WordPress ist das zurzeit am meisten genutzte Blogsystem. Es zeichnet sich besonders durch seine leichte Installation und Benutzerfreundlichkeit aus. WordPress ist eine freie Software (aktuelle Version 3.2.1) und basiert auf der Scriptsprache PHP (mind. 5.2.4 oder höher) und benötigt eine MYSQL-Datenbank ab der Version 5.0.15 oder höher. Zusätzlich wird noch das Apache mod_rewrite Modul, „für schönere URLs“, benötigt.
Da der Administrationsbereich einer Webanwendung immer auch anfällig gegenüber Angriffen aus dem Netz ist, sollten Sie schon bei der Installation auf einige Dinge achten. Darum wird sich der erste Teil der Themenreihe, „Sicherheit bei WordPress“, damit beschäftigen was man vor der Installation unternehmen sollte, um den Blog abzusichern.
1. Ändern der Standardrechte für die Datenbanknutzer schon vor der Installation
Ziel ist es, jedem Nutzer der auf die Datenbank zugreift, so wenig Rechte wie möglich zu geben, denn falls der Blog wirklich einmal übernommen wird, versucht der Angreifer seine Rechte auch außerhalb (z.B. auf dem Rest des Webservers oder Webspace) zu benutzen.
Sie sollten die standardmäßig gesetzten Werte ändern. Die Vergabe der folgenden Berechtigungen reicht vollkommen aus:
Datenmanipulation: SELECT, INSERT, UPDATE, DELETE
Strukturmanipulation: CREATE, ALTER, DROP
2. Ändern des WordPress Tabellenpräfix
Um Angriffe auf die Datenbank zu vermeiden, sollten Sie den Standard WordPress Präfix (wp_) in einen zufälligen Wert ändern.
Wenn Sie WordPress noch nicht installiert haben, gehen Sie in die Datei wp-config-sample und ändern Sie:
* WordPress Database Table prefix. *
* You can have multiple installations in one database if you give each a unique
* prefix. Only numbers, letters, and underscores please!
*/
$table_prefix = ‚wp_‘;
in einen zufälligen Wert z.B.:
$table_prefix = ‚zeh232‘;
Wenn Sie diesen Wert geändert haben, können Sie mit der Installation beginnen.
Sollten Sie WordPress schon installiert haben, besteht die Möglichkeit das Prefix mit dem Plugin WP Prefix Table Changer (http://blogsecurity.net/projects/prefix-changer.zip) nachträglich zu ändern.
In meinem nächsten Blockbeitrag werde ich Ihnen noch weitere Maßnahmen zeigen, damit Sie auch in Zukunft sicher Bloggen können.
Quellen:
