Mittwoch, 4. August 2010
Im heutigen Video gibt Tipps, um Blogs oder Content Management Systeme vor Angriffen von Hackern zu schützen.
Eine kleine Anmerkung noch: in der Zwischenzeit ist WordPress 3.0.1 die aktuelle Version.
Unsere Frage des Tages kommt von ConroyDave aus Boston, Massachusetts. Er fragt:
"Ich habe mir gerade dein Blog angeschaut. Und habe gesehen, dass das Blog mit WordPress erstellt wurde. Wie schützt du dich vor Hackern? Seit letztem Monat besitze ich PR 5, und erhalte seitdem jede Minute Dutzende Hackerversuche."
Das ist eine sehr gute Frage. Und es stimmt, dass WordPress wegen seiner Beliebtheit und seiner weiten Verbreitung eine Zielscheibe für viele Hackerversuche ist. Besonders für Hacker, die bemerkt haben, dass es ältere Versionen von WordPress gibt, die etwas anfälliger sind. Was ich also als Erstes mache: Ich kümmere mich darum, dass mein Server immer aktuell gepatcht ist. Es sollte immer die aktuellste Version verwendet werden. Momentan müsste das Version 2.9.2 sein, aber Version 3.0 wird schon getestet. Diese Version wird noch ein Stück sicherer sein.
Was ich außerdem mache: Die HT-Zugriffsdatei, .htaccess, die in WP-Admin liegt, kann geändert werden. Ich kann entscheiden, dass nur wenige
IP-Adressen, und zwar nur die, die ich explizit auf meine Whitelist gesetzt habe, auf mein WP-Admin-Verzeichnis zugreifen können. Im Klartext bedeutet das, wenn jemand von irgendwo aus dem Internet zugreifen will, kann er sich nicht einloggen; eine Fehlermeldung erfolgt. Wenn man aber von der eigenen IP-Adresse oder Googles firmeninterner IP-Adresse oder einer kleinen Anzahl festgelegter IP-Adressen zugreift, dann darf man sich einloggen.
Man braucht immer noch ein Passwort und ich benutze möglichst ein relativ langes Passwort. Das ist die beste Möglichkeit, wie ich mich schützen kann. Versuch' also neben den Patches deine Einstellungen so zu ändern, dass Hacker nicht an dein Admin-Verzeichnis kommen, es sei denn es handelt sich um eine der von dir festgelegten IP-Adressen. Das ist zwar noch nicht die perfekte Lösung. Falls zum Beispiel dein Webhost gehackt wird und man Datenbankpasswörter anderer Kunden oder Ähnliches lesen kann, wird dich das nicht schützen. Aber wenn du meine zwei Ratschläge beachtest, hilft es dir dabei dein WordPress, oder jede andere Software, vor potenziellen Hackerangriffen zu schützen.
Veröffentlicht von Jörg Pacher, Search Quality Team
Eine kleine Anmerkung noch: in der Zwischenzeit ist WordPress 3.0.1 die aktuelle Version.
Unsere Frage des Tages kommt von ConroyDave aus Boston, Massachusetts. Er fragt:
"Ich habe mir gerade dein Blog angeschaut. Und habe gesehen, dass das Blog mit WordPress erstellt wurde. Wie schützt du dich vor Hackern? Seit letztem Monat besitze ich PR 5, und erhalte seitdem jede Minute Dutzende Hackerversuche."
Das ist eine sehr gute Frage. Und es stimmt, dass WordPress wegen seiner Beliebtheit und seiner weiten Verbreitung eine Zielscheibe für viele Hackerversuche ist. Besonders für Hacker, die bemerkt haben, dass es ältere Versionen von WordPress gibt, die etwas anfälliger sind. Was ich also als Erstes mache: Ich kümmere mich darum, dass mein Server immer aktuell gepatcht ist. Es sollte immer die aktuellste Version verwendet werden. Momentan müsste das Version 2.9.2 sein, aber Version 3.0 wird schon getestet. Diese Version wird noch ein Stück sicherer sein.
Was ich außerdem mache: Die HT-Zugriffsdatei, .htaccess, die in WP-Admin liegt, kann geändert werden. Ich kann entscheiden, dass nur wenige
IP-Adressen, und zwar nur die, die ich explizit auf meine Whitelist gesetzt habe, auf mein WP-Admin-Verzeichnis zugreifen können. Im Klartext bedeutet das, wenn jemand von irgendwo aus dem Internet zugreifen will, kann er sich nicht einloggen; eine Fehlermeldung erfolgt. Wenn man aber von der eigenen IP-Adresse oder Googles firmeninterner IP-Adresse oder einer kleinen Anzahl festgelegter IP-Adressen zugreift, dann darf man sich einloggen.
Man braucht immer noch ein Passwort und ich benutze möglichst ein relativ langes Passwort. Das ist die beste Möglichkeit, wie ich mich schützen kann. Versuch' also neben den Patches deine Einstellungen so zu ändern, dass Hacker nicht an dein Admin-Verzeichnis kommen, es sei denn es handelt sich um eine der von dir festgelegten IP-Adressen. Das ist zwar noch nicht die perfekte Lösung. Falls zum Beispiel dein Webhost gehackt wird und man Datenbankpasswörter anderer Kunden oder Ähnliches lesen kann, wird dich das nicht schützen. Aber wenn du meine zwei Ratschläge beachtest, hilft es dir dabei dein WordPress, oder jede andere Software, vor potenziellen Hackerangriffen zu schützen.
Veröffentlicht von Jörg Pacher, Search Quality Team