Das Passwörter auf keinen Fall im Klartext gespeichert werden sollten, ist eigentlich jedem klar. Aber auch veraltete Hash-Algorithmen wie MD5 und SHA1 sollten nicht mehr verwendet werden. Argon2 gilt hier als moderner und zukunftssicherer Hash-Algorithmus und wird von PHP bereits seit der Version 7.2 unterstützt.
In den letzten Wochen habe ich an der einen oder anderen Stellschraube meine Blogs gedreht. Es gab immer wieder kleine Änderungen, sodass nicht auf einmal eine größere Änderung sichtbar war. Mit diesem Artikel zeige ich auf, was sich am Design, der Geschwindigkeit und der Sicherheit getan hat.
Flexibel und leistungsstark ist WordPress. Von einem anfänglichen einfachen Blog-System hat es sich zu einem Content-Management-System (CMS) entwickelt und bietet eine Vielzahl von Funktionen. Da ich aber immer einen möglichst schlanken und aufgeräumten Quellcode haben möchte, was sich positiv auf die Geschwindigkeit auswirkt, gibt es einige automatische Funktionen, die mich stören. In diesem Artikel möchte ich euch zeigen, wie unnötige Funktionen in WordPress deaktiviert werden können.
Damit ein angemeldeter Benutzer korrekt zugeordnet werden kann, verwendet PHP sogenannte Sessions. Bei dieser Technik muss die Session-ID bei jeder Kommunikation zwischen Client und Server übertragen werden. Dies bietet natürlich potentielle Angriffsflächen. In diesem Artikel möchte ich einige Maßnahmen zur Absicherung der Logins aufzeigen.
Es ist ein weit verbreiteter Irrtum, dass Benutzereingaben automatisiert und pauschal mit einer Funktion in PHP gefiltert werden können. Die effektivste Maßnahme, um Code Injections zu vermeiden, ist, die geeignete Filterung für die richtige Eingabe zu verwenden.
Hin und wieder kommt es vor, dass ich ein WordPress-System erweitere. Der klassische Weg ist ein eigenes Plugin zu programmieren, was manchmal aber nicht zielführend ist. Alternativ kann auch mit einer externen PHP-Datei auf die WordPress-Funktion zugegriffen werden.
Für meinen Blog arbeite ich sehr viel direkt auf der Code-Ebene. Auf einigen Seiten gibt es individuellen HTML-Code, aber hin und wieder setze ich auch etwas direkt mit PHP um. Dies lässt sich nicht direkt über den Editor von WordPress realisieren. Mit zwei einfachen Methoden kann dies aber elegant für ganze Seiten umgesetzt werden.
Viele Tipps, um die Sicherheit einer WordPress-Installation zu verbessern, beinhalten auch die zwangsweise Verwendung einer SSL-Verbindung für den Admin-Bereich. Aber die SSL-Konfiguration kann die Aktualisierung einer WordPress Multi-Blog Installation verhindern. Das Problem tritt auf, wenn kein korrektes SSL-Zertifikat bzw. ein selbst signiertes Zertifikat für die verwendete Domain hinterlegt ist.
Die OpenSource Web-Statistik Software Piwik bietet eine JavaScript Tracking-Methode, um die Besucher einer Website zu zählen. Mit der Grafik-Methode können auch Besucher gezählt werden, die kein JavaScript aktiviert haben. Aber auch die PHP-Tracking Methode gibt interessante Einblicke. Damit können zum Beispiel alle Seitenaufrufe erfasst werden, auch die, die normalerweise durch AdBlockern unterdrückt werden.
Für WordPress gibt es eine große Anzahl an Plugins, um die Sicherheit zu erhöhen. Bekannte Vertreter sind zum Beispiel Better WP Security, WP Security Scan und Limit Login Attempts. Ich habe mir ein paar Gedanken gemacht, wie eine neue WordPress Installation manuell abgesichert werden kann.
