Blog

Bereits vor etwas einem Monat wurde ein möglicher DoS-Angriffsvektor (CVE-2018-6389) mit der  auf WordPress-Websites bekannt, der bis heute von WordPress nicht mit notwendigen Patches versorgt wurde. Dabei nutzt man eine Funktion, die eigentlich nur unter /wp-admin/ genutzt wird. Und zwar werden dort standardmäßig zwei PHP-Dateien namens load-scripts.php und load-styles.php aufgerufen, mit welchen man über Parameter verschiedene JavaScript- und CSS-Dateien abrufen kann, ohne diese einzeln einzubinden.

Mit dem Wissen, nicht jedes Plugin oder Theme blind zu installieren, können wir uns nun einige Plugins aussuchen, die durchaus positiv für die Sicherheit sind, obwohl sie zusätzlichen Code mitbringen.

Wir können nun mit wenig Aufwand unsere WordPress-Installation abgesichert halten, aber selten bleibt eine Installation immer gleich. Neue Funktionen müssen her, vielversprechende Plugins werden installiert und ähnliches. Dabei kommt man häufig auch an Plugins vorbei, die man eigentlich nicht (mehr) installieren sollte. Aber auch andere Fallstricke gibt es noch. Nachfolgend einige Bereiche, in welchen man besonders aufpassen muss, um die Sicherheit der eigenen Website nicht verschlechtern.

Nachdem wir nun bereits wissen, was man bereits vor der Installation von WordPress alles beachten kann, um seine Website abzusichern, geht es nun mit der Konfiguration direkt bei bzw. unmittelbar nach der Installation weiter.

Egal, ob die Installation im Browser oder manuell über die Bearbeitung der wp-config.php vonstatten geht, letztere muss für die nachfolgenden Tipps zusätzlich bearbeitet werden.