Teen pornhub porn videos watched. xnxx webcam porn video online stream tv.

BlogPimp

Tipps, Empfehlungen und News aus dem Web.

 

Weblog
Empfehlungen

Impressum
wer steckt dahinter

 

Blog:
WordPress und Sicherheit

15.04.08 – 18:24 Uhr

In den letzten Tagen schwappten wieder einmal die Wellen derer, die WordPress für unsicher halten, heftig durch Klein-Bloggersdorf. Eine angebliche Sicherheitslücke, die alle Versionen von WordPress bis zur 2.3.3 betreffen sollte, stellte sich aber offensichtlich als Hoax heraus. Da trotzdem mal wieder viele beunruhigt sind, möchte ich hier mal ein paar Dinge zum Thema sichere Website erklären.

Zuerst einmal möchte ich klar stellen, dass, wie es in einem alten ITler-Joke heißt, das größte Problem immer vor dem Bildschirm sitzt. Die meisten Probleme mit der Sicherheit treten auf, wenn der Anwender einer Software allzu gutgläubig darauf vertraut, das schon nichts schief gehen wird.

Ein Beispiel: WordPress vergibt bei der Installation den Standardbenutzer “admin”. Und Ihr glaubt es vielleicht nicht, aber auf über 80% der installierten WordPress-Blogs ist dieser Benutzername noch aktiv. Und manch ein Blogger hat das schon nicht sehr schwer zu knackende Passwort, das WordPress bei der Installation vergibt, durch ein noch simpleres, wie zum Beispiel den Name der Katze oder des Lieblingsgetränks ersetzt. Das macht einem potentiellen Hacker den Angriff leicht. Den Benutzername kennt er ja schon (admin), muss er nur noch mit einer Wörterbuch-Attacke das Passwort finden. So was dauert mit einem passende Script nur wenige Minuten.

Da kann jetzt aber WordPress so was von überhaupt nichts dafür. legt einfach einen neuen Benutzer an, gebt ihm einen nicht leicht zu erratenden Namen, verpasst ihm ein kompliziertes Passwort, mindestens 8, besser 12 Zeichen lang und aus Groß- und Kleinbuchstaben und Zahlen und mindestens einem Sonderzeichen bestehend, dann seit ihr auf der sicheren Seite. Ist natürlich nicht so bequem wie das Passwort “Mauzi”.

Noch was: Wenn ihr Themes oder Plugins downloaded, dann schaut Euch an, was es ist und woher es kommt. Beides lädt man nur von der Seite des original-Autors oder von vertrauenswürdigen Seiten wie WordPress.Org etc. Es ist nämlich ganz einfach, mit einem Theme oder einem Plugin eine Hintertür in WordPress zu öffnen. Aber auch da kann WordPress nichts dafür. Entweder ich habe die tollen Möglichkeiten, die eine Schnittstelle für Themes und Plugins bieten, oder ich habe ein geschlossenes, nicht zu erweiterndes, aber sichereres System. Beides gleichzeitig geht halt nicht. Aber es zwingt mich ja auch niemand, ein Plugin zu installieren, wenn ich mir nicht sicher bin, was es so alles macht.

Wer ganz sicher gehen will, der läd sich das WordPress Security Whitepaper (PDF) herunter und folgt den Anweisungen darin. Ein so gesichertes Blog ist nahezu unverletzlich (Es gibt auch eine deutsche Ãœbersetzung (PDF), die ist aber im Moment nicht ganz aktuell, da sie die Version 2.5 noch nicht berücksichtigt).

geschrieben von BlogPimp | gespeichert unter Blog |

5 Kommentare

  1. schrieb am 15.04.08 um 19:14 Uhr: | Permalink

    Schön, dass mal jemand dieses Thema von dieser Seite her aufgreift. Den IT-Joke, dass das eigentliche Problem meist vor dem Rechner sitzt, sehe ich jedoch etwas ernster. Leider ist es nämlich eben kein Witz, sondern oftmals traurige Realität. Wenn sich dann aber User, wie du sagst, Themes und Plug-Ins aus unsicheren Quellen installieren und sich dann auch noch darüber aufregen und beschweren, dass gerade WordPress der Schuldige ist, sprich sein Blog so unsicher gestaltet, kann ich das nicht mehr nachvollziehen. Außerdem ist es ja so, dass es nicht unbedingt wenige Sicherheits-Plug-Ins gibt. Da könnte man WordPress jedoch wirklich nahe legen, diese schon von Haus aus mit ins System einzubinden. Aber gut, es soll ja in gewisser weise einfach und für den nicht so versierten User nutzbar sein.

    Ich weise hier jetzt einfach mal auf einen meiner Artikel bzgl. Sicherheits-PlugIns hin.
    http://blog.bissinger.biz/2008/04/14/wp-sicherheits-plugins/

  2. schrieb am 03.10.08 um 16:16 Uhr: | Permalink

    WordPress ist viel sicherer geworden. Seit den letzten Updates gab es hier keine großen Probleme.

  3. Daniel
    schrieb am 21.10.08 um 20:45 Uhr: | Permalink

    Gut, dass es ein Hoax war. Denn einen Blog von mir habe ich seit längerer Zeit nicht mehr geupdated.

  4. schrieb am 12.05.09 um 14:20 Uhr: | Permalink

    Wie soll den das automatisch von WordPress vergebene Passwort erraten werden? Dieses besteht doch aus Groß- und Kleinbuchstaben, teilweise sogar aus Sonderzeichen!

    Doreen

  5. schrieb am 13.05.09 um 08:44 Uhr: | Permalink

    @ Doreen: Ich habe mal gelesen, dass die Routine, wie die WordPress-Passworter erstellt werden, geknackt wurde oder prinzipiell offen liegt, genau weiß ich es nicht mehr.

    Aber wenn man weiß, wie diese erstellt werden, kann man Sie mittels eines Programms schnell erraten.

Einen Kommentar schreiben:

Ihre Email wird niemals veröffentlicht oder weitergegeben.

 

Design: BlogPimp · Lizenz: Alle Rechte vorbehalten blogoscoop