Angriff auf den WordPress-Login

Oder: Was mache ich, damit das endlich aufhört?

Vor ein paar Tagen bekam ich mit, dass mein Server die Webseiten nur noch zögerlich bis gar nicht mehr ausliefert. Was eigentlich verwunderlich ist, steht dieser doch im Hause eines absoluten Expertenteams die sich schnell und unkompliziert über jeden kleinen Husten des Servers kümmern, wenn sie gebeten werden. Grund dafür war, ein massiver Versuch sich bei meinen WordPress-Installationen einzuloggen. Man kann in diesem Falle durchaus schon ein einem Angriff sprechen, denn es waren tausende Versuche innerhalb von nur Sekunden.

Weiterlesen

HowTo: wp-config.php vor unerlaubtem Zugriff schützen

Die wp-config.php ist bekanntlicherweise die Hauptkonfigurationsdatei von WordPress. In dieser Datei sind unter anderem auch die Zugangsdaten zur Datenbank eingetragen. Also Host, Name, Nutzer und Passwort der Datenbank. Dies sind Informationen, die man schützen sollte, also sollte man den Zugriff auf die wp-config.php etwas schwerer gestalten oder ganz blockieren. Also nicht den Zugriff generell, das wäre fatal, dann könnte auch WordPress selbst nicht mehr darauf zugreifen, sondern den Zugriff von ausserhalb.
Weiterlesen

Apache: Verzeichnisinhalte vom Webserver nicht anzeigen lassen

Apache Logo

Im Normalfall liefert der Apache-Webserver für ein Verzeichnis, welches keine index.html / index.php oder eine andere definierte Index-Datei enthält eine Fehlermeldung zurück.

Nun kann es jedoch sein, dass dies nicht der Fall ist und der Server einfach den Verzeichnisinhalt anzeigt. Dies ist natürlich bei öffentlichen Server selten gewünscht und auch etwas ärgerlich.

Dies zu verhindern, gibt es drei Wege, die ich hier vorstellen möchte.
Weiterlesen

Webmaster-IMHO: Verzeichnisschutz mit .htaccess und mod_auth_digest

Ein ganz wichtiges Thema für Webmaster und solche die es werden wollen greift Webmaster-IMHO in seinem gleichnamigen Blog auf. Dort verfasste er einen gut gelungenen Artikel zu diesem Thema mit dem sehr einprägsamen Namen „Apache: Auth Digest hui – Auth Basic pfui !“, in dem er die beiden Auth-Methoden gegenüber stellt.

Auch werden dort Schwächen und Stärken der beiden Methoden erwähnt und eine kleine Anleitung für beides gibt es auch gleich oben drauf. Also, wer es genauer wissen will,

Weiterlesen

Alles was man über .htaccess wissen sollte

Eine sehr umfangreiche Sammlung an .htaccess-Tricks hat Jeff Starr in seinem Blog Perishable Press veröffentlicht. Wer also schon immer wissen wollte, wozu genau diese Datei eigentlich gut ist, oder einfach etwas nachschlagen will, ist in seinem Artikel „Stupid htaccess Tricks“ genau richtig.

Viel Spaß beim Lesen.

Weiterlesen

Lesbare URLs verwenden

Basierend auf den Artikel „String in lesbare URL umwandeln„, welcher die Möglichkeit der Formatierung einer URL erklärt, soll hier nun die Verwendung solcher lesbaren URLs dargestellt werden.

Es sollte im allgemeinen klar sein, das ein Link wie http://domain.tld/hier-gehts-weiter ohne Vorbereitung direkt zu einer Fehlermeldung führt, es sei denn, hier-gehts-weiter ist ein Verzeichnis, in dem eine Datei namens index.(php|html) liegt. Dies wäre dann allerdings ein echter Zufallstreffer :-)
Weiterlesen

RSS-Feed zu Feedburner umleiten

Bietet man schon seit einiger Zeit einen RSS-Feed an und möchte diesen nun über Feedburner laufen lassen, so sollte man die bisherigen Abonnenten auch umleiten, ohne das diese den Feed neu abonnieren müssen.

Dies erledigt man am besten mit einer kleinen Modifikation in der .htaccess.
Weiterlesen

Ungewünschte Referrer per .htaccess blocken

Wenn man sich nach einiger Zeit mal die Referrer anschaut, von Besuchern und Bots die auf die eigene Seite zugreifen, stellt man fest, das da einige dabei sind, die man nicht wirklich braucht. So zum Beispiel diverse Referrer von diversen Seiten die Pillen verkaufen wollen und so weiter.

Diese nun zu blocken ist gar nicht so schwer wie es anfangs klingen mag. Dazu erweitere man einfach die .htaccess-Datei um ein paar Zeilen.
Weiterlesen

Hotlink von Grafiken verhindern

Hotlinking oder Inline Linking bezeichnet das Einbetten von Medien in eine Webseite, die auf einem anderen Host als die sie enthaltende Seite gespeichert sind. Oft handelt es sich bei den Medien um Bilder, aber auch das Referenzieren von Sound, Videos oder Text ist üblich.

Soviel zu Definition durch Wikipedia >> Hotlink.

Mit anderen Worten, Person B verlinkt auf seiner Seite Bilder die auf der Seite von Person A verwendet werden und auch auf dem Server von Person A liegen, oder gar sein geistiges Eigentum sind.
Weiterlesen

Magic Quotes umgehen bzw. abschalten

Auf einigen PHP-Servern sind die sogenannten Magic Quotes per default aktiviert.

Was sind Magic Quotes?

Magic Quotes sorgen zum Beispiel bei Einträgen in einer MySQL-Datenbank dafür das Zeichen wie “ und ‚ automatisch escaped werden. Mit andern Worten, es kommt automatisch ein \ davor, so dass dann in der Datenbank \“ oder \‘ steht.
Weiterlesen