Use gzip:

Hier muss gesagt sein, dass es schon mal sinnvoll ist, JavaScript, CSS und der Gleichen komprimiert auszuliefern, da es einfach die Seite beschleunigt. Die bei nettuts vorgestellte Methode bedient sich dabei einer Kombination aus einer .htaccess-Regel und einem PHP-Script. Hier kann es in Zusammenhang mit einen (vielleicht auch mehreren) WordPress-Plugins zu Schwierigkeiten kommen.

Im vorgestellten Beispiel wird was auf .js, .css, .htm, .html und .shtml endet durch das PHP-Script gezippt und an den Browser ausgeliefert. Verwendet man nun ein WordPress-Plugin, welches JavaScript- und CSS-Dateien schon zusammenfasst und minimiert so kommt es zu massiven Problemen, da nun quasi doppelt gezippt wird und der Browser dies nicht mehr lesen kann.

Apply the 4G Blacklist:

Blacklisten sind gut, aber auch ist diese mit Vorsicht zu genießen. Ich habe mit genau dieser zum Beispiel mit den Zugriff auf die /wp-admin/update.php gesperrt, was das Updaten von Plugins aus dem Dashboard heraus unmöglich macht. Zuständig für die Zugriffsverweigerung ist der Part der Query String Exploits in der Blackliste. Ich habe noch nicht herausgefunden welche der Regeln genau den Zugriff verhindert, bzw. wieso überhaupt, aber sobald ich da etwas Näheres weiß, werde ich es natürlich hier bekannt geben. So lange gilt, diesen Bereich einfach erst mal auskommentieren.

Sieht dann so aus:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
# QUERY STRING EXPLOITS
# Auskommentiert da Zugriff auf /wp-admin/update.php verhindert wird
#<IfModule mod_rewrite.c>
#    RewriteCond %{QUERY_STRING} \.\.\/    [NC,OR]
#    RewriteCond %{QUERY_STRING} boot\.ini [NC,OR]
#    RewriteCond %{QUERY_STRING} tag\=     [NC,OR]
#    RewriteCond %{QUERY_STRING} ftp\:     [NC,OR]
#    RewriteCond %{QUERY_STRING} http\:    [NC,OR]
#    RewriteCond %{QUERY_STRING} https\:   [NC,OR]
#    RewriteCond %{QUERY_STRING} mosConfig [NC,OR]
#    # RewriteCond %{QUERY_STRING} ^.*(\[|\]|\(|\)|<|>|'|"|;|\?|\*).* [NC,OR]
#    # RewriteCond %{QUERY_STRING} ^.*(%22|%27|%3C|%3E|%5C|%7B|%7C).* [NC,OR]
#    RewriteCond %{QUERY_STRING} ^.*(%0|%A|%B|%C|%D|%E|%F|127\.0).* [NC,OR]
#    RewriteCond %{QUERY_STRING} ^.*(globals|encode|localhost|loopback).* [NC,OR]
#    RewriteCond %{QUERY_STRING} ^.*(request|select|insert|union|declare|drop).* [NC]
#    RewriteRule ^(.*)$ - [F,L]
#</IfModule>

Fazit:

Nicht einfach alles was irgendwo empfohlen wird 1:1 übernehmen!
Den Rest der im Artikel von nettuts empfohlenen Eingriffe kann manjedoch bedenkenlos übernehmen und durchführen. Gerade was den Usernamen des Admins angeht, sollte hier auf jeden Fall einer gewählt werden, der nicht admin heißt.

Ist euer WordPress-Blog nun so weit abgesichert, steht dem ungehemmten Schreibvergnügen eigentlich nur noch die eigene Ideenlosigkeit entgegen :-)

In diesem Sinne, viel Spaß mit euren Blogs !

5 Meinungen zu “WordPress: Installation absichern

  1. Wieder was wo ich mich rantraue. ;.(

    Kannst Du mal einen Beitrag verfassen wie ich ein Update eines Themes und WP 3.0 mache? Oder kannst Du es mir gleich machen? Also das Update, meine ich. *lol*

Schreibe einen Kommentar

Ihre Email-Adresse wird nicht veröffentlicht. Pflichtfelder sind durch * markiert.

Sie können folgende HTML-Tags benutzen: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>