Sicherheit bei WordPress erhöhen

Aktuell bei WordPress 3.0 stehen auch einige FTP-Zugangsdaten für automatische Updates mit in der wp-config.php.

define(\'FTP_BASE\', \'/WordPress-Verzeichnis/\');
define(\'FTP_CONTENT_DIR\', \'/WordPress-Verzeichnis/wp-content/\');
define(\'FTP_PLUGIN_DIR \', \'/WordPress-Verzeichnis/wp-content/plugins/\');
define(\'FTP_USER\', \'FTP-Benutzername\');
define(\'FTP_HOST\', \'localhost:21\');

Es ist richtig wichtig, diese Daten zu schützen.

Die Angaben für die Sicherheitsschlüssel sehen optimaler Weise so aus:

VR-[uW*>cU+9m#>%ie}`#ypoMSn<r0TbXB.0;e?I6@nm)|<y_2aTbX}|`JbMDIV# <br />
Gruß Matthias

Hallo Matthias,
das ist leider in der wp-config-sample.php nicht enthalten.
Ist mit "/WordPress-Verzeichnis" der absolute oder relative Pfad gemein?
Grüße
Lutz

Hallo Lutz,

mit dem WordPress-Verzeichnis ist eine absoluten Pfadangaben relativ zu der Basis-URI gemeint.

define(\'FTP_BASE\', \'/wp-ordner/\');

Ist WordPress im Root-Verzeichnis installiert, steht da dann nur der Backslash drinnen.

define(\'FTP_BASE\', \'/\');

Du hast recht, in der wp-config-sample.php sind die Angaben nicht drinn. Die hab ich auch nur, wenn ich WordPress vom Support installieren lasse.

Gruß Matthias


.

Zum beschriebenen Beispiel von Lutz möchte ich noch anfügen, dass eine Teilung der wp-config.php ebenfalls sehr sinnvoll sein kann. Dazu werden die Zugangsdaten in eine neue PHP übertragen und in ein geschütztes Verzeichnis gelegt. Durch den Eintrag include(\'safe_Folder/safe_config.php\'); bekommt unsere Seite zwar die Verbindung zur Datenbank, jedoch kann kein Angreifer auf die Datei zugreifen.

Die Teilung der wp-config.php habe ich jetzt auch vollbracht.
In das "sichere" Verzeichnis habe ich zusätzlich (eigentlich überflüssig) noch eine .htaccess mit
Order Allow,Deny
Deny from all
gelegt und die Rechte der Files auf 644 gesetzt.
Ãœbrigens ist das für die localconf.php von Typo3 auch zu empfehlen.
Jetzt kommt noch der Tipp von Matthias dran mit den FTP-Zugangsdaten.
In diesem Zusammenhang: mein geliebter FileZilla legt gespeicherte Passwörter als Klartext im Filesystem ab ...
Klingt jetzt schon fast nach einer Paranoia, aber wer Ralph´s Links mal folgt kann nicht vorsichtig genug sein.

Nachtrag zum Verzeichnisschutz:
diese Maßnahme ist leider für einen Blog an dem u. U. mehrere Autoren arbeiten, kaum zu realisieren.
Einnerseits muss der Administrator jeden Autor händisch eintragen und das Passwort mitteilen, andererseits muss sich der Autor immer zweimal anmelden.

Warum 2 mal den LOGIN? Wegen der .htaccess?
Das kannst Du mit einer config regeln und den Zugriff auf ein geschütztes Verzeichnis frei geben.

Ja, wegen der .htaccess. Die erzeugt ein eigenes Login-Fenster.
Wie geht denn das mit der config-Datei? Habe keine Vorstellung.

Das Ding ist mal aus der Hüfte, aber so in der Art könnte eine Verschlüsselung mit PHP aussehen:
<?php
$user = "admin";
$pass = "passwort";
$safe_folder = "config";
if($PHP_AUTH_USER != $user || $PHP_AUTH_PW != $pass) {
Header("WWW-Authenticate: Basic realm=\\"$safe_folder\\"");
Header("HTTP/1.0 401 Unauthorized");
echo "Zugriff verweigert!";
exit;
}else{
echo"Zugriff gewährt! - Benutzer: $PHP_AUTH_USER - Passwort: $PHP_AUTH_PW";
}
?>

Statt der manuellen Userdaten, kann nun auch der aktive User verwendet werden.

Mit www.domain.tld/folder kann man sich direkten Zugriff auf das gesperrte Verzeichnis verschaffen.

der_booker schrieb:

Mit www.domain.tld/folder kann man sich direkten Zugriff auf das gesperrte Verzeichnis verschaffen.

Hallo Heiko,

macht so ein Link nicht eine neue Sicherheitslücke auf ?
Benutzername und Passwort werden unverschlüsselt übertragen, der Link landet im Verlauf und eventuell bei den Bookmarks.

Die Idee find ich sonst vom Ansatzer ganz interessant. Werde ich mal testen.

Gruß Matthias

Hallo Matthias, naja ich bin noch nicht ganz fertig mit dem Script.
Da der include jedoch serverseitig stattfindet, bekommt ein normaler Client davon nix mit. Mir geht es lediglich darum, dass eine Datei eingebunden werden kann, in der die Passwörter stehen. Wenn diese nun auch noch verschlüsselt sind und dann noch Zugriff auf eine andere DB hat, wo ebenfalls Zugangsdaten abgelegt sind, kann im Grunde fast nix mehr passieren.