen, z.B. nach Namen der Mitarbeiter, anzulegen und die Rechte sehr fein einzustellen.
In dem unteren Beispiel habe ich die Rolle MitarbeiterTest (Plugin lässt keine Leerzeichen zu) angelegt. Als Ausgangsrolle empfehle ich Ihnen den Mitarbeiter zu wählen. Die Standardrolle Mitarbeiter hat als Standardeinstellung die Berechtigungen Level 0 und Lesen. Jetzt nehmen wir einmal an, dass MitarbeiterTest die Aufgabe hat die Nutzerverwaltung für WordPress zu übernehmen. Wie Sie unten sehen habe ich dem MitarbeiterTest zusätzlich, nach seinem Aufgabengebiet, Berechtigungen, die für die Nutzerverwaltung nötig sind, zugewiesen.
Bevor sie eine Rechtevergabe vornehmen, sollten Sie sich mit diesem Plugin beschäftigen. Legen Sie doch einfach mal zu Testen einen Nutzer an und probieren aus, was für Folgen die Rechtevergabe haben kann. Vorsichtig sollten Sie besonders mit den Rechten „Dateien herunterladen“, „Dateien bearbeiten/Seiten bearbeiten“, „Artikel verwalten“, „Import“ und „Ungefiltertes HTML“ sein, da Sie dem Benutzer sehr viele Möglichkeiten geben den Blog zu ändern.
Wenn sie sich näher mit der Rechtestruktur von WordPress beschäftigen möchten empfehle ich Ihnen folgenden Link:
In meinem nächsten Beitrag schreibe ich etwas über die Absicherung des Administrationsbereichs.
Lesen Sie auch den 1. Teil der Themenreihe Sicherheit bei WordPress
Quellen: