Wordpress Sicherheit

Der Artikel Sicherheit in WordPress ist sehr interessant; ich habe dennoch eine persönliche Erweiterung vorgenommen:

Dadurch, dass man die Wordpress-Installation in einen Unterordner verschiebt, macht man ungebetenen Gästen den Zugriff auf den Admin-Bereich schwerer, da sie nun erst den richtigen Pfad dorthin finden müssen, bevor sie sich an die Arbeit machen können.

Bei der Durchsicht des Quelltextes meines Blogs sind mir allerdings in diesem Zusammenhang zwei Schwachstellen aufgefallen, die deutlich auf das wahre Installationsverzeichnis hinweisen. Es handelt sich im Head um den Pfad zur xmlrpc.php und das Formularziel der Kommentarfunktion; dort wird natürlich der Ordner der Wordpress-Installation angezeigt.

Zwei Rewrite Rules in der .htaccess und die Umbenennung der beiden Pfade in der header.php und comments.php sorgen allerdings für Abhilfe: Mithilfe der .htaccess wird nun simuliert, dass beide Dateien im Root liegen und das wahre Installationsverzeichnis bleibt ungenannt.

RewriteRule ^wp-comments-post.php$ /mein-wp-ordner/wp-comments-post.php [L]
RewriteRule ^xmlrpc.php$ /mein-wp-ordner/xmlrpc.php [L]

Damit bei einem Header-Check Wordpress nicht das wahre Verzeichnis der XMLRPC-Schnittstelle preisgibt, womit alle Bemühungen wieder zunichte gemacht wären, muss nun noch eine kleine Änderung in der general-template.php vorgenommen werden:

Ersetze

case 'pingback_url':
$output = get_option('siteurl') .'/xmlrpc.php';

mit

case 'pingback_url':
$output = 'http://domain.de/xmlrpc.php';

PS: Es gibt natürlich noch andere Verweise im Quelltext, die auf den “versteckten” Ordner hinweisen könnten. So habe ich zum Beispiel mein CSS-Stylesheet in das Root-Verzeichnis verschoben…

30-09-2009
Kommentar ablassen:

Abschicken!


Mehr
Wordpress Head aufräumen Teil 2
Wordpress Head aufräumen
Wordpress ohne WP Super Cache entlasten
Wordpress Spam-Schutz ohne Plugin
Mediawiki Konfiguration

Sitemap & Archiv
Impressum & Datenschutz
Tag the Web

« - »