Die Sicherheit des derzeit populärsten Content-Management-Systems WordPress kann durch das Drehen an zwei kleinen Stellschrauben signifikant erhöht werden. Dazu sind nur 5 Minuten und zwei Zeilen Code nötig. Zwar kann die Problematik auch mit einer Vielzahl von Plugins behoben werden können, ich beschränke mich hier jedoch bewusst auf pluginfreie Lösungen.
Einerseits verrät der Meta-Tag
<meta content="WordPress 3.4.1" name="generator" />über die aktuellste Version und kann leicht über Scraper ausgelesen werden. Ist ein kritisches Sicherheitsloch für eine spezielle WordPress-Version aufgetaucht, ist es ein leichtes, tausende Webseiten mit eben genau dieser Version aufzuspüren. Deshalb sollte man die Information mit folgendem Hook entfernen:
remove_action('wp_head', 'wp_generator');Ein zweites Problem stellt die Redseligkeit des Dashboards dar. Will man sich einloggen, wird indirekt Auskunft darüber gegeben, ob der Benutzername existiert. Die Fehlermeldungen lassen sich mit entsprechenden Programmen leicht dazu benutzen, die Wahrscheinlichkeit eines Treffers mit Brute-Force-Angriff zu erhöhen. Deshalb sollte man auch hier tätig werden und folgenden Hook einfügen:
add_filter('login_errors','__return_null');Die genannten Maßnahmen erhöhen die Sicherheit des eigenen Blogs und sind auch leicht umzusetzen. WordPress gilt in der Standardkonfiguration zwar als sicher, die starke Verbreitung und Popularität lassen es jedoch immer wieder zum Angriffsziel potentieller Hacker werden.