Doch ich will in diesem Artikel mal aufzeigen, dass ihr beim Umgang mit selbst gehosteten Webanwendungen wie Wordpress einiges beachten solltet.Sicherheit von Wordpress und anderen selbst gehosteten Webanwendungen
Stell dir vor du bist Webmaster oder Affiliate, hast 40 Blogs und es ist Freitag der Dreizehnte. Auch wenn du - wie ich - nicht abergläubisch bist, kann dir ein Wordpress Update dann schon mal den Tag oder sogar das Wochenende vermiesen. Keine Angst, da ich nicht auf Wordpress setze ist mein Wochenende relativ entspannt gewesen Doch ich will in diesem Artikel mal aufzeigen, dass ihr beim Umgang mit selbst gehosteten Webanwendungen wie Wordpress einiges beachten solltet.
Doch ich will in diesem Artikel mal aufzeigen, dass ihr beim Umgang mit selbst gehosteten Webanwendungen wie Wordpress einiges beachten solltet.Durch den Beitrag "Hacker werden Blackhats und SEO wird sich ändern" zum Webmaster Friday, bin ich auf dieses Thema aufmerksam geworden. Im Webmaster Friday Blog wird die Frage diskutiert wie man seine Projekte schützt. Meiner Meinung nach fängt das eben bei der Auswahl der Software und des Webhosters an.
Bevor ich eine Webanwendung installiere, informiere ich mich über diese Anwendung ausführlich teste sie. Viele Anwendungen sind mit zahlreichen Features aufgebläht und das geht nicht selten zu lasten der Sicherheit. Ich vergleiche nicht nur die Features, sondern vor allem die Anzahl der Sicherheitslücken. Jede Blogsoftware kann bloggen, egal ob es sich um Wordpress, Serendipity oder was auch immer handelt. Aber nicht jede Software wurde vom Entwickler sicherheitskritisch entwickelt und getestet. Klar - die Patches sind im schlimmsten Fall nach ein paar Tagen verfügbar. Aber besser wäre es doch, wenn es so wenig wie möglich zu patchen gibt oder? Sollte man nicht den Wartungsaufwand so gering wie möglich halten können ohne auf Sicherheit zu verzichten?
Für welche Software man sich entscheidet ist letztendlich jedem seinem Sache, aber die Folgen von Sicherheitslecks ziehen dann schon weitere Kreise. Auch wenn ihr Anwendungen selbst programmiert, dann solltet ihr Wissen, was Cross-Site Scripting (XSS) und SQL-Injection ist und wie man es verhindert. Denn nicht jeder, der mal ein PHP-Tutorial gelesen hat, kann programmieren
Ich habe in meinem privaten Blog schon einmal auf das folgende Beispiel hingewiesen. Wenn man z.B. einen Onlineshop mit einem Wordpress Plugin ganz easy promoten will, dann sollte man das wohl überlegt tun. Es gibt sicher einige Plugins, die das erleichtern. Man sollte auf jeden fall darauf achten, dass Datenbanken getrennt sind. Idealerweise sollten sich die Zugangsdaten für die Datenbanken unterscheiden. Beim FTP Login sollte das ähnlich sein. Richtet, wenn möglich für jede Webanwendung ein eigenes Verzeichnis oder einen Unteraccount ein. Sonst ist ein Angreifer nach einem Wordpress Hack eben ganz schnell auch im Onlineshop. Vorbeugend solltet ihr selbstverständlich alle Sicherheitsupdates zeitnah einspielen.
Zum Beitrag von seo2feel kann ich nur sagen, dass ich das ähnliche sehe und ungepatchte Wordpress Blogs vermutlich wirklich interessant sind, um fiese Blackhat Methoden an ihnen anzuwenden.
Um bei Security Updates auf dem Laufenden zu bleiben, abonniere ich den RSS Feed der Entwickler oder folge dem Entwickler auf Twitter.
Bevor ich eine Webanwendung installiere, informiere ich mich über diese Anwendung ausführlich teste sie. Viele Anwendungen sind mit zahlreichen Features aufgebläht und das geht nicht selten zu lasten der Sicherheit. Ich vergleiche nicht nur die Features, sondern vor allem die Anzahl der Sicherheitslücken. Jede Blogsoftware kann bloggen, egal ob es sich um Wordpress, Serendipity oder was auch immer handelt. Aber nicht jede Software wurde vom Entwickler sicherheitskritisch entwickelt und getestet. Klar - die Patches sind im schlimmsten Fall nach ein paar Tagen verfügbar. Aber besser wäre es doch, wenn es so wenig wie möglich zu patchen gibt oder? Sollte man nicht den Wartungsaufwand so gering wie möglich halten können ohne auf Sicherheit zu verzichten?
Für welche Software man sich entscheidet ist letztendlich jedem seinem Sache, aber die Folgen von Sicherheitslecks ziehen dann schon weitere Kreise. Auch wenn ihr Anwendungen selbst programmiert, dann solltet ihr Wissen, was Cross-Site Scripting (XSS) und SQL-Injection ist und wie man es verhindert. Denn nicht jeder, der mal ein PHP-Tutorial gelesen hat, kann programmieren
Ich habe in meinem privaten Blog schon einmal auf das folgende Beispiel hingewiesen. Wenn man z.B. einen Onlineshop mit einem Wordpress Plugin ganz easy promoten will, dann sollte man das wohl überlegt tun. Es gibt sicher einige Plugins, die das erleichtern. Man sollte auf jeden fall darauf achten, dass Datenbanken getrennt sind. Idealerweise sollten sich die Zugangsdaten für die Datenbanken unterscheiden. Beim FTP Login sollte das ähnlich sein. Richtet, wenn möglich für jede Webanwendung ein eigenes Verzeichnis oder einen Unteraccount ein. Sonst ist ein Angreifer nach einem Wordpress Hack eben ganz schnell auch im Onlineshop. Vorbeugend solltet ihr selbstverständlich alle Sicherheitsupdates zeitnah einspielen.
Zum Beitrag von seo2feel kann ich nur sagen, dass ich das ähnliche sehe und ungepatchte Wordpress Blogs vermutlich wirklich interessant sind, um fiese Blackhat Methoden an ihnen anzuwenden.
Um bei Security Updates auf dem Laufenden zu bleiben, abonniere ich den RSS Feed der Entwickler oder folge dem Entwickler auf Twitter.
Trackbacks
Trackback für spezifische URI dieses Eintrags
SilvioKunze am
11/17/09 um 07:13
SilvioKunze via Twitter
Mein Beitrag zum letzten Webmaster Friday: Sicherheit von Wordpress und anderen selbst gehosteten Webanwendungen http://7ax.de/0633 ...
