Auch Entwickler brauchen Platz zum Spielen

8. Mai 2010 /

WordPress 3.0: Die Sicherheit beginnt beim Anlegen eines Blogs

Das bis dato aktuelle und auf jede WordPress-Instalattion anwendbare Referat 10 Schritte zum Schutz des Admin-Bereichs zeigt in übersichtlichen Schritten, wie das Backend und somit der Blog nachträglich und nachhaltig mit hohem Grad an Sicherheit versehen werden kann.

Bedauerlicherweise zeigt sich die Realität differenziert zur aufgebauten Hoffnung des Beitragsautors: In den meisten Fällen wird der Blog und für die gestellte Zielsetzung notwendige Plugins auf die Schnelle installiert. Kaum ein „Administrator“ macht sich Gedanken über die Angriffsmöglichkeiten, die WordPress in der Standardauslieferung offen hält. WordPress 3.0 will es nun richten und nimmt den zukünftigen Blogger an die sicherheitsbewusste Hand. Ganz am Anfang, beim Anlegen des Blogs. Dank neuem Installationsassistent.

Neu in WordPress 3.0: Benutzername für den Administrator
Neu in WordPress 3.0: Benutzername für den Administrator

Gefahr erkannt, Gefahr gebannt?
Mittlerweile hat auch das Entwickler-Team hinter WordPress verstanden, dass ein Nutzer nach der abgeschlossenen Einrichtung des Blogs selten weitere Schritte in Richtung Schutz unternimmt. Beispielsweise wird das automatisch angelegte Konto admin mit administrativen Rechten (fast) nie gelöscht, (fast) nie gewechselt und bleibt als gern ausgenutzte Sicherheitslücke trotz Warnungen im Administrationsbereich und in der Blogosphäre bis ans Ende der Blogtage bestehen. Zu hoffen, dass unbedarfter Nutzer aktiv wird, sich mit möglichen Gefahren und Gegenmaßnahmen auseinander setzt, ist utopisch und gleicht einer dicken Null.

Die Version 3 des Blogsystems kommt mit einer überarbeiteten Installationsseite, die bereits bei diesem ersten Schritt dem Benutzer die einmalige Gelegenheit gibt, den ersten, im Benutzernamen vom Auslieferungszustand abweichenden Administrator anzulegen. Der nun in die Geschichte eingegangene Default-User admin ist aus der Installationsroutine verbannt.

Als sinnvolle Ergänzung wird an der gleichen Stelle die Stärke des eingegebenen Account-Passwortes durch einen, aus den Profilseiten im Backend bereits bekannten Visual-Indikator signalisiert.

Seit WordPress 3.0: Installationsassistent nimmt Passwort entgegen
Seit WordPress 3.0: Installationsassistent nimmt Passwort entgegen

Zusammenfassung
Solche Massnahmen lassen WordPress in puncto Sicherheit wachsen. Jede so kleine Implementierung ist Handlung und Reaktion auf das erkannte Problem. Mehr von der Sorte und WordPress gehört nicht nur zu den beliebtesten, vielmehr zu den sichersten Blogplattformen weltweit.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.