Je mehr WordPress in den Focus der weltweiten Blog-Gemeinde rückt und im Einsatz ist, desto mehr wird es natürlich auch Angriffziel für Hacker. Eine mögliche Schwachstelle ist das Directory-Listing, das einem Hacker über den Browser Einblick in Dateien einer WordPress-Installation geben kann. Das zu unterbinden ist einfach.

Ist Directory Listing bei Dir möglich?

Bei vielen Internet-Providern ist das Directory-Listing bereits unterbunden, jedoch beileibe nicht bei allen. Um zu testen, ob es bei Dir möglich ist, gib beispielsweise folgendes in die Adresszeile des Browsers ein.

http://deine-url.de/wp-content/plugins

Ansicht Directory-Listing

Solltest Du dann eine Auflistung Deiner verwendeten Plugins sehen, würde ich weiterlesen.

Wo ist die Gefahr?

Wenn sich wie in der Abbildung oben auf so einfache Weise einen genauen Überblick über Dateien und in diesem Fall Plugins verschaffen kann, sind gezielte Angriffe auf mögliche Sicherheitslücken in Plugins möglich.

Und davon mal abgesehen hast Du vielleicht auch Dateien auf Deinem Server, die nicht die ganze Welt etwas angehen. Mit dem Directory-Listing kann man mit dem Browser gemütlich durch Deine Dateien stöbern. Schon gewusst?

Wie kann ich das unterbinden?

Die Auflistung von Dateien durch den Browser kann man ganz einfach mit ein paar Zeilen in der .htaccess unterbinden. Öffne dazu die .htaccess in Deinem Root-Verzeichnis und füge folgende Zeilen hinzu:

# Prevents directory listing
Options -Indexes

Unser aller Freund – der Hacker – bekommt dann folgendes Bild geboten.

Directory-Listing unterbunden

Fazit:

Du siehst, mit ein paar einfachen Schritten ist eine große mögliche Sicherheitslücke einer WordPress-Installation geschlossen. Es bedarf keiner fortgeschrittenen Kenntnisse, seine WordPress-Installation Schritt für Schritt sicherer zu machen.

Relevante Links:

• WordPress Security-Tipps

Bei der Arbeit mit WordPress – sei es professionell oder privat – kommt es ja durchaus mal vor, dass man mit seiner gesamten WordPress Installation umziehen muss. Wir nehmen einfach mal an, dass wir eine WordPress Installation als Entwicklungsumgebung eingerichtet haben. Um z. B. einem Kunden ebenfalls Zugriff zu gewähren, machen wir das Ganze nicht lokal sondern online.

Wie man WordPress mit der Export-/Importfunktion umzieht, erfährst Du im Artikel
Umzug einer WordPress-Installation in 3 einfachen Schritten

Die WordPress Installation ist nun fertig, vom Kunden abgenickt und soll jetzt in das Root-Verzeichnis auf dem Kundenserver. Im folgenden Beispiel berschreibe ich den Umzung einer WordPress-Installation von http://alte-domain.net/dev nach http://neue-domain.de.

Um eine komplette WordPress Installation umzuziehen, müssen wir sowohl alle Dateien als auch die Datenbank auf den neuen Server kopieren und der Installation dann beibringen, dass sie fortan woanders liegt.

Umzug der WordPress Dateien

In unserem Beispiel laden wir uns alle Dateien aus dem Unterverzeichnis /dev auf von unserem alten Server (http://alte-domain.net) per FTP auf unsere Festplatte herunter.

Ist der Download abgeschlossen, können wir uns mit unserem neuen Server (http://neue-domain.de) per FTP verbinden und die Dateien dort (wie in unserem Beispiel gefordert) in Root-Verzeichnis hochladen.

Anmerkung:

Sollte der Umzug auf demselben Server stattfinden, kann man die Dateien auch per WebFTP (wird von manchen Providern angeboten) von dem Start- in das Zielverzeichnis bewegen oder kopieren. Das geht wesentlich schneller als per FTP-Down- und Upload.

Umzug der WordPress Datenbank

Um unsere WordPress Datenbank übernehmen zu können, müssen wir diese zunächst von dem alten Server exportieren, um eine .sql-Datei (zip-, gzip-, bzip- oder unkomprimiert) auf unserer Festplatte abspeichern zu können.

In den meisten Fällen steht uns zur Administration unserer Datenbanken phpMyAdamin zur Verfügung. Im phpMyAdmin wählen wir die entsprechende Datenbank aus, klicken auf den Exportieren-Tab, machen dort unsere Einstellungen und beginnen mit dem Export (s. a. deutsche WordPress Doku).

Der nächste Schritt ist der Import der Datenbank auf dem neuen Server. Hierfür sollten wir uns bereits eine neue Datenbank auf dem neuen Server eingerichtet haben. Diese wählen wir im phpMyAdmin aus und klicken auf den Importieren-Tab, wählen die .sql-Datei aus und klicken auf OK. Der Import der Datenbank wird nun durchgeführt. Danach sollte die Struktur der Datenbank genauso aussehen wie die alte vom unserem alten Server.

Anpassung der wp-config.php

Der Großteil unseres Umzuges ist nun geschafft. Wir haben die Dateien und die Datenbank. Wir müssen WordPress jetzt noch sagen, dass es die Datenbank des neuen Servers nutzen soll.

Hierfür öffen wir die schon bekannte wp-config.php und machen dort unsere Einstellungen für die Datenbank

// ** MySQL settings ** //
define('DB_NAME', 'putyourdbnamehere');    // The name of the database
define('DB_USER', 'usernamehere');     // Your MySQL username
define('DB_PASSWORD', 'yourpasswordhere'); // ...and password
define('DB_HOST', 'localhost');    // 99% chance you won't need to change this value

Anpassung der WordPress Datenbank

Ein sehr wichtiger Schritt fehlt jetzt noch. Und zwar steht in den WordPress Einstellungen, die wiederum in der Datenbank gespeichert sind, immer noch unsere alte Domain http://alte-domain.net/dev. Außerdem speichert WordPress bei vielen Aktionen eine URL ab (z. B. bei Posts und Uploads). Auch bei dem Einsatz mancher Plugins werden URLs abgespeichert.

An all diesen Stellen haben wir jetzt noch die alte URL des alten Servers (http://alte-domain.net/dev) stehen.

An welchen Stellen genau diese noch vorkommt, finden wir am leichtesten über die Suche heraus. Wir wählen also die Datenbank aus und klicken auf den Suche-Tab. In das Eingabefeld geben wir unsere alte URL http://alte-domain.net/dev ein, wählen alle Tabellen aus und klicken auf OK.

Achtung! Im folgenden nehmen wir Änderungen an der Datenbank vor. Behalte also unbedingt die .sql-Datei als Backup, falls etwas schiefgehen sollte.

Das Suchergebnis zeigt uns, in welchen Tabellen wir die alte URL gegen die neue austauschen müssen. Um nun nicht jeden Datensatz einzeln öffnen zu müssen, machen wir das tabellenweise mit Suchen & Ersetzen mit foldendem SQL-Befehl:

UPDATE tabellenname SET feldname =
replace(feldname, suchstring, ersatzstring);

Tabelle wp_options

Am wichtigsten ist zunächst die Tabelle wp_options. Dort wird WordPress bspw. mitgeteilt, welche die Site-URL ist.

UPDATE wp_options SET option_value =
replace(option_value, 'http://alte-domain.net/dev', 'http://neue-domain.de');

Tabelle wp_posts

Die URL kommt außerdem in der Tabelle wp_posts vor (Spalte post_content und guid)

UPDATE wp_posts SET post_content =
replace(post_content, 'http://alte-domain.net/dev', 'http://neue-domain.de');

UPDATE wp_posts SET guid =
replace(guid, 'http://alte-domain.net/dev', 'http://neue-domain.de');

andere Tabellen

Wie gesagt, kann die URL auch noch in weiteren Tabellen auftauchen. Das sehen wir jeweils an dem o.g. Suchergebnis. Wahrscheinlich ist auch ein Vorkommen in der Tabelle wp_postmeta in der Spalte meta_value und eventuell in den Tabellen von Plugins, die Du verwendest.

Fertig

Wenn wir uns durch alle Tabellen gearbeitet haben, ist die WordPress Installation komplett umgezogen. Wir freuen uns!

Wie man WordPress mit der Export-/Importfunktion umzieht, erfährst Du im Artikel
Umzug einer WordPress-Installation in 3 einfachen Schritten

Wie kann man ein WordPress Theme verändern ohne es zu verändern? Die Frage klingt paradox, die Antwort jedoch ist sehr einfach. Mit WordPress Child Themes. Diese ermöglichen uns, das Theme zu beeinflussen ohne die Originaldateien verändern zu müssen.

Das einfachste Child Theme ist ein extra Verzeichnis im Verzeichnis /wp-content/themes, das ein CSS-File enthält, welches dem Child Theme sagt, welches sein Parent Theme ist und das CSS dieses Parent Themes erweitert oder überschreibt. Klingt ein wenig verwirrend, ist es aber nicht. Gehen wir mal ins Detail.

Was ist der Sinn von Child Themes?

Viele, die sich ein WordPress Theme heruntergeladen haben, möchten dieses den eigenen Bedürfnissen anpassen. Sei es, dass der verwendete Font oder die Farbe aller Links verändert werden sollen.

Diese Änderungen lassen sich mit ein paar CSS-Kenntnissen im Theme-Stylesheet (CSS) umsetzen. Jedoch muss man hierfür die Theme-Dateien verändern.

Bei langlebigeren WordPress Themes mit gutem Support (kostenlose und auch Premium WordPress Themes) werden evtl. Updates des Themes angeboten, die Bugs beheben oder das Theme einfach verbessern. Oder man hat sein Theme auf einem Theme Framework aufgebaut, welches ständig erweitert und verbessert wird.

Ohne Child Themes müsste man hier jedes mal neu die Änderungen am Theme durchführen, um die Updates realisieren zu können. Mit dem Einsatz eines Child Themes kann ich dieses Update getrost einspielen, denn meine Änderungen sind ja in einem extra Verzeichnis losgelöst vom Parent Theme. So gehen meine Änderungen nicht verloren und das Update des Parent Themes ist eine Sache von ein paar Minuten.

Wie erstelle ich ein WordPress Child Theme?

Das Erstellen eines Child Themes ist denkbar einfach. Dazu brauchen wir zunächst ein Parent Theme, das es mit dem Child Theme anzupassen gilt. In meinem Beispiel verwende ich hierfür mein Theme deLight. Das Theme liegt im Verzeichnis /wp-content/themes/deLight.

Als nächstes erstellen wir unser Child Theme, welches ich deLightChild nenne. Wir erstellen also im Verzeichnis /wp-content/themes einen neuen Ordner namens deLightChild (wp-content/themes/deLightChild). In dem deLightChild-Ordner erstellen wir ein neues Stylesheet names style.css (wichtig: die Stylesheet-Datei muss genau so heißen, damit WordPress das Child Theme erkennt).

Ganz oben in unserem neuen Stylesheet machen wir folgende Angaben:

/*
Theme Name: deLightChild
Theme URI: http://webdemar.com/demo/?wptheme=deLightChild
Description: Child Theme for deLight
Author: webdemar
Author URI: http://webdemar.com
Template: deLight
Version: 0.1
*/

@import url("../deLight/style.css");

Besonders wichtig ist hierbei der Punkt Template. Hier wird unserem Child Theme gesagt, welches sein Parent Theme ist. Wichtig ist hierbei, dass nicht der Name, sondern der Ordner des Parent Theme angegeben werden muss! In meinem Fall sind diese indentisch. Wenn jedoch Dein Parent Theme BeispielTheme heißt und es im Ordner bsptheme liegt, musst Du hier Template: bsptheme angeben.

Mit dem Import-Befehl laden wir uns das gesamte Stylesheet unseres Parent Themes. Wichtig ist, dass keine anderen CSS-Angaben davor stehen, weil das Parent CSS sonst nicht mehr importiert wird.

Unser Child Theme ist jetzt erstellt und erscheint ab sofort im WordPress-Administrationsbereich unter Darstellung > Themes als eigenständiges Theme.

Wir können jetzt beginnen, Änderungen in dem Child Theme CSS vorzunehmen.

In meinem Beispiel Child Theme möchte ich, dass alle Links nicht in dem Weinrot des deLight-Themes, sondern in Blau dargestellt werden.

Ich schreibe also folgendes in das Stylesheet:

a {
color:#0000cc;
}

Fertig ist unser Child Theme!

Child Theme deLightChild mit Parent Theme deLight.

Es wurden sicherlich schon reichlich Artikel darüber geschrieben, wie man die WordPress Performance verbessern kann, um die Ladezeiten seines Blogs oder seiner Website (wenn WordPress als CMS verwendet wird) zu minimieren. Besonders bei dem Einsatz vieler Plugins oder Medien wie Videos und Fotos wird man sehr schnell gezwungen, sich mit den Thema WordPress Performance auseinanderzusetzen.

Im CrazyLeaf Design Blog, in dem zur Zeit eine offizielle Aktion für Gastautoren durchgeführt wird, hat der Autor Aniquito einen super umfassenden Post zu diesem Thema veröffentlicht. Bisher habe ich eine so umfangreiche Zusammenfassung noch nicht gefunden (wenn Ihr eine kennt, bitte kommentieren). Besonders die ausführliche Anleitung zum Gebrauch von WP-Super-Cache finde ich hilfreich.

Folgende Themen werden u. a. behandelt:

• Bildoptimierung (Komprimierung)
• Einsatz von Plugins
• Optimierung von Javascripts (Platzierung, Komprimierung)
• Anzahl der SQL-queries
• Tools zum Messen der Performance (z. B. Pingdom, Firebug)
• umfassende Anleitung zum Gebrauch von WP-Super-Cache

20 Tipps zur Steigerung der WordPress Performance

WordPress ist eine auf der ganzen Welt weitverbreitete Blogging-Software, die mit einigen Modifikationen als vollwertiges CMS verwendet werden kann. Und wovon Bill Gates sicherlich ein Liedchen singen kann, ist dass viel verwendete Software leider immer auch in den Fokus der Hacker gerät. Man kann viele dieser Angriffe mit ein paar leichten Maßnahmen abwehren.

Natürlich schließt das Team von WordPress mit jeder Version Sicherheitslücken und passt sich den Gefahren des Internets an. Es gibt jedoch Dinge, die man noch verbessern kann oder auch Gefahren, auf die der WordPress-Andwender reagieren muss / sollte.

Kürzlich habe ich einen interessanten Bericht von Wordprezzie gefunden. Dort werden Tipps gegeben, die ein WordPress-User mit relativ wenig Aufwand umsetzen kann, die jedoch für die Sicherheit einer WordPress-Installation erheblich wichtig sind.

Ich habe diese Tipps einmal zusammengefasst und übersetzt.

Dateiauflistung in Verzeichnissen

Viele Hacker verwenden den Browser, um sich Dateien auf einem bestimmten Server anzusehen. Das ist an sich relativ gefahrlos. Und viele Provider unterdrücken dieses Auflisten eines Verzeichnisses auch nicht.

Nun kann es jedoch vorkommen, dass ein Plugin-Autor eine Sicherheitslücke in seinem Plugin übersehen hat. Der Hacker kann nun genau sehen, ob dieses Plugin installiert ist und kann diese Lücke ausnutzen.

Es kann aber auch sein, dass Ihr neben der WordPress-Installation noch Dateien auf dem Server liegen habt, die nicht für die ‘Öffentlichkeit’ bestimmt sind. Auch diese Dateien kann man mit dieser Methode ganz einfach einsehen.

Wie kann ich das überprüfen?

Um zu sehen, ob ein Directory-Listing bei Dir möglich ist, gib einfach Deine WordPress-URL gefolgt von ‘/wp-content/plugins/’ an (z. B. http://www.onlinecasinodemar.com/wp-content/plugins).

Wenn Du jetzt eine Liste der Dateien und Order in diesem Verzeichnis siehst, ist das Directory-Listing bei Deinem Provider erlaubt und Du solltest etwas unternehmen.

Was kann ich dagegen tun?

Für die von Euch, die noch nicht soviel mit Programmierung zu tun hatten, ist die wahrscheinlich einfachste Lösung, eine leere ‘index.html’ in die Verzeichnisse zu legen, bei denen der Zugriff verwehrt werden soll.

Die bessere Lösung ist jedoch, einen Befehl in die .htaccess zu schreiben, der das Auflisten von solchen Indizes verhindert.

# Prevents directory listing
Options -Indexes

SFTP statt FTP

FTP ist heutzutage relativ unsicher geworden. Wenn Du mit FTP auf Deinen Webserver zugreifst, wird Dein Passwort jedesmal in Klartext gesendet, so dass es für Hacker relativ leicht abzufangen ist. Mit diesem haben sie dann vollen Zugriff auf Deinen Webspace.

Bei vielen Providern ist SFTP bereits Standard. Wenn Du Dir nicht sicher bist, frag nach.

WordPress-Updates

Um mit Deiner WordPress-Installation auf der sicheren Seite zu stehen, solltest Du natürlich die Updates mitmachen.

Die richtigen Rechte für Dateien

Generell sollten alle Ordner in Deiner Installation auf die CHMOD-Rechte 755 und alle Dateien auf 644 gesetzt werden. Dateien, die Du mit den WordPress-Editoren (Themes, Plugins) bearbeiten möchtest, solltest Du 666 zuweisen.

Die Rechte auf 777 zu setzen, birgt das Problem, dass alle User auf dem Server Zugriff auf diese Dateien haben. Bei schlecht konfigurierten Servern kann das zu Problemen führen. Also sicher ist sicher.

User-Registrierung ausschalten

Um ein weiteres Risiko zu umgehen, kann man die Registrierung für Benutzer ausschalten. Das wurde in der Vergangenheit von Hackern durch bestimmte Programme (Exploits) ausgenutzt. In der letzten WordPress-Version ist dieses jedoch behoben.

Admin-Zugang auf bestimmte IP beschränken

Die Login-Page einer WordPress-Installation zu finden, ist ziemlich einfach. Wenn jetzt jemand Glück hat und Dein Passwort errät, ist er schon drin und kann großen Schaden anrichten.

Das kann man verhindern, indem man dem Ordner /wp-admin/ sagt, dass er nur Zugriffe einer bestimmten IP zulassen soll. Dafür legt man eine .htaccess in diesem Ordner an und macht folgende Anweisung (die Xe mit Deiner IP ersetzen):

order deny,allow
deny from all
# allow my home IP address
allow from XX.XX.XXX.XXX
# allow my work IP address
allow from XX.XX.XXX.XXX

Deine IP kannst Du bei Diensten wie www.wieistmeineip.de abfragen.

Versteht sich von selbst

Keine einfach zu erratenden Passwörter zu benutzen, sollte ein Punkt sein, über den man nicht sprechen muss. Dennoch gibt es Leute, die der Einfachheit halber sehr logische Passwörter verwenden. Mein Passwort ist z. B. nicht ‘webdemar’!

Wenn man in einem Internet-Café bloggt, was ja auf Reisen durchaus öfter vorkommen kann, solltet Ihr Euch immer auch am Ende ausloggen.

Ein wichtiger Punkt zum Schluss sind die Backups. Wer regelmäßig Backups macht und weiß, diese auch zu nutzen, ist sowieso auf der sicheren Seite.

Credits to Wordprezzie

Thanks to Wordprezzie for this awesome article about WordPress security. You helped me to improve my blog’s security. You pointed out some very important problems of many WordPress installations.