Je popu­lä­rer ein CMS-System, desto mehr (böse) Hacker beschäf­ti­gen sich mit der Ausnutzung diver­ser Sicherheitslecks. Zwar exis­tie­ren für WordPress zahl­rei­che Anleitungen und Tutorials, die beschrei­ben, wel­che Lecks man stop­fen sollte — nun steht erst­mals ein kom­for­ta­bles Plugin zur Verfügung, das poten­ti­elle Schwachstellen auf­zeigt und Ratschläge gibt.

Die Frager ist bekannt­lich nie­mals “Bist du para­noid?” son­dern “Bist du para­noid genug?” In die­sem Sinne kann man die Out-of-the–Box Security von WP gewal­tig stär­ken: bei­spiels­weise sollte der Admin-User nicht admin hei­ßen (von wegen Brute Force), das Standard-Table-Prefix wp_ sollte ver­än­dert wer­den (wegen zero-day SQL Injection attacks), der /wp-admin/ Folder sollte eine .htac­cess Datei bekom­men… und so weiter.

Weiters über­prüft das Plugin, ob die ein­zel­nen Order eh nicht mehr Rechts besit­zen als unbe­dingt not­wen­dig, besitzt einen inte­grier­ten Generator für starke Passwörter und ein Tool, wel­ches das DB-Prefix auto­ma­tisch ändert; vor­her sollte aber unbe­dingt ein Backup ange­fer­tigt wer­den. Für die Zukunft plant der Hersteller Semper Fi Web Design eine ganze Reihe wei­te­rer Funktionen. Die woll­milch­le­gende Sicherheits-Sau WP Security Scan und sollte in kei­ner WP-Installation feh­len: spe­zi­ell wenig web-security affine User bekom­men damit ein mäch­ti­ges Tool in die Hand, das viel Recherche obso­let macht — und mög­li­cher­weise eines Tages sogar den Supergau verhindert.

Ächtüng: das Plugin benutzt libcurl; wenn PHP diese Bibliothek nicht unter­stützt, ste­hen nicht alle Analysefunktionen zur Verfügung!

Keine ähnli­chen Beiträge.