WordPress richtig absichern Teil 2

Geschrieben am WordPress

Nachdem wir uns im 1. Teil dieser Serie angeschaut haben wie WordPress schon bei der Installation ein wenig Sicherere gemacht werden kann, widmen wir uns heute den verschiedenen Verzeichnissen und Dateien.

 

Welche Version hat welches Problem.

Jede WordPress Version hat auch seine eigenen Probleme oder Sicherheitslücken (leider). Nun lässt sich mit folgenden Textzeilen, eingegeben in der functions.php deines aktive Theme die Versionsnummer von deiner WordPress Installation im Quellcode und dem Feed verbergen.

[gist id=4025517]

Ihr solltet auch im header.php eures Theme schauen ob dort die Ausgabe der Versionsnummer nicht auch drinnen ist. Dieser erkennt ihr an folgendem Text:

<meta name=”generator” … />

Solltet ihr diesen finden, am besten direkt raus löschen.

 

Autorennamen geben Login-Namen aus!

Standartmässig wir in WordPress der Loginnamen bei den Kommentaren als CSS Klasse ausgegeben. Dies sind schon 50% vom Zugang auf deine WordPress Installation.

Mit folgenden Textzeilen welche du wieder in die functions.php deines Theme eingibst, verhinderst du dies.

[gist id=4025555]

 

Doppelte Sicherheit mit .htpasswd beim Login

Einen grossen Schritt in Richtung Sicherheit kommst du mit folgenden Zeilen Code, welche dich bei Aufruf der wp-login.php mit einem Pop-Up Fenster um die Eingabe eines Benutzernamens und Passwort bittet, welche BITTE nicht die gleichen sind wie in deiner WordPress Installation.

Vorgehen:

1. Erstelle mit einem Texteditor (ja Word ist keiner) eine leere Datei namens htpasswd.txt

2. Lade diese via FTP Programm auf deinen Server (zB:. FilleZilla) am besten im Root Verzeichniss damit dies nicht leicht auffindbar ist;)

3. Dort benennst du es um auf folgenden Namen: .htpasswd

4. Nun kannst du dir mit einem htpasswd Generator den Inhalt erstellen lassen und kopierst diesen in deine .htpasswd Datei rein welche auf dem Server liegt

5. Nun öffnest du die .htaccess auf deinem Server und trägst folgenden Code ein.

[gist id=4025931]

Ändere noch den Pfad, eventuell musst du bei deinem Serveranbieter um den kompletten Pfad bitten.

6. .htaccess speichern und Hochladen. Fertig

Beim öffnen der wp-login.php URL wird nun ein Fenster erscheinen welches dich nach deinem anderen Benutzernamen und dem Passwort fragt.

 

Geschrieben von Kevin

Kevin Kyburz ist Blogger, Social Media Exponent, Kolumnist, Sportsmann, Coffeejunkie, Kitchengroover und wohnt in Zürich.

WordPress richtig absichern Teil 2

von Kevin Lesezeit: 1 min