Nach dem Veröffentlichen meines Artikels zum Thema WordPress und Sicherheit hatte ich eine spannende Diskussion zu diesem Thema in der XING-WordPress-Gruppe. Auch sind mir hier noch mehr Plugin-Tipps über den Weg gelaufen. Alle diese neuen Infos findet Ihr in diesem Artikel.

Ergänzung zu 01 – WordPress-Core, Themes und Plugins aktuell halten!

Ja, aber wie? Über ein Core Update wird im Zweifelsfall breit berichtet, aber nicht über jedes Plugin-Update. Damit man nicht über ein Sicherheitsloch in einem Plugin stolpert empfiehlt es sich über jedes Plugin-Update per Mail informiert zu werden. Zum Beispiel mit dem Plugin Mail on Update.

Für Webworker und Agenturen, die viele WordPress-Installationen zu betreuen haben, ist ein spezialisiertes System womöglich die bessere Wahl. InfiniteWP und ManageWP bieten solche Dienste und dazugehörige Plugins an.

Ergänzung zu 04 – “admin” als Administrator-Benutzername ist keine gute Idee

Ich hatte zu diesem Punkt erwähnt, dass der Username leider im Autoren-Link sichtbar ist. Es existiert zwar schon ein Bugreport dazu, aber der ist noch nicht gefixt. In der XING-Gruppe wurde auf eine Lösung (Site inzwischen offline) verwiesen, bei der im Theme der Link gelöscht wird. Für ein Mehr-Personen-Blog ist das natürlich keine Lösung. Schließlich möchte man den Mehrwert einer Autoren-Archivseite nicht aufgeben.

Schließlich habe ich eine Lösung in Form eines Plugins gefunden. Mit Edit Author Slug lässt sich nicht nur der Autoren-Name beliebig ändern, man kann auch den Part davor ("/author/") bearbeiten.

Aber das ist leider nicht das einzige Auftreten des Usernamens im Quelltext. Wird im Theme die comment_class-Funktion genutzt, dann findet sich als Klasse zu einem eingeloggten User auch dessen Namen in Form von comment-author-" + user_nicename.

Je nachdem ob und wenn ja, welche, der verschiedenen Klassen man nutzt, gibt es verschiedene Lösungen. Benötigt man nur die Klassen comment und gegebenenfalls die Klasse bypostauthor für den Autoren, dann kommt die Lösung vom NetzBlogR (leider inzwischen offline) in Betracht.

Dabei wird einfach der Funktionsaufruf:

<?php comment_class(); ?>

Durch ein eigenes Konstrukt ersetzt:

class="comment<?php if (($comment->comment_author_email == get_the_author_email()) && ($comment->user_id != 0) ) {echo " bypostauthor";} ?>"

Mit dieser Lösung verliert man aber zum Beispiel das Feature die Kommentare abwechselnd unterschiedlich zu gestalten, über die Klassen odd und even.

Im WordPress.org-Supportforum habe ich noch eine weitere Lösung gefunden, die auch einfach anzupassen ist um auch zum Beispiel odd und even zuzulassen.

Für eine umfassendere Bereinigung der von WordPress vergebenen Klassen gibt es das Plugin WP Declutter.

Ergänzung zu 06 – Brute Force-Attacken verhindern

Das vorgestellte Plugin Limit Login Attempts ist ein sehr praktisches Tool. Aber man sollte auch die Grenzen des Tools kennen. Wer große Seiten hostet und eine Distributed-Brute-Force-Attacke abwehren muss, der kommt mit diesem Plugin nicht weiter. Die IP-Sperre wird dabei umgangen, da nach drei Versuchen einfach ein anderer Rechner (mit anderer IP) die Attacke weiterführt. GMX wurde durch so eine Attacke vor kurzem für Spamversand missbraucht. Durch diese Attacke wurden „nur“ schlechte Passwörter erraten. Aber das hat gereicht, weil viel zu viele Wörterbuch-Passwörter hatten …

Wer mit solchen Attacken zu kämpfen hat, der benötigt mehr als ein simples Plugin.

Ergänzung zu 08 – Sicherheitsscanner

Hier noch ein paar Plugins zum Ausprobieren:

• 6scan Protection
• Better WP Security
• Ultimate Security Checker
• Wordfence

Ergänzung zu 10 – Gute Passwörter!

Gute Passwörter sind womöglich (vor allem bei der Anzahl) nicht gut zu merken. Ich benutze zur Organisation meiner Passwörter das großartige Open-Source-Tool Keepass. Es gibt Portierungen für alle möglichen Betriebssysteme bis hin zum Smartphone. Eine sinnvolle Sache zum Schutz des Passworts!