Eigentlich wollte ich den Admin-Bereich meines blogs durch unsere zentrale SSL-Infrastruktur mit einem Reverse-Proxy, SSL-Zertifikat und HTTP-Auth schützen.
Leider ist das aber nicht so leicht möglich, insbesondere gibt’s anscheinend keine (konfigurierbare) spezielle Admin-URL, die ich für diese Konfiguration bräuchte. Das URL-Management in WordPress scheint nicht wirklich klar umgesetzt zu sein….
Daher habe ich erst mal ein paar Artikel über WordPress-Sicherheit gelesen, wie beispielsweise 10 Schritte zum Schutz des Admin-Bereichs oder WordPress sicherer machen aus dem WordPress-Buch und WordPress sicherer machen auf wordpress-deutschland.org. Eine ganz interessante Übersicht gibt auch der Artikel Sicherheit / WordPress absichern.
Folgende Dinge habe ich dann gleich mal umgesetzt:
- Zugriff auf wp-config.php durch .htaccess verhindert
- Neuer Account mit Admin-Rechten und Löschung des default-admin-Accounts
- Verschieben des kompletten PHP-Codes in ein Unterverzeichnis
- Komplettes Zugriffsverbot auf dieses Unterverzeichnis, ausser darin das Verzeichnis wp-admin/, wp-include/, die Dateien wp-login.php, wp-cron.php und xmlrpc.php und alle Medien-Dateien (Grafiken, Audio, Video, Stylsheets)
- Zusätzlicher Zugriffsschutz durch http-Authentifizierung (require valid user) auf das Verzeichnis wp-admin
- “Verschlüsselte” Übertragung des Passwortes durch das Plugin CHAP Secure Login
Folgende Dinge möchte ich noch genauer betrachten und eventuell später umsetzen:
- Plugin “Limit Login Attemts” und/oder “Login LockDown” installieren (erschwert angeblich brute-force)
- Anderer Tabellen-Präfix in MySQL (erschwert angeblich SQL-Injections)
- Event. doch https für’s backend (heisst aber SSL-Zertifikat für den Server/Firewall/etc.)
- Event. sogar den gesamten blog per https fahren (braucht auch ein eigenes Zertifikat)
[...] mit einfachen Sicherheitsvorkehrungen abwehren. Dazu haben diverse Blogger wie Michael, Thomas oder auch Tanja viele Tipps und Tricks erwähnt, wie man seinen WordPress Blog absichern kann. [...]