Mit der Funktion wp_verify_nonce hat WordPress bereits eine einfach zu nutzende Funktion, Nonces zu verifizieren. Bei selbst angelegten Nonces geht das auch recht einfach über wp_nonce_field, nicht jedoch innerhalb von settings_fields.
Letzteres erstellt untere anderem selbst über wp_nonce_field ein entsprechendes Nonce-Feld, wodurch man allerdings nicht direkt weiß, wie dessen action-Name lautet.
Am 2. Mai 2018 habe ich zum monatlich stattfindenden WordPress Meetup Stuttgart einige Informationen zur EU-DSGVO präsentiert. Die interaktive Präsentation dazu gibt es nachfolgend zum Nachschlagen.
EU-DSGVO – Slides vom WordPress Meetup #38 Stuttgart weiterlesenBereits vor etwas einem Monat wurde ein möglicher DoS-Angriffsvektor (CVE-2018-6389) mit der auf WordPress-Websites bekannt, der bis heute von WordPress nicht mit notwendigen Patches versorgt wurde. Dabei nutzt man eine Funktion, die eigentlich nur unter /wp-admin/ genutzt wird. Und zwar werden dort standardmäßig zwei PHP-Dateien namens load-scripts.php und load-styles.php aufgerufen, mit welchen man über Parameter verschiedene JavaScript- und CSS-Dateien abrufen kann, ohne diese einzeln einzubinden.
Mit dem Wissen, nicht jedes Plugin oder Theme blind zu installieren, können wir uns nun einige Plugins aussuchen, die durchaus positiv für die Sicherheit sind, obwohl sie zusätzlichen Code mitbringen.
WordPress-Sicherheit #5 – Hilfreiche Plugins weiterlesenWir können nun mit wenig Aufwand unsere WordPress-Installation abgesichert halten, aber selten bleibt eine Installation immer gleich. Neue Funktionen müssen her, vielversprechende Plugins werden installiert und ähnliches. Dabei kommt man häufig auch an Plugins vorbei, die man eigentlich nicht (mehr) installieren sollte. Aber auch andere Fallstricke gibt es noch. Nachfolgend einige Bereiche, in welchen man besonders aufpassen muss, um die Sicherheit der eigenen Website nicht verschlechtern.
WordPress-Sicherheit #4 – Was man nicht machen sollte weiterlesenNachdem wir nun bereits wissen, was man bereits vor der Installation von WordPress alles beachten kann, um seine Website abzusichern, geht es nun mit der Konfiguration direkt bei bzw. unmittelbar nach der Installation weiter.
Egal, ob die Installation im Browser oder manuell über die Bearbeitung der wp-config.php vonstatten geht, letztere muss für die nachfolgenden Tipps zusätzlich bearbeitet werden.
Viel zu häufig wird leider unterschätzt, welch dramatische Auswirkungen Sicherheitsprobleme bei der eigenen Website haben können. Zum einen leidet das eigene Bild, das man von sich nach außen gibt, zum anderen kann es aber auch schnell kostspielig werden. In der geplanten Reihe zur „WordPress-Sicherheit“ möchte ich einige Tipps geben, wie man die Sicherheit seiner WordPress-Installation verbessern kann.
Bereits vor der eigentlichen Installation von WordPress gibt es allerhand Dinge zu beachten. Gerade diese, die zur Sicherheit der eigenen Website beitragen, werden oftmals jedoch gar nicht genannt. Möglicherweise werden sie als selbstverständlich angesehen… Nicht jedoch hier. ☝️
WordPress-Sicherheit #1 – Vor der Installation weiterlesenWas ist wichtiger als die Sicherheit einer Website selbst? Eigentlich nicht viel. Leider ignorieren viele jedoch selbst einfache Sicherheitsmechanismen. Aus diesem Grunde möchte ich mich heute einmal der Content Security Policy (CSP) beschäftigen.
Die Content Security Policy ist eine weitere Sicherheitsebene, die vor Angriffen wie Cross Site Scripting (XSS) und data injection schützt. Sofern vom Browser unterstützt, kann man über einen einfachen HTTP-Header angeben, von welchen Ressourcen Inhalte geladen werden dürfen und von welchen nicht.
