WordPress Login absichern

WordPress Login absichern

Wie sichere ich den Adminbereich von WordPress ab?

Schon von Berufs wegen als ITler ist sind mir zwei Dinge schon immer sehr wichtig:

  • Backup, Restore oder allgemein die Sicherheit meiner Daten gegen Beschädigung und Verlust
  • Sicherheit der Anwendungen gegen Diebstahl und unbefugtes Eindringen bzw. Veränderung

Diese beiden Themen treiben mich natürlich auch auf meiner Webseite um. Das Backup und Restore Thema habe ich schon vor einigen Monaten recht gut lösen können, dazu in einem weiteren Beitrag gerne mehr.

Das Sicherheitsthema in WordPress ist schon auf so viele Webseiten durchgekaut worden. Ich möchte euch nur ein meiner Meinung nach geniales Plugin hinweisen das euch hilft den Adminbereich von WordPress zu schützen. Die Sicherheit in WordPress basiert auf vielen kleinen Faktoren. Je mehr ihr von diesen kleinen Faktoren beachtet desto sicherer wird das Gesamtkonzept der Seite. Hier eine kleine Tabelle die euch sicherlich hilft:

  • Tabellenpräfix anpassen. In einer Standardinstallation lautet der Präfix wp_ und sollte auf einen Fantasiewert angepasst werden.
  • Benutzernamen anpassen. Nehmt für die Administrativen Arbeiten nicht den Redakteurszugang mit dem ihr auch Beiträge verfasst. Und nennt den Administrator nicht Administrator. „Administrator“ ist ein Zustand, kein Name!
  • Passwörter möglichst komplex halten. Jaja, da mag ich gar nichts mehr dazu schreiben. Macht bitte vernünftige Passwörter, und bewahrt diese dann nicht unter der Tastatur auf.
  • Aktualisierungen sofort bzw. zeitnah einspielen. Und zwar nicht nur vom WordPress Kernsystem, sondern auch von allen PLugins und Themes. Dass kann man automatisieren – und muss sich dann nur noch prüfend darum kümmern.
  • Keine Dateien aus unklaren Quellen verwenden. Sprich ich würde nur Plugins und Themes verwenden deren Herkunft ich kenne.

Den WordPress Administrator Login Bereich absichern

Als einen weitern Baustein empfiehlt es sich den Login Bereich von WordPress zu sichern. Der Grund und die Vorgehensweise ist recht simpel.

Standardmäßig ist der Login Bereich immer unter der URL http://Domäne.tld/wp-admin zu erreichen. Nun ist es ein leichtes zu versuchen hier eine funktionierende Benutzername:Passwort Kombination zu testen. Gerade wenn der Administrator auch noch Administrator heist steigt die Chance auf 50% das korrekte Passwort zu erraten.

Abhilfe kann hier das Plugin WPS Hide Login schaffen.

WPS-Hide-Login

WPS-Hide-Login

Es verändert die Adresse zum Adminbereich auf einen frei zu wählenden Wert. Dieser kann nach der Installation und Aktivierung von im Adminbereich unter der Rubrik Einstellungen gewählt werden.

WPS-Hide-Login Konfiguration im WordPress Administrator Bereich

WPS-Hide-Login

Nun laufen alle Angriffe auf die Adresse /wp-admin ins Leere.

Besonders gefällt mir die Einfachheit mit der Wirkungsvoll die WordPress Installation geschützt wird, Daumen hoch!

TYPO3 Extension worldcup 2016

TYPO3 Extension worldcup 2016

Es ist 2016 und dieses Jahr findet somit im Juni die Fifa Fußball Europameisterschaft in Frankreich statt. Da ich mich mittem im Aufbau eines Intranets befinde habe ich eine TYPO3 Extension gesucht die ein Wettbüro simuliert bzw. in der auf die einzelnen Spiele und Mannschaften gesetzt werden kann. Die gibt es bereits – allerdings ist ein wenig Arbeit erforderlich um diese an die EM 2016 anzupassen.

Ich verwende als Basis dazu FE Benutzer die gegen ein AD (2012R2) autorisiert werden. Nur wer sich als FE User angemeldet hat kann in dieser Extension einen Tipp bzw. eine Wette abgeben. Die Wetten können bis zum Beginn des Spieles geändert werden. Nach einem Spiel erstellt die Extension direkt eine Tabelle für die Mannschaften und FE User.

Die Extension worldcup der Marit AG findet ihr hier im TER.

Und hier habe ich für euch meinen Teil der SQL Datenbank in dem ihr alle Spiele und Paarungen findet. Da ich einige neue Flaggen und Mannschaften definieren musste erhaltet ihr hier die Extension nochmals komplett als Download.

TYPO3 worldcup - Darstellung Fußball Spiele von Gruppe A und B

TYPO3 worldcup – Darstellung Fußball Spiele von Gruppe A und B

TYPO3 worldcup - Darstellung der Details aus Gruppe A

TYPO3 worldcup – Darstellung der Details aus Gruppe A

all-inkl.de führt PHP7 ein

all-inkl.de führt PHP7 ein

Mein neuer Provider überrascht mich immer wieder. Seitdem ich Anfang Dezember 2015 über die Fertigstellung von Heise Developer gelesen habe war mein Interesse geweckt. Haben doch die Entwickler doch unter der Haube sehr viel gedreht und verbessert. Besonders die Performance stand wohl im Mittelpunkt. Und das kommt direkt WordPress zu Gute, einzelne Test ergaben eine Steigerung von bis zu 50%.

All-inkl.de hat, ohne groß auf der Webseite dafür zu werben, bereits PHP7 eingeführt und bietet seinen Kunden im KAS (Kunden Administrations System) die Möglichkeit mittels diesen Eintrages in der .htaccess

AddHandler php70-cgi.php

bereits jetzt schon auf die neue PHP Version umzusteigen. Natürlich hab ich das sofort ausprobiert und bin bisher begeistert. Probleme mit meiner WordPress Installation konnte ich bisher keine fest stellen. Und die Performance? Ist deutlich schneller! Sehr fein, Daumen hoch für all-inkl!

Providerwechsel

Providerwechsel

Nach einigen Jahren des Webhostings bei Hetzner, mit denen ich sehr zufrieden war, wurde es einfach mal Zeit für etwas Neues. Und so wechselte ich vor zwei Jahren den Hoster und bin bei Strato gelandet. Für den gleichen Preis bekam ich dort wesentlich mehr Webspace, sehr gut dachte ich, das brauche ich für meine Panoramen. Doch dann gingen die Probleme los: In meinem Mailpostfach sammelte sich der vom Spamfilter nicht aussortierte Werbungsmüll. Ein Blick in meine Maileinstellungen zeigte mir aber, das ich bei Strato alle Viren- und Spamscanner aktiviert hatte. Nach vielen Anrufen in der Hotline und ellenlangen Supportmails habe ich dann irgendwann aufgegeben und es akzeptiert. Was ich aber nie wirklich akzeptiert habe ist die wahrlich schlechte Performance meiner WordPress Installation. Dabei handelt es sich doch um ein allerwelts CMS, mit einer Handvoll Plugins an meine Bedürfnisse angepasst. So etwas sollte doch im 21. Jahrhundert (hey wir fliegen bis zum Mars!) kein Problem sein?

(mehr …)

WSUS 2012 GPO

WSUS 2012 GPO

Die Installation eines WSUS Servers ist recht einfach und unkompliziert, dazu findet ihr jede Menge Informationen im Internet. Ich habe in einer virtuellen Umgebung einen WSUS Server auf Basis eines Windows Server 2012 durchgeführt. Nach der Installation waren noch einige Nacharbeiten notwendig bis das System so funktionierte wie es sollte. Folgende Probleme waren zu lösen:

(mehr …)

Durch die weitere Nutzung der Seite stimmst du der Verwendung von Cookies zu. Weitere Informationen

Die Cookie-Einstellungen auf dieser Website sind auf "Cookies zulassen" eingestellt, um das beste Surferlebnis zu ermöglichen. Wenn du diese Website ohne Änderung der Cookie-Einstellungen verwendest oder auf "Akzeptieren" klickst, erklärst du sich damit einverstanden.

Schließen