Posted on Schreib einen Kommentar

„nonce“-Verifizierung von auto-generierten „settings_fields“

Mit der Funktion wp_verify_nonce hat WordPress bereits eine einfach zu nutzende Funktion, Nonces zu verifizieren. Bei selbst angelegten Nonces geht das auch recht einfach über wp_nonce_field, nicht jedoch innerhalb von settings_fields.

Letzteres erstellt untere anderem selbst über wp_nonce_field ein entsprechendes Nonce-Feld, wodurch man allerdings nicht direkt weiß, wie dessen action-Name lautet.

„nonce“-Verifizierung von auto-generierten „settings_fields“ weiterlesen
Posted on Schreib einen Kommentar

Schutz vor der load-(scripts|styles).php-DoS-Attacke (CVE-2018-6389)

Bereits vor etwas einem Monat wurde ein möglicher DoS-Angriffsvektor (CVE-2018-6389) mit der  auf WordPress-Websites bekannt, der bis heute von WordPress nicht mit notwendigen Patches versorgt wurde. Dabei nutzt man eine Funktion, die eigentlich nur unter /wp-admin/ genutzt wird. Und zwar werden dort standardmäßig zwei PHP-Dateien namens load-scripts.php und load-styles.php aufgerufen, mit welchen man über Parameter verschiedene JavaScript- und CSS-Dateien abrufen kann, ohne diese einzeln einzubinden.

Schutz vor der load-(scripts|styles).php-DoS-Attacke (CVE-2018-6389) weiterlesen
Posted on 5 Kommentare

WordPress-Sicherheit #4 – Was man nicht machen sollte

Wir können nun mit wenig Aufwand unsere WordPress-Installation abgesichert halten, aber selten bleibt eine Installation immer gleich. Neue Funktionen müssen her, vielversprechende Plugins werden installiert und ähnliches. Dabei kommt man häufig auch an Plugins vorbei, die man eigentlich nicht (mehr) installieren sollte. Aber auch andere Fallstricke gibt es noch. Nachfolgend einige Bereiche, in welchen man besonders aufpassen muss, um die Sicherheit der eigenen Website nicht verschlechtern.

WordPress-Sicherheit #4 – Was man nicht machen sollte weiterlesen
Posted on 3 Kommentare

WordPress-Sicherheit #2 – Erste Konfiguration

Nachdem wir nun bereits wissen, was man bereits vor der Installation von WordPress alles beachten kann, um seine Website abzusichern, geht es nun mit der Konfiguration direkt bei bzw. unmittelbar nach der Installation weiter.

Egal, ob die Installation im Browser oder manuell über die Bearbeitung der wp-config.php vonstatten geht, letztere muss für die nachfolgenden Tipps zusätzlich bearbeitet werden.

WordPress-Sicherheit #2 – Erste Konfiguration weiterlesen
Posted on 4 Kommentare

WordPress-Sicherheit #1 – Vor der Installation

Viel zu häufig wird leider unterschätzt, welch dramatische Auswirkungen Sicherheitsprobleme bei der eigenen Website haben können. Zum einen leidet das eigene Bild, das man von sich nach außen gibt, zum anderen kann es aber auch schnell kostspielig werden. In der geplanten Reihe zur „WordPress-Sicherheit“ möchte ich einige Tipps geben, wie man die Sicherheit seiner WordPress-Installation verbessern kann.

Bereits vor der eigentlichen Installation von WordPress gibt es allerhand Dinge zu beachten. Gerade diese, die zur Sicherheit der eigenen Website beitragen, werden oftmals jedoch gar nicht genannt. Möglicherweise werden sie als selbstverständlich angesehen… Nicht jedoch hier. ☝️

WordPress-Sicherheit #1 – Vor der Installation weiterlesen
Posted on 2 Kommentare

Content Security Policy (CSP) für WordPress

Was ist wichtiger als die Sicherheit einer Website selbst? Eigentlich nicht viel. Leider ignorieren viele jedoch selbst einfache Sicherheitsmechanismen. Aus diesem Grunde möchte ich mich heute einmal der Content Security Policy (CSP) beschäftigen.

Die Content Security Policy ist eine weitere Sicherheitsebene, die vor Angriffen wie Cross Site Scripting (XSS) und data injection schützt. Sofern vom Browser unterstützt, kann man über einen einfachen HTTP-Header angeben, von welchen Ressourcen Inhalte geladen werden dürfen und von welchen nicht.

Content Security Policy (CSP) für WordPress weiterlesen