WordPress absichern

Auch so eine never ending story….

Gerade heute kam wieder der WordPress-Newsletter von perun.net, diesmal auch mit einer Empfehlung zum Thema Sicherheit:

Login LockDown ist eine Erweiterung, die eine WordPress-Installation davor absichert, dass man mit einfachen Mittel, wie z. B. einer Brute-Force-Attacke an die Zugangsdaten kommt. Das Plugin begrenzt die Anzahl der Loginversuche pro bestimmten Zeitraum. Dadurch wird dem Angreifer die Arbeit erschwert bzw. so gut wie unmöglich gemacht.

Klingt sinnvoll – aber ich frage mich, ob man in Zeiten von WordPress 3.1 noch ein Plugin empfehlen sollte, welches am 17.09.2009 zuletzt aktualisiert wurde.

Eher nicht, denn auch auf der Homepage des Autors sieht es nicht direkt nach aktiver Weiterentwicklung dieses Plugins aus. Kurz angetestet scheint es wie versprochen zu funktionieren; aber ein seltsames Gefühl bleibt im Hinblick auf die „Zukunftsfähigkeit“. Zugegeben, mir fehlen die php- und WP-Kenntnisse, um das wirklich abschließend beurteilen zu können – ist halt nur ein komisches Gefühl.

Zumal es anscheinend eine Weiterentwicklung gibt: Login Lock von WPSecurity ist zu Login LockDown komplett kompatibel (es nutzt die gleichen Datenbankstrukturen) und hat darüber hinaus aber noch ein paar zusätzliche Features, die den Admin erfreuen (und den User meistens nerven ;)).

Enforces strong password selection policies.
Lets you manually unblock IP addresses at any time.
Lets you forcibly log out all users immediately and require that they all change their passwords before logging back in.
Lets you forcibly log out idle users after a configurable number of minutes.

Aber wie so oft gibt es auch hier etwas, was mir nicht gefällt: Auf der Einstellungsseite im Backend lacht mich auf einmal ein Facebook „Like“ Button an und teilt mir mit, dass dieses Plugin schon X Usern gefällt. FACEBOOK? In meinem Backend??? Geht ja wohl überhaupt nicht! (Jaaa, ich stehe dazu: ich ~~bin~~ war Facebook-Verweigerer. Und ~~das ist auch gut so~~ bin immer noch nicht davon überzeugt, mußte aber aus Gründen doch einen Account anlegen).

Was tun? Aktueller als Login LockDown scheint es zu sein, und die zusätzlichen Funktionen sind auch nett. Also ran an den Sourcecode und mal eben schnell in loginlock.php die Zeile 1210 auskommentiert (bzw. genau genommen die Zeilen 1209 und 1210 getauscht):

[codesyntax lang=“php“ lines_start=“1203″ title=“loginlock.php v2.2.3″]

		<?php /*
		<div style="padding-left:40px;">
		<?php  // <a href="http://www.facebook.com/" target="_blank"><img src="<?php echo plugins_url( 'images/facebook.png', __FILE__ ); ?>" alt="" /></a> ?>
		<a href="http://twitter.com/wpsecurity" target="_blank"><img src="<?php echo plugins_url( 'images/twitter.png', __FILE__ ); ?>" alt="" /></a>
		<a href="https://wpsecurity.net/feed" target="_blank"><img src="<?php echo plugins_url( 'images/rss2.png', __FILE__ ); ?>" alt="" /></a>
		</div>
		*/ ?>
		<p style="margin-left: 40px"><iframe src="http://www.facebook.com/plugins/like.php?href=https%3A%2F%2Fwpsecurity.net&amp;layout=standard&amp;show_faces=false&amp;width=550&amp;action=recommend&amp;font=lucida+grande&amp;colorscheme=light&amp;height=35" scrolling="no" frameborder="0" style="border:none; overflow:hidden; width:550px; height:35px;" allowTransparency="true"></iframe></p>
	    </h2>

[/codesyntax]

[codesyntax lang=“php“ lines_start=“1203″ title=“loginlock.php v2.2.3 OHNE Facebook“ highlight_lines=“10″]

		<?php /*
		<div style="padding-left:40px;">
		<?php  // <a href="http://www.facebook.com/" target="_blank"><img src="<?php echo plugins_url( 'images/facebook.png', __FILE__ ); ?>" alt="" /></a> ?>
		<a href="http://twitter.com/wpsecurity" target="_blank"><img src="<?php echo plugins_url( 'images/twitter.png', __FILE__ ); ?>" alt="" /></a>
		<a href="https://wpsecurity.net/feed" target="_blank"><img src="<?php echo plugins_url( 'images/rss2.png', __FILE__ ); ?>" alt="" /></a>
		</div>
		<p style="margin-left: 40px"><iframe src="http://www.facebook.com/plugins/like.php?href=https%3A%2F%2Fwpsecurity.net&amp;layout=standard&amp;show_faces=false&amp;width=550&amp;action=recommend&amp;font=lucida+grande&amp;colorscheme=light&amp;height=35" scrolling="no" frameborder="0" style="border:none; overflow:hidden; width:550px; height:35px;" allowTransparency="true"></iframe></p>
				*/ ?>
	    </h2>

[/codesyntax]

Und weg ist das Facebook

Update: Habe gerade den ursprünglichen Artikel auf perun.net zu diesem Plugin gefunden.

Update 29.08.2011: Mit der Aktualität ist das so eine Sache…. Laut Plugin-Seite bei WordPress ist Login Lock nur bis Version 3.1.4 freigegeben – funktioniert aber trotzdem ohne Probleme auch mit 3.2.1

PS: Das Artikelbild ist von Nino Barbieri und steht auf Wikimedia Commons unter [CC-BY-SA-2.5]

M	D	M	D	F	S	S
					1	2
3	4	5	6	7	8	9
10	11	12	13	14	15	16
17	18	19	20	21	22	23
24	25	26	27	28	29	30

W·

One Reply to “WordPress absichern”

Schreibe einen Kommentar Antworten abbrechen