Es ist kein Geheimnis, dass sich so mancher Hacker einen Spaß daraus macht Dateien und Webseiten zu hacken. Warum das geschieht, kann unterschiedliche Gründe haben. Verstehen muss man das auch nicht unbedingt. Allerdings sollte man verstehen, wie man mit wenigen Kniffs seinen Wordpress Blog ein klein wenig sicherer machen kann.
Ich bin wahrlich kein IT- Experte, doch die Erfahrung hat mich zumindest zwei kleine Kniffs gelehrt, wie jeder relativ einfach seinen Blog etwas mehr schützen kann.
Tipp 1: Wordpress Update
Immer die neuste Wordpress Version nutzen!
Ich warte immer ein paar Tage ab, nachdem das neueste Wordpress Update erschienen ist und update danach auf die neuste Version. Direkt nach Erscheinen der Updates sind oftmals noch kleine Bugs (Fehler) oder Sicherheitslücken in den neuen Versionen. Nach einigen Tagen hat die Wordpress Community diese jedoch in der Regel erkannt und ausgemerzt.
Ich warte immer ein paar Tage ab, nachdem das neueste Wordpress Update erschienen ist und update danach auf die neuste Version. Direkt nach Erscheinen der Updates sind oftmals noch kleine Bugs (Fehler) oder Sicherheitslücken in den neuen Versionen. Nach einigen Tagen hat die Wordpress Community diese jedoch in der Regel erkannt und ausgemerzt.
Doch nicht nur die Wordpress Version solltet ihr updaten, sondern auch die Plugins.
Veraltete Plugins können zu Problemen mit neuen Wordpress Versionen führen und können gleichermaßen eine Sicherheitslücke in eurem Blog sein. Sozusagen das offene Tor zum Inneren eures Blogs.
Veraltete Plugins können zu Problemen mit neuen Wordpress Versionen führen und können gleichermaßen eine Sicherheitslücke in eurem Blog sein. Sozusagen das offene Tor zum Inneren eures Blogs.
Tipp 2: Entfernen der Wordpress Versionsnummer aus dem Quelltext
Warum ist die Versionsnummer eine Sicherheitslücke?
Worpress erzeugt automatisch, ohne dass wir etwas tun müssen einen Meta-Tag Generator in dem die Versionsnummer der WordPress-Installation für jeden deutlich lesbar angezeigt wird. (sofern er in den Quelltext einer Seite schaut - Das geht über rechte Maustaste -> Seitenquelltext anzeigen)
Wenn jemand Seiten angreifen will, weiss er so genau, welche Version ihr nutzt und ob ggf. Sicherheitslücken bestehen und welche dies sind. Es ist kein 100 prozentiger Schutz vor Angreifern, aber kann zumindest ein klein wenig helfen, diese abzuwehren. Also raus mit der Versionsnummer oder ausblenden.
Und so geht es:
In der Regel sollte die Anzeige der Versionsnummer in eurem Quellcode so aussehen:
< meta name="generator" content="WordPress 3.3.1" />
In der function.php (im Editor eures Themes) könnt ihr die Versionsnummer ausblenden. Die WordPress-Versionsnummer wird ausgeblendet indem ihr get_bloginfo(‘version’) und das Leerzeichen (‘ ‘) durch einen Leerstring ersetzt.
In eurer function.php sollte das so aussehen: // Remove version from generator meta tag
function mn_remove_version_from_generator($generator) {
return str_replace(' '.get_bloginfo('version'), '', $generator);
}
add_filter('the_generator', 'mn_remove_version_from_generator');Im Quellcode müsste es dann folgendermaßen angezeigt werden:wget -O- -q Hier steht deine Blog URL | grep generator
Ihr könnt allerdings auch den Codeschnippsel im Quellcode komplett entfernen (meine bevorzugte Variante).
Dazu fügt ihr in der function.php folgendes ein:
remove_action('wp_head', 'wp_generator');
und fertig ist die Lucy! Danach ist die Erwähnung der Versionsnummer im Quelltext völlig verschwunden.
Bitte vergesst nicht, dies ist kein absoluter Schutz!!!!
Daher immer regelmäßige Backups ziehen und updaten. Ich hoffe ich konnte euch ein wenig helfen und ihr bleibt verschont vor Angriffen.
0 Kommentare:
Kommentar veröffentlichen